Sicherheitsupdates (KB5003435) für Microsoft Exchange Server (11. Mai 2021)

Sicherheit (Pexels, allgemeine Nutzung)[English]Microsoft hat zum 11. Mai 2021 – die erwarteten (siehe Kommt heute ein Hotfix für Microsoft Exchange? (11.5.2021)) Sicherheitsupdates für Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 veröffentlicht. Damit soll eine Microsoft Exchange Server Spoofing-Schwachstelle (CVE-2021-31209) umgehend geschlossen werden. Das Sicherheitsupdate KB5003435 steht im Microsoft Update Catalog zum Download bereit.


Anzeige

Spoofing-Schwachstelle (CVE-2021-31209)

Im Rahmen des Pwn2Own 2021-Hackerwettbewerbs (6.-8.4-2021) wurden gleich drei Exchange Exploits vorgestellt. Ich hatte im April 2021 bereits im Blog-Beitrag Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen? vor diesen Exchange-Schwachstellen gewarnt und eigentlich erwartet, dass diese zum April 2021-Patchday geschlossen würden. War aber nicht der Fall, da Microsoft im April mehrere von der NSA intern gemeldete Exchange-Schwachstellen patchen musste.

Nun hat Microsoft zum 11. Mai 2021 aber Sicherheitsupdates für die Spoofing-Schwachstelle (CVE-2021-31209) freigegeben. Dazu schreibt Microsoft, dass dies eine der Exchange Server-Schwachstellen, die beim Pwn2Own-Wettbewerb 2021 gefunden wurden, sei. Redmond stuft die Ausnutzbarkeit der Schwachstelle als gering ein, und gibt auch an, dass keine Ausnutzung in freier Wildbahn bekannt sei. Die Schwachstelle hat aber einen Score von 6.5 erhalten und wird als Important eingestuft. Eine sofortige Installation der Sicherheitsupdates wird dringend empfohlen.

Weitere Exchange-Schwachstellen

Gemäß diesem ZDI-Beitrag wurden im Mai 2021 in Exchange die in nachfolgender Übersicht gelisteten Schwachstellen geschlossen:

  • CVE-2021-31207: Microsoft Exchange Server Security Feature Bypass Vulnerability, Moderate, 6.6, öffentlich bekannt
  • CVE-2021-31195: Microsoft Exchange Server Remote Code Execution Vulnerability, Important, 6.5
  • CVE-2021-31198: Microsoft Exchange Server Remote Code Execution Vulnerability, Important, 7.8
  • CVE-2021-31209: Microsoft Exchange Server Spoofing Vulnerability, Important, 6.5 (siehe oben)

Mit Ausnahme der erstgenannten Schwachstellen sind diese nicht öffentlich bekannt. Im Microsoft Update Catalog steht das Sicherheitsupdates KB5003435 zum Schließen dieser Schwachstellen zur Verfügung.


Anzeige

May 2021 Exchange Server Security Updates

Microsoft gibt in diesem Technet-Beitrag eine Übersicht über die Sicherheitsupdates vom 11. Mai 2021 für Exchange-Server. Sicherheitsupdates zum Schließen gefundener Schwachstellen stehen für folgende Produkte zur Verfügung:

  • Exchange Server 2013
  • Exchange Server 2016
  • Exchange Server 2019

Diese Updates stehen für die folgenden spezifischen Builds von Exchange Server bereit:

  • Exchange Server 2013 CU23
  • Exchange Server 2016 CU19 and CU20
  • Exchange Server 2019 CU8 and CU9

Die Sicherheitsupdates für Exchange Server vom Mai 2021 beheben Schwachstellen, die von Sicherheitspartnern gemeldet und durch die internen Prozesse von Microsoft gefunden wurden. Obwohl Microsoft keine aktiven Exploits in freier Wildbahn bekannt sind, empfehlt das Unternehmen, diese Updates sofort zu installieren, um die Exchange-Umgebung zu schützen.

