Exchange Server Sicherheitsupdates (8. August 2023)

Exchange Logo[English]Microsoft hat zum 8. August Sicherheitsupdates für Exchange Server 2016 und Exchange Server 2019 veröffentlicht. Diese Sicherheitsupdates schließen Schwachstellen in dieser Software. Die Updates sollen zeitnah auf den Systemen installiert werden, um die betreffenden Schwachstellen zu schließen.


Anzeige

Ich bin auf Twitter auf nachfolgenden Tweet des Exchange-Teams zu den Sicherheitsupdates für Exchange Server 2016 und Exchange Server 2019 gestoßen.

Exchange August 2023 Updates

Microsoft hat den Techcommunity-Beitrag Released: August 2023 Exchange Server Security Updates mit einer Beschreibung der Sicherheitsupdates veröffentlicht. Es stehen Sicherheitsupdates für folgende Exchange-Server CU-Versionen zur Verfügung.

  • Exchange Server 2016 CU23 entfernt
  • Exchange Server 2019 CU12 entfernt und CU13 entfernt

SUs sind als selbstextrahierendes .exe-Paket sowie als Original-Update-Pakete (.msp-Dateien) erhältlich, und können aus dem Microsoft Update Catalog heruntergeladen werden. Microsoft schreibt im Techcommunity-Beitrag, dass die Sicherheitsupdates Schwachstellen beheben, die Microsoft von Sicherheitspartnern gemeldet und durch die internen Prozesse von Microsoft gefunden wurden. Details zu den Schwachstellen wurde keine genannt. Im Beitrag Microsoft Security Update Summary (8. August 2023) hatte ich diesbezüglich folgendes angegeben.

  • CVE-2023-21709: EoP Schwachstelle in Microsoft Exchange Server; CVEv3 Score 9.8, important; Ein nicht authentifizierter Angreifer könnte diese Schwachstelle ausnutzen, indem er versucht, das Passwort für gültige Benutzerkonten zu erzwingen. Bei erfolgreicher Ausnutzung (als wenig wahrscheinlich eingestuft) könnte sich der Angreifer "als ein anderer Benutzer anmelden". Laut dem Advisory sind zusätzliche Schritte erforderlich, um diese Sicherheitslücke zu schließen. Nach der Anwendung des Patches muss ein PowerShell-Skript ausgeführt werden. Es wird empfohlen, die neuesten Informationen von Microsoft im Advisory nachzulesen, um diese Sicherheitslücke erfolgreich zu beheben.
  • CVE-2023-38181, CVE-2023-38185, CVE-2023-35368, CVE-2023-38182, CVE-2023-35388, Microsoft Exchange Server Schwachstellen; CVEv3 Score 8.0 – 8.8 , important; Ein authentifizierter Angreifer kann durch Ausnutzung dieser Schwachstellen (als wenig wahrscheinlich eingestuft) Code über eine PowerShell-Remoting-Sitzung ausführen. Um diese Schwachstelle erfolgreich auszunutzen, müsste der Angreifer zunächst über LAN-Zugang und gültige Anmeldeinformationen für einen Exchange-Benutzer verfügen.

Obwohl Microsoft keine aktiven Exploits in freier Wildbahn bekannt sind, wird empfohlen, diese Updates zur Absicherung sofort zu installieren. Beachtet Microsofts Hinweise zur Update-Installation, und was sonst zu beachten ist. Hier die Liste der behobenen Probleme:

DST settings are inaccurate after an OS update

Probleme in Verbindung mit den Sicherheitsupdates werden folgende angegeben:

Customers impacted by the upcoming Microsoft 365 AES256-CBC encryption change need to perform a manual action to enable new encryption algorithm after August 2023 SU is installed. Please see this KB article. We will remove the requirement for manual action in a future update.

Ergänzung: Es gibt aber erste Hinweise, dass die Update-Installation auf Exchange-Servern fehl schlägt, weil Dienste nicht mehr starten. Dennis hat mir auf Facebook den Hinweis auf seinen Workaround in Form eines Scripts gegeben, den er unter dem Alias bloodking in den Kommentaren im Exchange-Blog eingestellt hat (danke dafür). Laut Microsoft soll der Health Checker nach der Installation ausgeführt werden, um zu sehen, ob weitere Aktionen erforderlich sind.

