[English]Für Administratoren von Exchange Server 2013, 2016 und 2019 hat Microsoft zum 9. November 2021 die Sicherheitsupdates für den aktuellen Monat veröffentlicht. Relevant ist, dass vor allem eine Remote Code Execution (RCE) Schwachstelle CVE-2021-42321 geschlossen wird (wurde auf dem Tianfu 2021-Hacker-Contest ausgenutzt). Diese wird durch Angreifer bereits in freier Wildbahn – allerdings in beschränktem Ausmaß – ausgenutzt – die zeitnahe Installation der November 2021-Sicherheitsupdates ist also geboten.
Anzeige
Die Schwachstelle CVE-2021-42321
Bei der Schwachstelle CVE-2021-42321 handelt es sich um eine Remote Code Execution-Lücke in Exchange Server 2016 und 2019, die auf dem Tianfu 2021 Cup bei einem Hack demonstriert wurde. Ich hatte Mitte Oktober 2021 im Blog-Beitrag Tianfu Cup 2021: Exchange 2019 und iPhone gehackt über den Hackerwettbewerb berichtet. Details über die Schwachstelle liegen mir nicht vor, nur soviel: Der Fehler besteht (laut Tenable) aufgrund der unsachgemäßen Validierung von Befehlszeilenargumenten (cmdlet). Die Ausnutzung erfordert, die Authentifizierung des Angreifers. Laut Microsoft wurde die Schwachstelle wohl in einigen Fällen ausgenutzt. Ergänzung: In diesen heise-Kommentaren haben sich Betroffene zu Wort gemeldet.
Die November 2021-Updates
Im Techcommunity-Beitrag Released: November 2021 Exchange Server Security Updates hat Microsoft zum 9.11.2021 die Freigabe der Sicherheitsupdates zum Schließen von Schwachstellen für November 2021 bekannt gegeben. Es stehen folgende Updates bereit:
Wie bereits erwähnt, schreibt Microsoft, dass begrenzte gezielte Angriffe bekannt seien, bei denen eine der Schwachstellen (CVE-2021-42321) ausgenutzt wird. Es handelt sich um eine Post-Authentifizierungsschwachstelle in Exchange 2016 und 2019. Microsoft empfiehlt, diese Updates sofort zu installieren, um die On-Premises Exchange-Umgebung zu schützen.
Im Techcommunity-Beitrag findet sich der Hinweis auf nachfolgenden PowerShell-Befehl, mit dem man prüfen kann, ob ein Exploit vor der Patch-Installation auf den Exchange-Servern versucht wurde.
Anzeige
Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" }
Gibt es einen Treffer im log, ist dies ein Hinweis auf eine Ausnutzung. Diese Schwachstellen betreffen On-Premises Microsoft Exchange Server, sowie Server, die von Kunden im Exchange Hybrid-Modus verwendet werden. Exchange Online-Kunden sind bereits geschützt und müssen keine Maßnahmen ergreifen.
Bei einer manuellen Installation ist zu beachten, dass die .msp-Pakete aus einer administrativen Eingabeaufforderung aus gestartet werden. Andernfalls läuft die Installation schief. Für weitere Fragen (z.B. ob es auch Updates für ältere CUs gibt, oder den Hinweis auf WSUS-Probleme beim CU für Exchange 2013), ist der Techcommunity-Beitrag zu konsultieren.
Ähnliche Artikel:
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Neues zum Exchange-Hack – Testtools von Microsoft & Co.
Microsoft MSERT hilft bei Exchange-Server-Scans
Exchange-Hack: Neue Patches und neue Erkenntnisse
Anatomie des ProxyLogon Hafinum-Exchange Server Hacks
Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe
Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)
Gab es beim Exchange-Massenhack ein Leck bei Microsoft?
ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren
Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben
Sicherheitsupdate für Exchange Server 2013 Service Pack 1 – Neue CUs für Exchange 2019 und 2016 (16.3.2021)
Microsoft Defender schließt automatisch CVE-2021-26855 auf Exchange Server
Exchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)
Neues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)
Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?
Sicherheitsupdates für Exchange Server (Juli 2021)
Kumulative Exchange Updates Juni 2021 veröffentlicht
Exchange Server Security Update KB5001779 (13. April 2021)
Exchange-Schwachstellen: Droht Hafnium II?
Exchange Server: Neues zu den ProxyShell-Schwachstellen
Angriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021)
Angriffswelle, fast 2.000 Exchange-Server über ProxyShell gehackt
ProxyShell, ProxyLogon und Microsofts Exchange-Doku für Ausnahmen vom Virenschutz
Exchange und ProxyShell: Neues von Microsoft und Sicherheitsspezialisten
Tianfu Cup 2021: Exchange 2019 und iPhone gehackt
Babuk-Gang nutzt ProxyShell-Schwachstelle in Exchange für Ransomware-Angriffe
Anzeige
Moin Moin,
ich habe eine kurze Verständnisfrage:
Ist in diesem Sicherheitsupdate auch das Sicherheitsupdate aus dem Oktober enthalten (KB5007012)?
Falls nicht, kann bzw. muss ich immer noch das KB5007012 nachträglich installieren wenn das neuste KB5007409 gestern auf dem Exchange2016 Server installiert wurde?
Vielen Dank im Voraus
Gruß Rene
Hallo, du kannst direkt das November Update installieren, es enthält alle vorherigen Fixes ( Oktober )
im oben verlinkten Techcommunity-Beitrag ist die gleiche Frage drin und auch die Antwort:
All our SUs are cumulative since the last CU
Ist auch hier so beschrieben: https://techcommunity.microsoft.com/t5/exchange-team-blog/why-exchange-server-updates-matter/ba-p/2280770
Erste Rückmeldung:
Wir haben das November Update gerade eingespielt. Mit allen Prüfungen vor und nach der Installation war das Ganze in knapp 60 Minuten erfolgreich abgeschlossen.
Ausgangslage:
Windows Server 2016 Datacenter (Patchstand Oktober 2021)
Microsoft Exchange Server 2016 mit CU22 und dem SU Oktober
Gruß Singlethreaded
Hallo Zusammen, auch kurzes Feedback von uns
3x Exchange 2013 CU23 auf Windows 2012 und 2012R2 Basis keine Probleme
1x Exchange 2016 CU21 auf Windows Server 2016 Basis ebenfalls alles grün. Alle Server via Windows Update aktualisiert. Versionsnummern via Powershell geprüft.
Ebenfalls problemlos mittels Windows Update installiert (Server 2016 mit Exchange 2016 CU21). Dienste laufen, Outlook funktioniert und HealthChecker meldet einen guten Zustand.
Hallo,
wir haben im Unternehmen 3 Exchange 2016 CU17 und nach der Analyse von den Logfiles gabe es keine verdächtige Zugriffe vom Aussen. Trotzdem würde ich gerne von Euch erfahren, welche CU21 oder CU22 ich installieren muss und was ich dabei beachten muss.
Andere Frage: Wo wird das Ergebnis des folgenden Befehsl in welchem Pfad abgelegt:
Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" }
Danke für Rückmeldung.
Gruss – Kavin