Exchange Server November 2021 Sicherheitsupdates schließen RCE-Schwachstelle CVE-2021-42321

Publiziert am 10. November 2021 von Günter Born

Update[English]Für Administratoren von Exchange Server 2013, 2016 und 2019 hat Microsoft zum 9. November 2021 die Sicherheitsupdates für den aktuellen Monat veröffentlicht. Relevant ist, dass vor allem eine Remote Code Execution (RCE) Schwachstelle CVE-2021-42321 geschlossen wird (wurde auf dem Tianfu 2021-Hacker-Contest ausgenutzt). Diese wird durch Angreifer bereits in freier Wildbahn – allerdings in beschränktem Ausmaß – ausgenutzt – die zeitnahe Installation der November 2021-Sicherheitsupdates ist also geboten.

Anzeige

Die Schwachstelle CVE-2021-42321

Bei der Schwachstelle CVE-2021-42321 handelt es sich um eine Remote Code Execution-Lücke in Exchange Server 2016 und 2019, die auf dem Tianfu 2021 Cup bei einem Hack demonstriert wurde. Ich hatte Mitte Oktober 2021 im Blog-Beitrag Tianfu Cup 2021: Exchange 2019 und iPhone gehackt über den Hackerwettbewerb berichtet. Details über die Schwachstelle liegen mir nicht vor, nur soviel: Der Fehler besteht (laut Tenable) aufgrund der unsachgemäßen Validierung von Befehlszeilenargumenten (cmdlet). Die Ausnutzung erfordert, die Authentifizierung des Angreifers. Laut Microsoft wurde die Schwachstelle wohl in einigen Fällen ausgenutzt. Ergänzung: In diesen heise-Kommentaren haben sich Betroffene zu Wort gemeldet.

Die November 2021-Updates

Im Techcommunity-Beitrag Released: November 2021 Exchange Server Security Updates hat Microsoft zum 9.11.2021 die Freigabe der Sicherheitsupdates zum Schließen von Schwachstellen für November 2021 bekannt gegeben. Es stehen folgende Updates bereit:

  • Exchange Server 2013 CU23
  • Exchange Server 2016 CU21 and CU22
  • Exchange Server 2019 CU10 and CU11

Wie bereits erwähnt, schreibt Microsoft, dass begrenzte gezielte Angriffe bekannt seien, bei denen eine der Schwachstellen (CVE-2021-42321) ausgenutzt wird. Es handelt sich um eine Post-Authentifizierungsschwachstelle in Exchange 2016 und 2019. Microsoft empfiehlt, diese Updates sofort zu installieren, um die On-Premises Exchange-Umgebung zu schützen.

Im Techcommunity-Beitrag findet sich der Hinweis auf nachfolgenden PowerShell-Befehl, mit dem man prüfen kann, ob ein Exploit vor der Patch-Installation auf den Exchange-Servern versucht wurde.

Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" }

Gibt es einen Treffer im log, ist dies ein Hinweis auf eine Ausnutzung. Diese Schwachstellen betreffen On-Premises Microsoft Exchange Server, sowie Server, die von Kunden im Exchange Hybrid-Modus verwendet werden. Exchange Online-Kunden sind bereits geschützt und müssen keine Maßnahmen ergreifen.

Bei einer manuellen Installation ist zu beachten, dass die .msp-Pakete aus einer administrativen Eingabeaufforderung aus gestartet werden. Andernfalls läuft die Installation schief. Für weitere Fragen (z.B. ob es auch Updates für ältere CUs gibt, oder den Hinweis auf WSUS-Probleme beim CU für Exchange 2013), ist der Techcommunity-Beitrag zu konsultieren.