Diese Schwachstellen betreffen on-premises Microsoft Exchange Server, sowie Server, die von Kunden im Exchange Hybrid-Modus verwendet werden. Exchange Online-Kunden sind bereits geschützt und müssen keine Maßnahmen ergreifen. Weitere Details zu den einzelnen CVEs finden Sie im Security Update Guide (Filter unter Produktfamilie auf Exchange Server stellen).

Vor einer Installation sollten die im Technet-Beitrag genannten Details sowie die bekannten Probleme durchgegangen werden. Mir ist nur dieser Thread bei administrator.de aufgefallen. Zitat:

Wie schon beim Hafnium Patch wurden bei einem Kunden im IIS die Pfade des ECP wieder mit den % Platzhaltern versehen und ein Zugriff auf die WEB UI ist nicht mehr möglich.

Die Installation mit erhöhten Rechten aus einer CMD soll zwar helfen, allerdings hat sie dieses Mal das nicht getan. Erst ein manueller Eingriff in die IIS Pfade konnte das Ganze wieder geradebiegen.

In diesem Fall den Beitrag Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021) und von Microsoft durchgehen.

Ähnliche Artikel
Kommt heute ein Hotfix für Microsoft Exchange? (11.5.2021)
Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?
Exchange Update-Fehler und -Infos (13. April 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Exchange Server Security Update KB5001779 (13. April 2021)
Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?


Anzeige

Dieser Beitrag wurde unter Sicherheit, Software, Windows Server abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

29 Antworten zu Sicherheitsupdates (KB5003435) für Microsoft Exchange Server (11. Mai 2021)

  1. MOM20xx sagt:

    20:15 und der WSUS findet bei der synchronisation mit microsoft nur ein CU für SQL Server 2017 ansonsten keine Sicherheitspatches. Das dürfte heute wieder laufen.

    Gemäß mrsc auch Sec Updates für Skype for Business Server, da sind aber die KB Artikel nicht verfügbar http 404 und somit können auch die Patches nicht geladen werden.

    Wie immer ein Drama das Ganze bei Microsoft.

  2. Carsten sagt:

    Bisher bekomme ich noch kein einziges Update per WSUS. Bei anderen auch der Fall?

  3. Reto Felix sagt:

    Habe auch bei 2 WSUS (2008, 2019) noch keine Update. Vermutlich ist eine Pipeline zwischen MS und WSUS stillgelegt :-).
    Reto

  4. Markus sagt:

    Habe drei WSUS Server, bei der synchronisation wurden keine Updates angezeigt.

  5. Reto Felix sagt:

    Da ist noch mehr Wurm drin bei MS.
    Habe vor 1/2 Stunde die Update für 1909 und 20H2 aus dem Catalog geladen.
    Bei windows10.0-kb5003169-x86 wurde eine cab Datei anstelle einer msu Datei geliefert.
    Mittlerweile ist windows10.0-kb5003169-x86 als msu im catalog.
    Reto

  6. Thomas sagt:

    An einem 2013 CU23 und einem 2019 CU9 Exchange installiert. Hat bei beiden Systemen problemlos funktioniert. Anschließend noch den neuesten HealthCheck laufen lassen. Alles OK und das Update wurde auch angezeigt.

  7. Thomas sagt:

    Ach ja – manuell heruntergeladen (ExchangeTeam Blog) und natürlich über Admin….cmd installiert.

  8. Coreknabe sagt:

    Auch hier wird synchronisiert, aber nichts außer Defender Updates heruntergeladen….

  9. MikeRow sagt:

    Exchange 2016 CU20 auf Windows Server 2016

    1. Maintanance Mode On
    2. Reboot
    3. Install KB5003197/KB5001841 für Server 2016 installiert
    4. Reboot
    5. KB5003435 für Exchange 2016 über elevated cmd installiert
    5. Reboot
    6. Maintanace Mode OFF
    7. Check

    Keine Probleme festgestellt

  10. der Seb sagt:

    Microsoft hat es aber scheinbar noch nicht geschafft, mit dem heutigen Patch alle Lücken vom PWN2OWN Event zu schließen. :-(

    MfG der Seb

  11. Markus S. sagt:

    Alles – soweit man es testen kann – in Ordnung.

