Exchange Server Security Update KB5001779 (13. April 2021)

Windows Update[English]Zum 13. April 2021 (Patchday) hat Microsoft – wie erwartet – Sicherheitsupdates für Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 veröffentlicht. Diese sollen gefundene Schwachstellen schließen, die von Sicherheitsfirmen gemeldet wurden. Eine zeitnahe Installation wird empfohlen – wobei es erst Rückmeldungen auf Fehler gibt. Hier einige Informationen zu diesen Updates.


Anzeige

Ich hatte ja im Blog-Beitrag Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen? bereits den Hinweise gegeben, dass Exchange-Administratoren darauf achten sollten, dass ihre betreuten Systeme auf den neuen CUs laufen, da ich für den 13. April 2021 Sicherheitsupdates erwarte. Genau diese Sicherheitsupdates wurden nun freigegeben – nachfolgende Abbildung stammt von einem Leser.

Security Update KB5001779 for Exchange Server 2019 CU9

Das Microsoft Exchange-Team hat im Techcommunity-Artikel Released: April 2021 Exchange Server Security Updates einen Überblick zur Sachlage gegeben. In Exchange wurden Schwachstellen gefunden, die von einem Sicherheitspartner gemeldet gemeldet wurden. Obwohl Microsoft keine aktiven Exploits in freier Wildbahn bekannt sind, empfehlt das Exchange-Team, diese Updates sofort zu installieren, um die Exchange-Umgebung zu schützen.

Diese Sicherheitslücken betreffen Microsoft Exchange Server auf On-Premises-Installationen. Exchange Online-Kunden sind bereits geschützt, da Microsoft diese Updates bereits installiert hat. Diese Kunden müssen daher keine Maßnahmen ergreifen.

Sicherheitsupdate KB5001779

Für On-Premises-Installationen hat Microsoft das Sicherheitsupdate KB5001779 für die nachfolgend aufgeführte Exchange-Versionen bereitgestellt.

  • Exchange Server 2013 CU23
  • Exchange Server 2016 CU19 und CU20
  • Exchange Server 2019 CU8 und CU9

Exchange Server 2010 ist aus dem Support gefallen und erhält kein Sicherheitsupdate. Auch aktuellere Exchange Server, die keinen der oben aufgelisteten Builds aufweisen, erhalten keine Sicherheitsupdate – ich hatte in meinem oben verlinkten Artikel darauf hingewiesen. Die Sicherheitsupdates schließen folgende Schwachstellen:

Es handelt sich um Remote-Code-Execution-Schwachstellen, die eine hohe Gefahreneinstufung durch Microsoft erhalten haben.

Fehler und beim Update zu beachten

Das Update wird zwar unter Windows Update angeboten. Es sollte aber auf die Installation über diesen Weg verzichtet werden. Stattdessen empfiehlt sich der Download der Sicherheitsupdates über folgende Links:

Anschließend ist die Update-Installation in einer administrativen Eingabeaufforderung durch Angabe des vollen Pfad und Namens der .msp-Datei zu starten. Wird dies vergessen, indem die Installation per Doppelklick als Standardnutzer gestartet wird, werden einige Dateien nicht korrekt aktualisiert. Dann treten zwar keine Fehlermeldungen auf, aber das Sicherheitsupdate wird nicht korrekt installiert. Outlook im Web (OWA) und das Exchange Control Panel (ECP) funktionieren jedoch möglicherweise nicht mehr. Ich hatte in den Blog-Beiträgen Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021) und Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021) auf diese Probleme hingewiesen.


Anzeige

Erste Rückmeldungen von Administratoren lauten, dass dieses Update auf Testservern und auf Produktivsystemen durchgelaufen ist. Ich habe aber in einer Administratorgruppe von Facebook eine erste Rückmeldung mit einem Hinweis auf Fehler erhalten:

Kumulatives update 04/21 für Win Server 2019 bricht mit Fehler 0x80070541 ab. Günter Born hat zu diesem Fehler bereits am 18.3. was geschrieben gehabt. Zwar für Windows 10, setzt sich aber beim Server 2019 anscheinend fort. Habe es auf 2 Systemen getestet.