Ergänzung: Das obige Script hilft nicht wirklich weiter – Microsoft hat die Sicherheitsupdates zurückgezogen – weiteres im Folgebeitrag Desaster Exchange August 2013-Sicherheitsupdate – nicht installieren!.

Ergänzung 2: Microsoft hat einen Workaround gepostet – siehe Workaround für Exchange August 2023 Sicherheits-Update Installationsprobleme.


Anzeige

Diese Sicherheitslücken betreffen Exchange Server. Exchange Online-Kunden sind bereits vor den in diesen SUs behandelten Sicherheitslücken geschützt und müssen außer der Aktualisierung aller Exchange-Server in ihrer Umgebung keine weiteren Maßnahmen ergreifen.

Ähnliche Artikel:
Microsoft Security Update Summary (8. August 2023)
Patchday: Windows 10-Updates (8. August 2023)
Patchday: Windows 11/Server 2022-Updates (8. August 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (8. August 2023)
Microsoft Office Updates (8. August 2023)

Exchange Server Sicherheitsupdates (8. August 2023)
Desaster Exchange August 2023-Sicherheitsupdate – nicht installieren!
Workaround für Exchange August 2023 Sicherheits-Update Installationsprobleme


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

29 Antworten zu Exchange Server Sicherheitsupdates (8. August 2023)

  1. Philipp sagt:

    Achtung gibt wohl Problem auf Servern mit Deutscher Sprache Neue Sicherheitsupdates für Exchange Server (August 2023)

  2. Carsten sagt:

    Achtung: Das Update funktioniert nicht auf deutschen Exchange Servern! Es gibt auch schon Berichte, dass das Update bei manchen den kompletten Exchange zerschoßen hat.

    Benutzer von der deutschen Exchange Version sollten von diesem Update vorerst absehen.

    Gruß

  3. flo sagt:

    Jetzt nicht das erste mal dass ein Exchange Update die Dienste deaktiviert. Aber so viele waren es glaube ich noch nie.

    Bei mir war es nur ein Server, der Fehler schnell gefunden und der Fix ein wenig Klickarbeit, aber puh. Was soll das?

  4. Sebastian Welsch sagt:

    Da wacht man einmal um kurz vor 5 auf und liest deinen Blog… und dann die Mails vom RMM. Kaffee brauche ich heute keinen mehr ;-)

    Wir hatten 15 Kunden Exchange Server 2016 – keiner war defekt und liesen sich mit dem Powershell Script s.u. wieder aktivieren. Datenbanken waren keine defekt. Eventuell war Glück im Spiel, da wir per NAble RMM Patchen und dort das Installationsfile ausgeführt wird und scheinbar überall ein Rollback erfolgte. Ich hoffe die Installation der Exchange ist nicht defekt.

    https://techcommunity.microsoft.com/t5/exchange-team-blog/released-august-2023-exchange-server-security-updates/bc-p/3894481/highlight/true#M36648

  5. Micha sagt:

    In der Beschreibung ist was falsch.
    Der Exchange 2016 ist nur noch mit CU23 supported.

    Die Links beziehen sich alle auf Exchange 2019

    falsch:
    Exchange Server 2016 CU12 und CU13

  6. Dieter sagt:

    Das genannte Skript setzt lediglich standardisiert den Starttyp von Diensten. Das Problem des Update-Rollbacks auf den betroffenen Systemen wird nicht behoben. Die Systeme bleiben ungepatcht und angreifbar.
    Des Weiteren ist es wahrscheinlich, dass das Skript nicht exakt den vorherigen Stand der Dienstekonfiguration "trifft". Dies sollte in jedem Falle geprüft werden (z.B.: "C:\ExchangeSetupLogs\ServiceControl.log").
    Danach das HealthChecker-Skript ausführen.
    Auch das SetupAssist-Skript kann helfen:
    https://microsoft.github.io/CSS-Exchange/Setup/SetupAssist/