Ähnliche Artikel:
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Neues zum Exchange-Hack – Testtools von Microsoft & Co.
Microsoft MSERT hilft bei Exchange-Server-Scans
Exchange-Hack: Neue Patches und neue Erkenntnisse
Anatomie des ProxyLogon Hafinum-Exchange Server Hacks
Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe
Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)
Gab es beim Exchange-Massenhack ein Leck bei Microsoft?
ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren
Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben
Sicherheitsupdate für Exchange Server 2013 Service Pack 1 – Neue CUs für Exchange 2019 und 2016 (16.3.2021)
Microsoft Defender schließt automatisch CVE-2021-26855 auf Exchange Server
Exchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)
Neues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)
Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?
Sicherheitsupdates für Exchange Server (Juli 2021)
Kumulative Exchange Updates Juni 2021 veröffentlicht
Exchange Server Security Update KB5001779 (13. April 2021)
Exchange-Schwachstellen: Droht Hafnium II?
Exchange Server: Neues zu den ProxyShell-Schwachstellen
Angriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021)
Angriffswelle, fast 2.000 Exchange-Server über ProxyShell gehackt
ProxyShell, ProxyLogon und Microsofts Exchange-Doku für Ausnahmen vom Virenschutz
Exchange und ProxyShell: Neues von Microsoft und Sicherheitsspezialisten
Tianfu Cup 2021: Exchange 2019 und iPhone gehackt
Babuk-Gang nutzt ProxyShell-Schwachstelle in Exchange für Ransomware-Angriffe

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Exchange Server November 2021 Sicherheitsupdates schließen RCE-Schwachstelle CVE-2021-42321

  1. Rene sagt:
    10. November 2021 um 10:39 Uhr

    Moin Moin,
    ich habe eine kurze Verständnisfrage:
    Ist in diesem Sicherheitsupdate auch das Sicherheitsupdate aus dem Oktober enthalten (KB5007012)?
    Falls nicht, kann bzw. muss ich immer noch das KB5007012 nachträglich installieren wenn das neuste KB5007409 gestern auf dem Exchange2016 Server installiert wurde?

    Vielen Dank im Voraus

    Gruß Rene

    Antworten
  2. Singlethreaded sagt:
    10. November 2021 um 19:37 Uhr

    Erste Rückmeldung:

    Wir haben das November Update gerade eingespielt. Mit allen Prüfungen vor und nach der Installation war das Ganze in knapp 60 Minuten erfolgreich abgeschlossen.

    Ausgangslage:

    Windows Server 2016 Datacenter (Patchstand Oktober 2021)
    Microsoft Exchange Server 2016 mit CU22 und dem SU Oktober

    Gruß Singlethreaded

    Antworten
  3. Nico sagt:
    10. November 2021 um 20:45 Uhr

    Hallo Zusammen, auch kurzes Feedback von uns

    3x Exchange 2013 CU23 auf Windows 2012 und 2012R2 Basis keine Probleme
    1x Exchange 2016 CU21 auf Windows Server 2016 Basis ebenfalls alles grün. Alle Server via Windows Update aktualisiert. Versionsnummern via Powershell geprüft.

    Antworten
    • cram sagt:
      11. November 2021 um 07:38 Uhr

      Ebenfalls problemlos mittels Windows Update installiert (Server 2016 mit Exchange 2016 CU21). Dienste laufen, Outlook funktioniert und HealthChecker meldet einen guten Zustand.

      Antworten
  4. Kavin sagt:
    18. Februar 2022 um 14:04 Uhr

    Hallo,

    wir haben im Unternehmen 3 Exchange 2016 CU17 und nach der Analyse von den Logfiles gabe es keine verdächtige Zugriffe vom Aussen. Trotzdem würde ich gerne von Euch erfahren, welche CU21 oder CU22 ich installieren muss und was ich dabei beachten muss.

    Andere Frage: Wo wird das Ergebnis des folgenden Befehsl in welchem Pfad abgelegt:

    Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" }

    Danke für Rückmeldung.

    Gruss – Kavin

    Antworten

Schreibe einen Kommentar zu Rene Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.