Der erwähnte Blog-Beitrag ist Windows 10: Installationsfehler 0x80070541 bei Update KB5001649 (18.3.2021) – dort war ein fehlendes SSU KB5001649 die Ursache für den Installationsfehler. Also kontrollieren, ob das aktuelle SSU für die Windows Server-Maschine installiert ist.

Ähnliche Artikel:
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Update, Windows Server abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

35 Antworten zu Exchange Server Security Update KB5001779 (13. April 2021)

  1. JohnRipper sagt:

    Irgendwie gut, dass wir den Mailserver schon länger hosten lassen.
    Einfach zu komplex heutzutage geworden.

    Und da ist das Spam Management nicht maö inkludiert.

  2. Robert Richter sagt:

    Der Fehler hat nichts mit dem Exchange zu tun.
    Es handelt sich hierbei um das kumulative April Update für Server 2019.
    Habe bis jetzt erst zwei Server damit versorgt und bei beiden Servern kam dieser Fehler.
    Habe dann das Update aus dem Katalog bezogen und es ließ sich einwandfrei installieren.

    • Indy sagt:

      kann ich so bestätigen.

      Updates auf Windows Server 2016 liefen durch.
      Updates von Exchange 2016 liefen über Windows Update durch.
      Updates von Windows Server 2019 erst nach manuellem Download aus dem Catalog.

  3. MIkeRow sagt:

    Exchange 2016 CU 20 auf Windows Server 2016 keine Probleme

    offene Windows Updates installiert und das Update aus dem Katalog bezogen

    – PRTG Datenbank Sensoren (Remote Powershell) laufen auf einen Fehler
    "The sensor was able to connect to the device using Remote PowerShell but could not retrieve access to Remote Exchange Management Shell. Ensure that remote management is enabled on the Exchange Server and the user has sufficient rights. "

    Remote Powershell passt aber // Ticket beim Hersteller wird eröffnet

    • Roman sagt:

      Hallo MIkeRow

      Schon was von Paessler gehört?

      Habe den selben Fehler

      • MikeRow sagt:

        Hallo Roman, ich habe gerade das Ticket erst eröffnet. Ich wollte erst den 2. Server patchen und schauen ob es da auch passiert.
        Fehler tritt da auch auf. eigene Scripte funktionieren, nur die PRTG eigenen Sensoren nicht. Ich gebe Feedback wenn sich Paessler meldet.

        • Roman sagt:

          PRTG

          Unfortunately, several customers have reported exactly this behavior after the Exchange update. In software development, it is unfortunately sometimes the case that one manufacturer (in this case Microsoft) changes something and others then have to follow suit.

          We have to analyze the problem and I hope that my colleagues from development can offer a hotfix soon. This also means, that unfortunately, I can't offer you a quick solution at the moment and ask for your patience.

          With kind regards,

          • MikeRow sagt:

            Hallo, ich habe aus dem PRTG Testlab eine Test Version als Fix (eine exe Datei) erhalten mit dem Hinweis

            "Es ist aber nur ein Workaround. Hauptsache das Monitoring funktioniert wieder.
            Wir erwarten noch eine Antwort von Microsoft, ob der Change intended war oder nicht. Basierend darauf werden wir eventuell ein Hotfix releasen."

        • Georg sagt:

          Hallo Mike,
          gibt es schon eine Info seitens Microsoft bezüglich des Change? Wie bist du an den Fix genauer rangekommen?

