Exchange Server Sicherheitsupdates (11. Oktober 2022)

Update[English]Microsoft hat zum 11. Oktober 2022Sicherheitsupdates für Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 veröffentlicht. Diese Updates sollen Schwachstellen, die von externen Sicherheitspartnern gemeldet oder durch Microsoft gefunden wurden, schließen. Die seit Ende September 2022 bekannten 0-day-Schwachstellen (ProxyNotShell) werden aber nicht beseitigt.


Anzeige

Microsoft hat den Techcommunity-Beitrag Released: October 2022 Exchange Server Security Updates mit einer Beschreibung der Sicherheitsupdates veröffentlicht.

Exchange security updates October 2022

Es stehen Sicherheitsupdates für folgende Exchange-Server CU-Versionen zur Verfügung.

  • Exchange Server 2013 CU23
  • Exchange Server 2016 CU22, CU23
  • Exchange Server 2019 CU11, CU12

Microsoft nennt im Techcommunity-Beitrag nicht, welche Schwachstellen geschlossen werden. Blog-Leser Olli führt in diesem Kommentar aber mehrere CVEs aus den August CUs an. Das ist auch in den Benutzer-Kommentaren zum Techcommunity-Post des Exchange-Teams so angemerkt worden – bei Frank Zöchling finden sich ebenfalls einige Kommentare. Es sind die nachfolgenden CVEs, die bereits beim August 2022-Update adressiert wurden, berücksichtigt (es scheint ein Re-Release gegeben zu haben).

Wie bereits Eingangs erwähnt, die seit Ende September 2022 bekannten 0-day-Schwachstellen (ProxyNotShell) werden aber nicht beseitigtZu beachten ist, dass die Exchange Server auf das aktuelle CU aktualisiert werden, bevor die Oktober 2022-Updates installiert werden (siehe obige Grafik und den Hinweis von Microsoft). Zur Prüfung kann das HealthChecker-PowerShell-Script von Microsoft verwendet werden.

Diese Sicherheitslücken betreffen Exchange Server. Exchange Online-Kunden sind bereits vor den in diesen SUs behandelten Sicherheitslücken geschützt und müssen außer der Aktualisierung aller Exchange-Server in ihrer Umgebung keine weiteren Maßnahmen ergreifen.

Windows Extended Protection aktivieren

In einer Ergänzung weist Microsoft darauf hin, dass Administratoren zum beheben einiger Schwachstellen, die im August/Oktober 2022 geschlossen wurden, den erweiterten Windows-Schutz (Windows Extended protection) auf Ihren Exchange-Servern (in IIS)aktivieren müssen. Zur  Aktivierung dieser Funktion stellt Microsoft ein Skript bereit (die aktuelle Version findet sich hier). Vor der Aktivierung der Extended Protection (EP) auf Produktivsystemen sollte geprüft werden, ob die Voraussetzungen auch erfüllt sind. Die Aktivierung von Extended Protection (EP) wird nur von bestimmten Exchange-Versionen unterstützt. Problem werden auch die zahlreichen "Known Issues" werden, die in den Voraussetzungen genannt werden.

Ähnliche Artikel:
Sicherheitsupdates für Exchange Server (Januar 2022)
Sicherheitsupdates für Exchange Server (8. März 2022)
Exchange Server April 2022 CU (20.4.2022)
Kumulative Exchange Updates Juni 2021 veröffentlicht
Probleme mit Exchange März 2022-Updates
Microsoft 365-Bug: Mails aus Exchange Online und Outlook landen im Spam-Ordner
Microsoft Exchange Admin-Portal wegen ausgelaufenem Zertifikat blockiert
Exchange Update-Fehler und -Infos (13. April 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Exchange 2016/2019: Outlook-Probleme durch AMSI-Integration
Exchange Server September 2021 CU kommt zum 28.9.2021 mit Microsoft Exchange Emergency Mitigation Service
Exchange Server 2016-2019: Benutzerdefinierte Attribute in ECP nach CU-Installation (Juli 2021) nicht mehr aktualisierbar
Basic Authentication in Exchange Online wird ab Oktober 2022 eingestellt

Exchange: Extended Protection, Checkliste und Probleme
Update für Exchange Extended Protection-Script, aber weiterhin Fehler
Exchange 2016/2019: Outlook-Probleme durch AMSI-Integration
Exchange Server September 2021 CU kommt zum 28.9.2021 mit Microsoft Exchange Emergency Mitigation Service
Exchange Health Checker – Script-Erweiterungen von Frank Zöchling
Exchange Server Sicherheitsupdates (9. August 2022)


Anzeige

Exchange Server werden über 0-day Exploit angegriffen (29. Sept. 2022)
Microsofts Empfehlungen für die Exchange Server 0-day-Schwachstelle ZDI-CAN-18333
Neues zur Exchange Server 0-day-Schwachstelle ZDI-CAN-18333: Korrekturen, Scripte und EMS-Lösung
Exchange Server: Microsofts 0-day-Schutz aushebelbar, neue Einschätzungen (3. Oktober 2022)
Exchange Server: Microsofts bessert Lösungen für 0-day-Schutz nach (5. Oktober 2022)
Exchange Server: Neue 0-day (nicht NotProxyShell, CVE-2022-41040, CVE-2022-41082)
Microsoft Exchange Server: Remote Code Execution-Schwachstelle CVE-2022-23277 trotz Patch ausnutzbar?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

30 Antworten zu Exchange Server Sicherheitsupdates (11. Oktober 2022)

  1. Reidler sagt:

    Guten Morgen an die Runde,
    ich habe das August SU nicht installiert, kann ich gleich das Oktober SU installieren oder muss ich zuerst das August und dann das Oktober SU installieren?
    Ist ein Exchange 2016 mit aktuellsten CU.

