Exchange Server Sicherheits-Updates (12. März 2024)

Exchange Logo[English]Microsoft hat zum 12. März 2024 Sicherheitsupdates für Exchange Server 2016 und 2019 veröffentlicht. Diese Updates beheben Sicherheitslücken, die Microsoft von Sicherheitspartnern gemeldet und durch die internen Prozesse von Microsoft gefunden wurden. Die Updates sollten laut Microsoft zeitnah installiert werden.


Anzeige

Ich bin gerade auf nachfolgenden Tweet des Exchange-Teams zu den Sicherheitsupdates für Exchange Server 2016 und Exchange Server 2019 gestoßen.

Exchange Server security update March 2024

Microsoft hat den Techcommunity-Beitrag Released: March 2024 Exchange Server Security Updates mit einer Beschreibung der Sicherheitsupdates veröffentlicht. Es stehen Sicherheitsupdates für folgende Exchange-Server CU-Versionen zur Verfügung.

SUs sind als selbstextrahierendes .exe-Paket sowie als Original-Update-Pakete (.msp-Dateien) erhältlich, und können aus dem Microsoft Update Catalog heruntergeladen werden.


Anzeige

Microsoft schreibt im Techcommunity-Beitrag, dass die Sicherheitsupdates Schwachstellen beheben, die Microsoft von Sicherheitspartnern gemeldet und durch die internen Prozesse von Microsoft gefunden wurden. Diese Sicherheitslücken betreffen On-Premises Exchange Server. Exchange Online-Kunden sind bereits vor den Sicherheitslücken geschützt.

Security Advisory ADV24199947

Microsoft weist darauf hin, dass Exchange Server nach der Installation dieses Sicherheitsupdates nicht mehr die Oracle Outside In Technology (auch bekannt als OutsideInModule oder OIT) verwendet. OIT führt Textextraktionsvorgänge bei der Verarbeitung von E-Mail-Nachrichten mit Anhängen in Exchange Transport Rule (ETR) und Data Loss Prevention (DLP)-Szenarien durch. Details finden sich unter The OutsideInModule module is disabled after installing the March 2024 SU.

Probleme mit den Updates

Hier im Blog gibt es diesen Kommentarthread, der sich mit dem Oracle-Thema sowie dem nachfolgend erwähnten kaputten OWA befasst. In den Nutzerkommentaren zum Techcommunity-Beitrag Released: March 2024 Exchange Server Security Updates findet sich ein Nutzerbeitrag, der von OWA-Problemen berichtet.

–> installing the March 2024 SU will address a RCE vis a CVSS score of 8.8 [CVE-2024-26198], but will break attachment functionality for OWA clients on environments with Download Domains configured…..and the hope is some future fix (at date TBD) will restore the attachment functionality for OWA clients?
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26198
–> disabling Download Domains allows OWA attachments to still work correctly even with March 2024 SU installed, but leaves the systems exposed to an older, but different RCE with a CVSS score of 5.4 [CVE-2021-1730]
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1730
to me it seems like if full OWA functionality is important to an environment, the compromise is to install the March 2024 SU (fixing the higher scored CVE), but disable Download Domains until there is a later fix to restore functionality. that obviously opens the door to the apparently lower scored [CVE-2021-1730] but i can't see that its practical for OWA users to not have access to attachments.

Microsoft arbeitet an einem Fix für dieses Problem und es gibt den Supportbeitrag hier – in diesem Kommentar hier im Blog listet ein Leser weitere Punkte auf, die ihm untergekommen sind.

Ergänzung: Frank Zöchling hat diesen Beitrag zu den Sicherheitsupdates März 2024 online gestellt. Gibt einzelne Nutzerkommentare zu Problemen – SU über Windows Update installieren wirft Fehler 0xd0000034 (wie bei Windows Server 2019, siehe Link-Liste am Artikelende). Es gibt die Frage, ob wer Probleme mit der Outlook-Suche nach dem Update habe – was bei einer Terminalserver-Installation bestätigt wird. Andreas Bohren (Icewolf) hat sich der Installation der Sicherheitsupdates März 2024 in diesem Beitrag angenommen.