    • Christoph Strohof sagt:

      Habe das gleiche Problem mit PRTG seit dem Update…vielleicht kannst du ja dein Ergebnis auf die Supportanfrage beim Hersteller hier veröffentlichen. ;-)

  4. Günter Born sagt:

    Kommentar eines Admins auf FB in einer Server-Gruppe:

    Updates sind durchgelaufen. 2019 ohne Probleme. Der 2016er Exchange war nach dem Neustart nicht mehr einsatzbereit, meldete HTTP 500er Error. Nach einem weiteren Neustart aber wieder einsatzbereit aber alle ankommenden Mails haben nur noch die Uhrzeit 03:39 Uhr. Was da nun wieder schief gelaufen ist…

    • Steffen sagt:

      Hi Günter,
      hast du neue Erkenntnisse, ob der Admin der FB-Gruppe bereits das Problem mit dem Zeitstempel lösen konnte? Bei uns in der Umgebung Server 2012r2 Exchange 2016 haben wir das gleiche Problem mit dem Zeitstempel.
      Gruß
      Steffen

      • Günter Born sagt:

        Leider nein. Ich habe aber Cedric deinen Kommentar in Facebook samt Link gepostet. Falls der eine Lösung gefunden hat, wird er sich sicher melden. Sollte mir noch was unter die Augen kommen, trage ich es hier ebenfalls nach.

        • sagt:

          Ciao Miteinander

          Hatte auch HTTP 500er Error, nach UpdateCas.ps1 und UpdateConfigFiles.ps1 gemäss Kommentar von Pete weiter unten, ging's dann wieder…

          Gruss Dö

  5. Christian sagt:

    Moin.

    Das seit dem Exchange Update die Überwachung PRTG bezüglich Datenbanken auf Fehler läuft kann ich bestätigen.

    Abfragen von Postfächern, DAG Status, Backup Status usw. schlägt fehl. Sehr ärgerlich, zumal ich in der offiziellen MS Dokumentation nichts gefunden habe, dass Berechtigungen weggefallen oder eingeschränkt worden sind.

  6. Schimpfverweigerer sagt:

    Betrifft uns (Exchange 2019 CU9) ebenfalls, genau dieselbe Fehlermeldung. Ebenfalls Ticket bei Paessler eröffnet.

  7. MikeRow sagt:

    Sehr geehrter Herr MikeRow,
    vielen Dank für Ihre Support-Anfrage.

    Leider haben mehrere Kunden genau dieses Verhalten nach dem Exchange-Update gemeldet. In der Softwareentwicklung ist es leider manchmal der Fall, dass ein Hersteller (in diesem Fall Microsoft) etwas ändert und andere dann nachziehen müssen.

    Wir müssen das Problem analysieren und ich hoffe, dass meine Kollegen aus der Entwicklung bald einen Hotfix anbieten können. Das bedeutet auch, dass ich Ihnen im Moment leider keine schnelle Lösung anbieten kann und bitte um Ihre Geduld.

    Mit freundlichen Grüßen

    Technical Support Team

  8. Marc sagt:

    INFO:
    "Is Microsoft planning to release April 2021 security updates for older (unsupported) versions of Exchange CUs?
    No, we have no plans to release the April 2021 security updates for older or unsupported CUs. In March, we took unprecedented steps and released SUs for unsupported CUs because there were active exploits in the wild. You should update your Exchange Servers to supported CUs and then install the SUs. There are 47 unsupported CUs for the affected versions of Exchange Server, and it is not sustainable to release updates for all of them. We strongly recommend that you keep your environments current."

  9. Michael Müller sagt:

    Hallo,
    ich habe den Patch auf unser Testsystem installiert:
    Start 07:13
    Patch 14.03.2021
    KB5001779 CU20 Exchange 2016
    Exchange Powershell starten
    Set-ServerComponentState SGSX2016 -Component HubTransport -State Draining -Requester Maintenance
    Set-ServerComponentState SGSX2016 -Component ServerWideOffline -State Inactive -Requester Maintenance
    Restart-Service MSExchangeTransport
    Restart-Service MSExchangeFrontEndTransport
    Set-MpPreference -DisableRealtimeMonitoring $true

    Exchange Internet Access freischalten any

    cmd als admin starten
    c:\temp\Exchange2016-KB5001779-x64-en.msp
    Fertig um 07:40

