[English]Microsoft hat zum 11. Mai 2021 – die erwarteten (siehe Kommt heute ein Hotfix für Microsoft Exchange? (11.5.2021)) Sicherheitsupdates für Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 veröffentlicht. Damit soll eine Microsoft Exchange Server Spoofing-Schwachstelle (CVE-2021-31209) umgehend geschlossen werden. Das Sicherheitsupdate KB5003435 steht im Microsoft Update Catalog zum Download bereit.
Anzeige
Spoofing-Schwachstelle (CVE-2021-31209)
Im Rahmen des Pwn2Own 2021-Hackerwettbewerbs (6.-8.4-2021) wurden gleich drei Exchange Exploits vorgestellt. Ich hatte im April 2021 bereits im Blog-Beitrag Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen? vor diesen Exchange-Schwachstellen gewarnt und eigentlich erwartet, dass diese zum April 2021-Patchday geschlossen würden. War aber nicht der Fall, da Microsoft im April mehrere von der NSA intern gemeldete Exchange-Schwachstellen patchen musste.
Nun hat Microsoft zum 11. Mai 2021 aber Sicherheitsupdates für die Spoofing-Schwachstelle (CVE-2021-31209) freigegeben. Dazu schreibt Microsoft, dass dies eine der Exchange Server-Schwachstellen, die beim Pwn2Own-Wettbewerb 2021 gefunden wurden, sei. Redmond stuft die Ausnutzbarkeit der Schwachstelle als gering ein, und gibt auch an, dass keine Ausnutzung in freier Wildbahn bekannt sei. Die Schwachstelle hat aber einen Score von 6.5 erhalten und wird als Important eingestuft. Eine sofortige Installation der Sicherheitsupdates wird dringend empfohlen.
Weitere Exchange-Schwachstellen
Gemäß diesem ZDI-Beitrag wurden im Mai 2021 in Exchange die in nachfolgender Übersicht gelisteten Schwachstellen geschlossen:
- CVE-2021-31207: Microsoft Exchange Server Security Feature Bypass Vulnerability, Moderate, 6.6, öffentlich bekannt
- CVE-2021-31195: Microsoft Exchange Server Remote Code Execution Vulnerability, Important, 6.5
- CVE-2021-31198: Microsoft Exchange Server Remote Code Execution Vulnerability, Important, 7.8
- CVE-2021-31209: Microsoft Exchange Server Spoofing Vulnerability, Important, 6.5 (siehe oben)
Mit Ausnahme der erstgenannten Schwachstellen sind diese nicht öffentlich bekannt. Im Microsoft Update Catalog steht das Sicherheitsupdates KB5003435 zum Schließen dieser Schwachstellen zur Verfügung.
Anzeige
May 2021 Exchange Server Security Updates
Microsoft gibt in diesem Technet-Beitrag eine Übersicht über die Sicherheitsupdates vom 11. Mai 2021 für Exchange-Server. Sicherheitsupdates zum Schließen gefundener Schwachstellen stehen für folgende Produkte zur Verfügung:
- Exchange Server 2013
- Exchange Server 2016
- Exchange Server 2019
Diese Updates stehen für die folgenden spezifischen Builds von Exchange Server bereit:
- Exchange Server 2013 CU23
- Exchange Server 2016 CU19 and CU20
- Exchange Server 2019 CU8 and CU9
Die Sicherheitsupdates für Exchange Server vom Mai 2021 beheben Schwachstellen, die von Sicherheitspartnern gemeldet und durch die internen Prozesse von Microsoft gefunden wurden. Obwohl Microsoft keine aktiven Exploits in freier Wildbahn bekannt sind, empfehlt das Unternehmen, diese Updates sofort zu installieren, um die Exchange-Umgebung zu schützen.