  7. michael sagt:

    Wäre echt ärgerlich, wenn der Kä$se noch Geld kosten würde. Gab auch was für unseren Ex – das Update gescheitert und dann alle Ex Dienste autom. deaktiviert :-) Mail DB sind in der M$ Cloud, kaputt sind aktuell nur die Freigaben etc die noch onprem sind. Die Migration dauert bei uns schon 3 Wochen. Schon lange nicht mehr so gelacht. kann das gar nicht mehr Ernst nehmen – wieder die Dienstleister, Entscheider und M$ sowieso nicht.

  8. Olli sagt:

    Bei MS steht aktuell ein erster Eintrag, dass es auch französische Systeme betrifft und ein Hinweis das sich wohl auch andere SUs (ggf. nachdem diese vorher entfernt wurden) nicht wieder installieren lassen.

    Sollten sich da jetzt generell keine SU mehr installieren ist vielleicht mehr kaputt als nur das aktuelle SU.

    • Frank sagt:

      Wir bekommen hier auf einem Node (der sich dummerweise trotz Einstellung "manuell" automatisiert die Patches gezogen hat!) beim starten der Dienste Kernel-Fehler.

      Da ist in der Tat mehr kaputt und ich hab zus. das neue .NET Update in Verdacht.

  9. Michael Uray sagt:

    Man fragt sich ja schon, wie MS ihre Software testet bevor diese für Millionen Server freigegeben wird.
    Gibt es da keine automatisierten Tests mit hunderten Servern in verschiedenen Sprachen und Konfigurationen?

    Warum wird so ein Update nicht sofort wieder zurückgezogen?
    Aktuell ist es immer noch verfügbar.

  10. Heiko sagt:

    Laut MS sollte es ja wohl schon helfen, selbst ohne Patch, den Command in den Server zu jagen, oder…

    Although Microsoft recommends installing the security updates as soon as possible, running the script or the commands on a supported version of Exchange Server prior to installing the updates will address this vulnerability.

    Kann das jemand bestätigen…

  11. Olli sagt:

    Entweder konnte in Seattle jemand nicht schlafen oder hat vor dem zu Bett gehen noch mal in sein Postfach geschaut:

    Nun steht es hier: https://techcommunity.microsoft.com/t5/exchange-team-blog/released-august-2023-exchange-server-security-updates/bc-p/3894481/highlight/true#M36648

    seit einigen Minuten:

    """We are aware of Setup issues on non-English servers and have temporarily removed August SU from Windows / Microsoft update last night. If you are using a non-English language server, we recommend you wait with deployment of August SU until we provide more information."""

    Wie spät ist es jetzt in Seattle

  12. Jürgen sagt:

    "We are aware of Setup issues on non-English servers and have temporarily removed August SU from Windows / Microsoft update last night. If you are using a non-English language server, we recommend you wait with deployment of August SU until we provide more information."

    https://techcommunity.microsoft.com/t5/exchange-team-blog/released-august-2023-exchange-server-security-updates/ba-p/3892811

  13. Jan sagt:

    Exchange 2016 engl. auf W2016 engl. keine Probleme! Skript noch nicht getestet. Health Checker zeigt folgerichtig noch CVE-2023-21709 Vulnerability…

  14. 12gang sagt:

    Um 20.00 Uhr hat unser WSUS nochmals neue Exchange Updates gesynct, nachdem ich die von gestern heute – wie immer (da ich immer die aktuellsten manuell heruntelade) – abgelehnt hatte.
    Es keimte schon Hoffnung auf, aber im Exchange Team Blog wird kein Re-Release erwähnt. Vermutlich ein Freigabefehler von MS, eine neuerliche Posse, meine Herren.
    Oder hat jemand anderweitige Erfahrungen?

  15. Jan sagt:

    Heute noch das Skript laufen lassen. Outlook hing für 2 min. Danach bis jetzt alles gut einschließlich OWA und ActiveSync. Health Checker ist jetzt zufrieden…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.