    Exchange Powershell starten
    Set-ServerComponentState SGSX2016 -Component ServerWideOffline -State Active -Requester Maintenance
    Set-ServerComponentState SGSX2016 -Component HubTransport -State Active -Requester Maintenance
    Restart-Service MSExchangeTransport
    Restart-Service MSExchangeFrontEndTransport
    Set-MpPreference -DisableRealtimeMonitoring $false
    Check Eventlogs -> unauffällig
    Check Installation -> OK
    Exchange Internet Access für FIPS einschalten und any ausschalten.
    Fertig um 07:50
    Client access -> OK

  10. Gabriel sagt:

    Update von 2x Exchange 2013 auf Windows Server 2012 R2 und 1x Exchange 2019 auf Windows Server 2019. Via WSUS installiert.
    Keine Probleme

  11. Benni sagt:

    Unser Exchange 2019 mit CU9 hat das Update automatisch installiert, weil er es darf.
    Kann ich irgendwie feststellen, ob dies nun fehlerhaft war? EAC funktioniert noch.
    Der Server wird als Relay genutzt,die Postfächer der Kollegen liegen auf einem Exchange Online.
    Oder sollte man das Update nochmal manuell drüberbügeln?
    Gruß

  12. Marc sagt:

    Problemlose Installation des Updates mittels Windows Update!

    Dauer 20 Minuten plus Neustart.

  13. Ralf E. sagt:

    Updates problemlos über Admin-CMD und manueller Patch-Installation auf folgenden System installiert:

    – Exchange 2013 CU23 / Server 2012R2
    – Exchange 2016 CU19 / Server 2016

    Bitte "etwas" Zeit mitbringen, die Installation dauert etwas!

  14. Sansor sagt:

    Update manuell über Admin-CMD auf:

    – Exchange 2019 CU9 / Server 2019

    Bis jetzt keine Problem festgestellt.

  15. Michael sagt:

    Updates über Windows Update ohne Probleme installiert:
    Exchange 2013 CU23/ Server 2012R2

    monatliches Update Windows Server 2012R2 auch ohne Probleme

  16. manuel sagt:

    Update manuell durchgeführt ohne Probleme.
    Exchange 2016 CU20 / Server 2016
    Einer der Server hatte für den Neustart fast 50 Minuten…

  17. Pete sagt:

    bei einem Error like

    "Da hat etwas nicht geklappt" – OWA

    FM letzte Zeile
    InnerExecption:System.IO.DirectoryNotFoundException"

    Lösung:

    Powershell mit Adminrechten:

    Ordner:
    XXX:\Microsoft\Exchange Server\V15\Bin
    XXX:\Microsoft\Exchange Server\V14\Bin

    Dort im "Bin" Verzeichnis : mit der offenen PS, administrative Rechte – Ausführen:
    "UpdateCas.ps1" (dauert eine Weile)

    Dann "UpdateConfigFiles.ps1"

    Dann "Exchange Admin Center" aufrufen (Start / Microsoft Exchange .. ), dort
    im Browser anmelden. Wenn es kommt, die Anmeldung dauert einen Moment – dann alles gut.

    Ansonsten ggfs. Reboot & Try Again mit Login

  18. R. Schütz sagt:

    Zu Exchange 2010:
    Das hat nicht deshalb kein Sicherheitsupdate bekommen, weil es aus dem Support raus ist, sondern weil es lt. Microsoft nicht anfällig ist für diese Sicherheitslücken.
    Schon beim März-Update gab es für Exchange 2010 nur für eine der Sicherheitslücken ein Sicherheitsupdate, weil es für die anderen Sicherheitslücken nicht anfällig ist.

  19. Ahmed Hassan sagt:

    I Couldn't update the server,
    having Exchange 2016 / Server 2016 Standard

    Please your support, below the error,
    "The Upgrade patch cannot be installed by the windows installer service
    because the program to be upgraded may be missing or the upgrade patch may update a different version of the program. Verify that the program to be upgraded exist on your computer and that you have the correct upgrade patch."

    thanks

Schreibe einen Kommentar zu Roman Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.