Diese Schwachstellen betreffen on-premises Microsoft Exchange Server, sowie Server, die von Kunden im Exchange Hybrid-Modus verwendet werden. Exchange Online-Kunden sind bereits geschützt und müssen keine Maßnahmen ergreifen. Weitere Details zu den einzelnen CVEs finden Sie im Security Update Guide (Filter unter Produktfamilie auf Exchange Server stellen).
Vor einer Installation sollten die im Technet-Beitrag genannten Details sowie die bekannten Probleme durchgegangen werden. Mir ist nur dieser Thread bei administrator.de aufgefallen. Zitat:
Wie schon beim Hafnium Patch wurden bei einem Kunden im IIS die Pfade des ECP wieder mit den % Platzhaltern versehen und ein Zugriff auf die WEB UI ist nicht mehr möglich.
Die Installation mit erhöhten Rechten aus einer CMD soll zwar helfen, allerdings hat sie dieses Mal das nicht getan. Erst ein manueller Eingriff in die IIS Pfade konnte das Ganze wieder geradebiegen.
In diesem Fall den Beitrag Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021) und von Microsoft durchgehen.
Ähnliche Artikel
Kommt heute ein Hotfix für Microsoft Exchange? (11.5.2021)
Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?
Exchange Update-Fehler und -Infos (13. April 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Exchange Server Security Update KB5001779 (13. April 2021)
Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?
Anzeige
20:15 und der WSUS findet bei der synchronisation mit microsoft nur ein CU für SQL Server 2017 ansonsten keine Sicherheitspatches. Das dürfte heute wieder laufen.
Gemäß mrsc auch Sec Updates für Skype for Business Server, da sind aber die KB Artikel nicht verfügbar http 404 und somit können auch die Patches nicht geladen werden.
Wie immer ein Drama das Ganze bei Microsoft.
Bisher bekomme ich noch kein einziges Update per WSUS. Bei anderen auch der Fall?
Du bist der 4. Fall, der mir unter die Augen gekommen ist (habe aber bisher nicht recherchiert, sondern seit 20:00 Uhr mal Pause gemacht).
Habe auch bei 2 WSUS (2008, 2019) noch keine Update. Vermutlich ist eine Pipeline zwischen MS und WSUS stillgelegt :-).
Reto
Habe drei WSUS Server, bei der synchronisation wurden keine Updates angezeigt.
Da ist noch mehr Wurm drin bei MS.
Habe vor 1/2 Stunde die Update für 1909 und 20H2 aus dem Catalog geladen.
Bei windows10.0-kb5003169-x86 wurde eine cab Datei anstelle einer msu Datei geliefert.
Mittlerweile ist windows10.0-kb5003169-x86 als msu im catalog.
Reto
An einem 2013 CU23 und einem 2019 CU9 Exchange installiert. Hat bei beiden Systemen problemlos funktioniert. Anschließend noch den neuesten HealthCheck laufen lassen. Alles OK und das Update wurde auch angezeigt.
Ach ja – manuell heruntergeladen (ExchangeTeam Blog) und natürlich über Admin….cmd installiert.
Auch hier wird synchronisiert, aber nichts außer Defender Updates heruntergeladen….
Exchange 2016 CU20 auf Windows Server 2016
1. Maintanance Mode On
2. Reboot
3. Install KB5003197/KB5001841 für Server 2016 installiert
4. Reboot
5. KB5003435 für Exchange 2016 über elevated cmd installiert
5. Reboot
6. Maintanace Mode OFF
7. Check
Keine Probleme festgestellt
Microsoft hat es aber scheinbar noch nicht geschafft, mit dem heutigen Patch alle Lücken vom PWN2OWN Event zu schließen. :-(
MfG der Seb
Alles – soweit man es testen kann – in Ordnung.
– Windows Server 2012 R2
– Exchange 2016 CU 20
Update manuell aus Microsoft Katalog heruntergeladen. Rollout auf div. Exchange 2013, 2016 und 2019 für das jeweils aktuelle CU über Admin-CMD installiert. Kein Problem!
auch bei mir auf 2 WSUS keine neuen Patches über die Synchronisation im Moment.