    • Gregor sagt:

      Guten Morgen,

      ja, kannst du, auch die Exchange Security Updates sind kumulativ:

      "Exchange Server security updates are cumulative (an update released in April will also contain security fixes released in March, for example). We also announce all major updates on our blog."

      https://techcommunity.microsoft.com/t5/exchange-team-blog/why-exchange-server-updates-matter/ba-p/2280770

    • Gernot sagt:

      Ja du kannst direkt das Oktober SU installieren

      • Dominik sagt:

        hmm jaa so habe ich es auch gemacht.

        Exchange CU 23 installiert und direkt Oktober SU installiert ohne die Mai und August Updates.

        bekomme nun beim Versuch die Extended Protection zu aktivieren folgenden Fehler:

        Fehlermeldung:

        Das Argument für den Parameter "SiteVDirLocations" kann nicht überprüft werden. Das Argument ist NULL oder leer, oder ein Element der Argument Auflistung enthält einen NULL Wert. Geben Sie eine Auflistung an, die keine NULL-Werte enthält und führen Sie dann den Befehl erneut aus.

        Zeichen 35 in Exchange-Script

        hat jemand eine Idee? Finde absolut nichts dazu.

  2. Dominik sagt:

    laut Frankysweb bei Exchange 2016 nach Installation "Totalausfall"

    https://www.frankysweb.de/exchange-server-neue-sicherheitsupdates-oktober-2022/

    Martin
    12. Oktober 2022 um 13:59
    exchange 2016 update:
    auf 2 verschiedenen servern totalausfall, dienste starten nciht mehr. Deinstallation fehlgeschlagen. Snapshot wiederherstellung

    Antworten
    Ralph
    12. Oktober 2022 um 14:05
    Das Update oder was auch immer hat bei uns die „Windows Dienste" teilweise deaktiviert (anstatt manuell oder automatisch).
    Leider nicht alles im Protokoll erkennbar gewesen.
    Exchange Dienste waren alle deaktiviert und konnten somit auch bei einem Neustart nicht starten oder gestartet werden.

    Nachdem die Dienste wieder entsprechend eingestellt sind läuft alles wieder.

  3. D-Elektronik sagt:

    Moin,
    wollte nur noch anmerken, dass Extended Protection tatsächlich funktioniert hat. Ich hatte wegen dem aktuellen Loch den URL-Rewrite schon manuell eingetragen. Per EP passierte allerdings noch nichts. MS hatte nach einigen Tagen bemerkt, dass die URL-Maske noch etwas weiter gefasst werden muss. Die korrigierte Fassung wurde dann binnen 24h über EP im IIS eingetragen und stand so neben meinem manuellen Eintrag.
    Man muss EP jetzt nur immer auf der Pfanne haben, falls durch solche Auto-Eingriffe tatsächlich mal Funktionen flöten gehen.

  4. Dominik sagt:

    Ich muss nochmal dumm fragen:

    Examples:
    This syntax enables Extended Protection on all Exchange Servers that are online that we can reach.

    PS C:\> .\ExchangeExtendedProtectionManagement.ps1

    Dieser Befehl reicht schon, damit ich die ExtendedProtection auf meinem einzigen Exchange 2016 aktivieren kann oder?

    • cram sagt:

      Ja, wenn du direkt auf deinem Exchange bist und mit dem entsprechenden Konto.

      "Make sure that the account you are using is a member of the Organization Management role group."

      • Dominik sagt:

        oder als Domänen-Admin angemeldet ?

          • Dominik sagt:

            Ich erhalte beim aktivieren der Extended Protection folgenden Fehler:

            Das Argument für den Parameter "SiteVDirLocations" kann nicht überprüft werden. Das Argument ist NULL oder leer, oder ein Element der Argument Auflistung enthält einen NULL Wert. Geben Sie eine Auflistung an, die keine NULL-Werte enthält und führen Sie dann den Befehl erneut aus.

            Zeichen 35 in Exchange-Script

            Exchange 2016 auf Server 2012 – 15.01.2507.013 (Oktober 2022 SU Update auf CU 23)

    • Gernot sagt:

      Hat auch schon mal jemand mit dem Script die ExtendedProtection wieder zu deaktivieren versucht (falls es danach zu Problemen gekommen ist)? Hats geklappt und wie war die Syntax?

