Exchange Server Sicherheitsupdates (10. Mai 2022)

Update[English]Microsoft hat zum 10. Mai 2022 Sicherheitsupdates für Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 veröffentlicht. Diese Updates sind erforderlich, um Schwachstellen, die von externen Sicherheitspartnern gemeldet und durch die internen Prozesse von Microsoft gefunden  wurden, zu schließen. Die Updates gelten für die nachfolgend genannten Exchange Server On-Premises-Installationen.


Anzeige

Die Sicherheitsupdates für Exchange Server vom Mai 2022 beheben Sicherheitslücken, die von Sicherheitspartnern gemeldet und durch die internen Prozesse von Microsoft gefunden wurden. Microsoft hat den Techcommunity-Beitrag Released: May 2022 Exchange Server Security Updates mit einer Beschreibung der Sicherheitsupdates veröffentlicht.

Exchange Server (May 2022) Security Updates

Und auf Twitter ist mir obiger Hinweis untergekommen. Es stehen Sicherheitsupdates für folgende Exchange-Server CU-Versionen zur Verfügung.

  • Exchange Server 2013 CU23
  • Exchange Server 2016 CU22, CU23
  • Exchange Server 2019 CU11, CU12

Die Updates für Mai 2022 schließt die nachfolgende, als wichtig und mit einem CVSSv3-Score von 8.2 eingestufte Schwachstelle.

CVE-2022-21978 | Microsoft Exchange Server Elevation of Privilege Vulnerability: Die Schwachstelle ermöglicht eine Privilegienerhöhung, wobei die Ausnutzung als "Exploitation Less Likely" eingestuft wurde. Ein Angreifer muss bereits bei einem anfälligen Exchange Server "als Mitglied einer hoch privilegierten Gruppe" authentifiziert sein, um diese Schwachstelle auszunutzen, könnte sie aber nutzen, um sich selbst zum Domänenadministrator zu erheben.

Diese oben skizzierten Voraussetzungen machen es zwar weniger wahrscheinlich, dass Angreifer diese Schwachstelle ausnutzen, doch sind Schwachstellen in Exchange Servern ein bevorzugtes Ziel für Angreifer. Sicherheitslücken, die Angreifern Domänenadministratorrechte verleihen können, sind besonders wertvoll, schreibt Tenable in diesem Beitrag. Auch Frank Zöchling empfiehlt hier die zeitnahe Installation des Updates.

Sofern die Sicherheitsupdates manuell installiert werden, ist dieser Vorgang zwingend aus einer mit administrativen Eingabeaufforderung heraus zu starten. Andernfalls treten Probleme während der Installation auf.

Beachtet, dass eine manuelle Ausführung von /PrepareAllDomains (nach der Installation) erforderlich ist. Microsoft beschreibt im Techcommunity-Beitrag Released: May 2022 Exchange Server Security Updates Maßnahmen, die aufgrund zusätzlicher Sicherheitsmaßnahmen für CVE-2022-21978 zusätzlich zur Anwendung der Sicherheitsupdates vom Mai 2022 durchgeführt werden sollten.

Die mit diesen Updates ausgerollten Fixes (z.B. dass der Exchange Service Host Service nach Installation des März 2022 Updates KB5013118 stirbt) lassen sich im Techcommunity-Beitrag Released: May 2022 Exchange Server Security Updates nachlesen.

Nun auch .exe-Pakete

Ab dieser Version der Sicherheitsupdates werden die Updates in einem selbstextrahierenden, automatisch aufsteigenden .exe-Paket veröffentlicht (zusätzlich zum bestehenden Windows Installer Patch-Format). Weitere Informationen finden Sie in diesem Beitrag. Die Original-Updatepakete können aus dem Microsoft Update Catalog heruntergeladen werden.


Anzeige

Ähnliche Artikel:
Sicherheitsupdates für Exchange Server (Januar 2022)
Sicherheitsupdates für Exchange Server (8. März 2022)
Exchange Server April 2022 CU (20.4.2022)
Probleme mit Exchange März 2022-Updates
Microsoft 365-Bug: Mails aus Exchange Online und Outlook landen im Spam-Ordner
Microsoft Exchange Admin-Portal wegen ausgelaufenem Zertifikat blockiert
Exchange Update-Fehler und -Infos (13. April 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Exchange 2016/2019: Outlook-Probleme durch AMSI-Integration
Exchange Server September 2021 CU kommt zum 28.9.2021 mit Microsoft Exchange Emergency Mitigation Service
Exchange Server 2016-2019: Benutzerdefinierte Attribute in ECP nach CU-Installation (Juli 2021) nicht mehr aktualisierbar
Basic Authentication in Exchange Online wird ab Oktober 2022 eingestellt