    – Windows Server 2012 R2
    – Exchange 2016 CU 20

  12. Tobias Klein sagt:

    Update manuell aus Microsoft Katalog heruntergeladen. Rollout auf div. Exchange 2013, 2016 und 2019 für das jeweils aktuelle CU über Admin-CMD installiert. Kein Problem!

  13. Markus B. sagt:

    auch bei mir auf 2 WSUS keine neuen Patches über die Synchronisation im Moment.

    • Günter Born sagt:

      Es scheint, als ob der WSUS keine Updates bekommt – vor einigen Stunden schon auf administrator.de diesen Hinweis gelesen.

      • Markus B sagt:

        die Synchronisation werden als erfolgreich angezeigt. Scheint dass sie evtl. die Patches bei sich geblockt haben und daher bei uns das als erfolgreicher Sync angezeigt wird da ja kein Patch freigegeben ist.

  14. Kammerlohr Matthias sagt:

    Hatten keine Probleme beim Aktualisieren von Exchange 2013, 2016 und 2019 – jedoch haben wir seit gerade das Problem, dass Outlook (nach einem Neustart) keine E-Mails mehr darstellen kann und das weder bei on-prem als auch bei Cloud Kunden.
    Kann das jemand bestätigen?

    • Josef Hlawaty sagt:

      Ja, habe hier mit einem Exchange 2016 CU20 das gleiche Problem. Man sieht bei jeder Mail nur die erste Zeile (z.B. "Hallo!"). Scrollbalken für den Rest sind da, aber es wird nichts angezeigt…

    • J K sagt:

      Aktualisierung von Exchange 2013 Cu23 lief ohne Probleme.
      Habe allerdings auch das Problem, dass Outlook die Emails nicht mehr korrekt darstellen kann.

      Im OWA wird alles normal dargestellt.

    • Coreknabe sagt:

      Arbeitsplatz-PC mit Outlook 2016: Kein Problem. Heim-PC mit Outlook 2019: Fehlerhafte Darstellung. Was hilft:
      "C:Program FilesCommon Filesmicrosoft sharedClickToRunOfficeC2RClient.exe" /update user updatetoversion=16.0.13901.20462

      Quelle:

      Die Officeversion wird damit auf den letzten funktionsfähigen Stand zurückgesetzt.

      • Matthias Kammerlohr sagt:

        Hallo zusammen,

        wir haben Outlook 2016 und 365 im Einsatz – heute Morgen funktionierte es ohne Downgrade oder Ähnlichem wieder problemlos und die kompletten E-Mails werden dargestellt.

        Ich denke auch, dass es nicht nur an Outlook lag, da auch im Office365 Portal ein Incident vorhanden war:

        End time: Wednesday, May 12, 2021, 4:00 AM (2:00 AM UTC)

        Preliminary root cause: A recent change to systems that facilitate text display management for content within the Outlook client caused impact. A full root cause analysis is being performed and additional details will be provided in the PIR.

        Next steps:
        – We're performing an extensive review of our coding to understand how the issue occurred and why it was missed during the testing and early deployment cycle.

        We'll publish a post-incident report within five business days.

  15. MK sagt:

    Habe gerade das Update auf meinen
    Server 2016
    Exchange 2016 CU20
    gemacht.
    Soweit ich feststellen konnte keine Probleme.

    Zum Glück auch keine Darstellungsprobleme bei Mails.

  16. Martin sagt:

    Machen die das jetzt absichtlich, dass die Kunden irgendwann sagen: "hey, onprem ist doof, da muss man jeden Monat patchen – komm wir gehen in die cloud"?
    Um dann zu erfahren, dass die cloud momentan gefühlt öfter unterbrochen ist…

  17. FS sagt:

    Also ich habe heut im WSUS 2012 diverse Updates
    KU 21-05 .Net
    KU 21-05 Server und diverse Win10
    Sicherheitsupdate für Office 2013

    Allerdings nichts zum Exchange oder SQL

    • Stefan A. sagt:

      Bist du evtl. nicht auf einem aktuellen CU?
      Bei uns werden die Exchange Updates am WSUS angezeigt.
      Wir installieren jedoch nach wie vor manuell die MSP Datei.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.