      • Dominik sagt:

        würde ich auch gerne wissen, ob sie schon jemand über das Script deaktivieren konnte :-)

        die Syntax lautet:

        Deaktivieren:
        This syntax rolls back the Extended Protection configuration for all the Exchange Servers that are online where Extended Protection was previously configured.
        NOTE: This is done by restoring the applicationHost.config file back to the previous state before Extended Protection was configured. If other changes occurred after this configuration, those changes will be lost.

        PS C:\> .\ExchangeExtendedProtectionManagement.ps1 -RollbackType "RestoreIISAppConfig"

  5. cram sagt:

    Update problemlos durchgelaufen.

    Server 2016 mit Exchange 2016 CU22!

    • Roger H sagt:

      Auch bei uns verlief die Installation des Oct22SU auf allen Exchange Servern problemlos. Installation erfolgte manuell über die jeweilige EXE aus einer elevated CMD heraus.

      2x Exchange Server 2019 CU12 auf Windows Server 2019 (Core und Desktop) und 1x Exchange 2016 CU23 (Windows Server 2012 R2 Desktop).

  6. Anonymous sagt:

    Exchange 2013 (auf Windows Server 2012 R2) alle Updates ohne Probleme installiert. Extended Protection und die URL Rewrite-Regel hatte ich vorher schon aktiv.

  7. Matze82 sagt:

    Installation des Oct22SU auf Exchange Server 2016 CU23 mit August22SU und aktivierter Extended Protection erfolgreich. Installation erfolgte manuell über die jeweilige EXE aus einer elevated CMD heraus. Der Virenwächter wurde während der Installation deaktiviert.

  8. Tim81 sagt:

    Kennt jemand das beim versuchten Upgrade von CU22 auf C23 das Setup Fenster einfach gar nicht angezeigt wird und man es gar nicht starten kann ?
    ISO gemounted und als Admin das Setup gestartet wie bei allen CUs vorher auch schon.

  9. Dominik sagt:

    Ich erhalte beim aktivieren der Extended Protection folgenden Fehler:

    Das Argument für den Parameter "SiteVDirLocations" kann nicht überprüft werden. Das Argument ist NULL oder leer, oder ein Element der Argument Auflistung enthält einen NULL Wert. Geben Sie eine Auflistung an, die keine NULL-Werte enthält und führen Sie dann den Befehl erneut aus.

    Zeichen 35 in Exchange-Script

    Exchange 2016 auf Server 2012 – 15.01.2507.013 (Oktober 2022 SU Update auf CU 23)

    • Dominik sagt:

      Problem wurde gelöst. Es gab nochmal ein Update vom Script, danach ging es.
      Lag wohl daran, dass man direkt auf das Oktober SU Update gegangen ist und nicht vorher August installiert CU installiert hat. Er hat die KB Nummer gesucht, die logischerweise nicht vorhanden war.

  10. technikk sagt:

    Hallo miteinander,

    ich ärgere mich auch mit dem Update KB5019077 herum. MSX19, CU12, SU2 (08/22), onprem, VM
    Das Einspielen über Windows-Update schlug mit Fehler 1603 fehl: MSX-Dienste sind danach alle deaktiviert und lassen sich auch nicht manuell starten. Der MSX-AD-Topologie Dienst ist abhängig vom Net.TCP Port Sharing Service, der allerdings gestartet ist.
    Auf reddit gibts noch Hinweise auf .NET4.8-Probleme; fehlende/falsche SharedWebconfig.config-Dateien (ASP.NET 4 Events 1310 sollen darauf hinweisen, die bei mir auch auftauchen); MS schreibt was von Zugriffsrechten, aber leider komme ich nicht weiter:
    Zugriffsrechte sind da; SharedWebconfig.config-Datei unter …/httpproxy habe ich einmal neu generieren lassen, danach tauchten weitere Fehler auf also rückgängig gemacht;
    .NET-Repairtool machte was, aber das Problem blieb; eine Neuinstallation/Reparatur von 4.8, weil schon installiert (höhere Nummer) brachen daher ab;
    Dienste starten nicht (auch über Powershell-Script (Reddit) nicht);
    und eigentlich würde ich eine Neuinstallation vermeiden.
    Auch manuelles Einspielen des SU bricht immer wieder ab.

    Frage: Wenn es ohne Eure hilfreichen Ideen doch darauf hinausläuft, ein ".\setup /m:upgrade /IAcceptExchangeServerLicenseTerms" zu machen, was muß ich ggf. beachten, damit ich nicht komplett alles neu konfigurieren muß (konfig, user, db, etc)?

    Vielen Dank und Euch ein entspanntes WE.

    • Anonymous sagt:

      Ich habe mich zu einem "upgrade" entschloßen, jetzt gibt das Setup folgenden Fehler aus:
      "Der Typeninitialisierer Microsoft.Exchange.Management.Powershell.CmdletConfigurationEntr hat eine Ausnahme verursacht. Die
      Datei oder Assembly "Microsoft.Exchange.Data.Mailbox.Loadbalance Version-15.0.0.0" der Rest ist nicht mehr zu lesen…

      Weiß jemand noch einen Rat?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.