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

22 Antworten zu Exchange Server Sicherheitsupdates (10. Mai 2022)

  1. Gero sagt:

    Guten Morgen,

    ein Hinweis im Artikel das /PrepareAllDomains manuell nach der Installation der Sicherheitsupdates ausgeführt werden sollte/muss wie von Frank beschrieben wäre evtl nicht verkehrt :)

    VG!
    Gero

    • Günter Born sagt:

      Hm, der vorhandene Hinweis auf /PrepareAllDomains in der manuellen Einrückung "Beachtet, dass eine manuelle Ausführung…" reicht nicht?

      • Gero sagt:

        Oh, ähm. Da bin ich wohl drübergescrollt am Smartphone. Sorry ;)

        • Günter Born sagt:

          kein Problem – mir unterlaufen ja durchaus Fehler – zumal wenn ich da Nachts um 1:00 Uhr was zusammen nagele. Da sind Nutzerhinweise immer willkommen. Im aktuellen Fall wollte ich es nur verstehen – bin ja kein Exchange-Admin.

          Die Verlinkungen zu den CUs sind korrigiert und müssten jetzt alle auf die Mai 2022-Pakete verlinken.

  2. DerEine sagt:

    Guten Morgen,
    ich hab gestern Abend unsere DAG gepatcht.
    Server 2016 / Exchange 2016 CU 23 -> keinerlei Probleme.

    • Carsten sagt:

      Konnte bei uns auch keinerlei Probleme feststellen.

      Wie auf einer anderen Seite empfohlen hier der Ablauf:

      1. Update
      2. Reboot
      3. Befehl ausführen(dieser muss natürlich erfolgreich sein. User muss Teil der Organisations Admins sein)

      Zurücklehnen :)

      Grüße

  3. Bernd sagt:

    Nur als Hinweis auch wenn es vermutlich viele wissen sollten…
    /PrepareAllDomains muss nach der Installation ausgeführt werden. Es muss aber nur einmal ausgeführt werden egal von welchem Release und wie viele EX es gibt. Sobald ein EX das SU erhalten hat, den Befehlt absetzten der Rest kann danach mit dem SU versehen werden.

    Nino Bilic Microsoft
    ‎May 10 2022 11:54 AM
    @philrandal You can run this as soon as any one of your Exchange servers is updated with May 2022 SUs. You do not need to wait until all Exchange servers are updated.

  4. Nils sagt:

    Hallo Günther,

    die oben verlinkten Patches zu den CUs unter dem Twitter Post scheinen auf die Exchange Updates vom März 2022 (KB5012698) zu verweisen.

    In dem von dir verlinkten Beitrag vom Technet (weiter unten) sind dann die richtigen Updates zu finden (KB5014261). Nicht, dass es für einige Leser zu Verwirrungen kommt :)

    https://techcommunity.microsoft.com/t5/exchange-team-blog/released-may-2022-exchange-server-security-updates/ba-p/3301831

    MfG,
    Nils

  5. Gero sagt:

    Healthchecker Script meldet mit aktueller Version stand jetzt immer noch vulnerable. Scheint aber wohl (hoffentlich) ein Fehler vom Script zu sein.

    • Carsten sagt:

      Kann ich bestätigen. Aktuelle Version meldet der Exchange wäre noch immer angreifbar, obwohl das Script das SU weiter oben als installiert auflistet. Schema Update wurde entsprechend der Anleitung gemacht.

  6. Dominik sagt:

    Wenn ich mich nun im Exchange Admin Center einlogge ist alles leer?! Keine Mailboxen mehr zu sehen

  7. Denis sagt:

    Hallo zusammen,
    ich habe noch nicht so ganz verstanden, warum ich nach der Installation des SU manuell den Befehl /PrepareAllDomains ausführen muss. Das habe ich bisher noch nie gemacht.
    Kann mich da bitte jemand aufklären?
    Vielen Dank im Voraus.

    • cram sagt:

      Exchange verwendet Active Directory zum Speichern von Informationen über Postfächer und die Konfiguration von Exchange-Servern in der Organisation.

      Um diese Änderungen nach dem Sicherheitsupdate auf die aktuelle Version zu bringen, muss der Befehl ausgeführt werden. Dies ist nicht bei jedem Sicherheitsupdate nötig.

      Microsoft schreibt im Blog als Begründung: "Because of additional security hardening work for CVE-2022-21978…"

  8. Günter Born sagt:

    Laut diesem Tweet gibt es ein RegEx-Problem im Exchange2016 CU23

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.