Es scheint, als ob der WSUS keine Updates bekommt – vor einigen Stunden schon auf administrator.de diesen Hinweis gelesen.
die Synchronisation werden als erfolgreich angezeigt. Scheint dass sie evtl. die Patches bei sich geblockt haben und daher bei uns das als erfolgreicher Sync angezeigt wird da ja kein Patch freigegeben ist.
Hatten keine Probleme beim Aktualisieren von Exchange 2013, 2016 und 2019 – jedoch haben wir seit gerade das Problem, dass Outlook (nach einem Neustart) keine E-Mails mehr darstellen kann und das weder bei on-prem als auch bei Cloud Kunden.
Kann das jemand bestätigen?
Ja, habe hier mit einem Exchange 2016 CU20 das gleiche Problem. Man sieht bei jeder Mail nur die erste Zeile (z.B. "Hallo!"). Scrollbalken für den Rest sind da, aber es wird nichts angezeigt…
Aktualisierung von Exchange 2013 Cu23 lief ohne Probleme.
Habe allerdings auch das Problem, dass Outlook die Emails nicht mehr korrekt darstellen kann.
Im OWA wird alles normal dargestellt.
Arbeitsplatz-PC mit Outlook 2016: Kein Problem. Heim-PC mit Outlook 2019: Fehlerhafte Darstellung. Was hilft:
"C:Program FilesCommon Filesmicrosoft sharedClickToRunOfficeC2RClient.exe" /update user updatetoversion=16.0.13901.20462
Quelle:
Die Officeversion wird damit auf den letzten funktionsfähigen Stand zurückgesetzt.
Hallo zusammen,
wir haben Outlook 2016 und 365 im Einsatz – heute Morgen funktionierte es ohne Downgrade oder Ähnlichem wieder problemlos und die kompletten E-Mails werden dargestellt.
Ich denke auch, dass es nicht nur an Outlook lag, da auch im Office365 Portal ein Incident vorhanden war:
End time: Wednesday, May 12, 2021, 4:00 AM (2:00 AM UTC)
Preliminary root cause: A recent change to systems that facilitate text display management for content within the Outlook client caused impact. A full root cause analysis is being performed and additional details will be provided in the PIR.
Next steps:
– We're performing an extensive review of our coding to understand how the issue occurred and why it was missed during the testing and early deployment cycle.
We'll publish a post-incident report within five business days.
https://www.tenforums.com/windows-10-news/179130-new-microsoft-365-current-channel-v2104-build-13929-20372-may-11-a.html#post2219807
Und darunter…
Siehe auch Bug: Outlook zeigt nur die ersten Zeilen einer E-Mail (10./11. Mai 2021)
Habe gerade das Update auf meinen
Server 2016
Exchange 2016 CU20
gemacht.
Soweit ich feststellen konnte keine Probleme.
Zum Glück auch keine Darstellungsprobleme bei Mails.
Machen die das jetzt absichtlich, dass die Kunden irgendwann sagen: "hey, onprem ist doof, da muss man jeden Monat patchen – komm wir gehen in die cloud"?
Um dann zu erfahren, dass die cloud momentan gefühlt öfter unterbrochen ist…
Genau diesen Gedanken habe ich auch seit dem März Desaster….
Also ich habe heut im WSUS 2012 diverse Updates
KU 21-05 .Net
KU 21-05 Server und diverse Win10
Sicherheitsupdate für Office 2013
Allerdings nichts zum Exchange oder SQL
Bist du evtl. nicht auf einem aktuellen CU?
Bei uns werden die Exchange Updates am WSUS angezeigt.
Wir installieren jedoch nach wie vor manuell die MSP Datei.
https://www.neowin.net/news/colonial-pipeline-was-using-vulnerable-outdated-version-of-microsoft-exchange/