Ähnliche Artikel:
Microsoft Security Update Summary (12. März 2024)
Patchday: Windows 10-Updates (12. März 2024)
Patchday: Windows 11/Server 2022-Updates (12. März 2024)
Windows 10/Server 2019: Update KB5035849 scheitert mit Fehler 0xd0000034


Anzeige

Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

58 Antworten zu Exchange Server Sicherheits-Updates (12. März 2024)

  1. TBR sagt:

    Das SU ließ sich problemlos auf einem EX 2019 CU 14 installieren.
    ACHTUNG es gib eine paar "Known issues". Nachzulesen im Exchange Team Blog.

    Known issues with this release:

    Download domains not working after installing the March 2024 SU
    OwaDeepTestProbe and EacBackEndLogonProbe fail after installing March 2024 SU
    FAQs

    • M sagt:

      Hallo,

      für die Probes gibt es ein Unterdrückungsbefehl (Laufzeitbegrenzt auf 60 Tage):

      Add-GlobalMonitoringOverride -Identity OWA.Protocol\OwaDeepTestProbe -ItemType Probe -PropertyName Enabled -PropertyValue 0 -Duration 60.00:00:00

      (im MS-Artikel ist hier ein Leerzeichen hinter "OWA." zu viel)

      Add-GlobalMonitoringOverride -Identity ECP\EacBackEndLogonProbe -ItemType Probe -PropertyName Enabled -PropertyValue 0 -Duration 60.00:00:00

  2. M sagt:

    Hallo,

    das Entfallen von Orcacle OutsideIN betrifft die Analyse folgender Dateitypen im Rahmen von Transportregeln und DLP:

    * Jpeg
    * Tiff
    * AutoCAD

  3. Daniel A. sagt:

    Persönlich stört mich das mit den Download Domains am meisten. Ich habe jetzt also die Wahl die Funktion kaputt zu machen (doof, ich habe externe Anwender, die nur per OWA arbeiten) oder sie abzuschalten und damit die alte Sicherheitslücke wieder aufzureißen.
    Ich kapiere echt nicht, wie MS sowas als fertiges Update raushauen kann und dann meint: "Jo wissen wir, werden wir in ein paar Wochen fixen".

    • Dominik Umbach sagt:

      Da fehlen mir auch die Worte…

    • Carsten sagt:

      Tja, das ist die Schiene, die MS jetzt ganz unscheniert fährt um die Leute immer aggressiver in die Cloud zu treiben. EXO ist mal wieder nicht von diesem Problem betroffen, trotzdem wird der fix der Öffentlichkeit mehrere Wochen vorenthalten…

      Letztendlich kannst du jetzt selber entscheiden, welcher CVE dir gefählicher vorkommt. Die Download Domains lassen sich relativ einfach per Powershell deaktivieren und nachdem es einen fix gibt (hoffentlich) wieder aktivieren.

    • Klausi sagt:

      finsterstes Frickelwerk für die Microsafties

  4. Manuel sagt:

    Hallo!
    Ist jemanden bekannt, ob es nach der Installation von dem Update Probleme mit den SMTP-Konnektoren gibt? Seid dem Update haben wir Probleme mit dem Mailversand von Multifunktionsgeräten via SMTP.

  5. t sagt:

    Nach dem Update Server 2022/Exchange CU14 war mein Energiesparplan auf Balanced, so dass der HealthChecker meckert.

    • Olaf E. sagt:

      Sowas ist mir in der Vergangenheit öfter mal aufgefallen, dass Server, die wissentlich auf Höchstleistung eingestellt waren, plötzlich auf Ausbalanciert standen. Zu viele Server jedenfalls, um das als einen durchgerutschten abzuhaken.

      • Flip sagt:

        Dieses Verhalten habe ich auch schon auf Clients beobachtet.. ich war sicher, auf Höchstleistung gestellt zu haben und hab schon etwas an mir gezweifelt. Eine GPO oder ähnliches konnte ich ausschliessen. Es scheint fast so, dass sich hier gewisse Subsysteme gegenseitig reinfunken.

  6. Dominik sagt:

    Kann man sich Anlagen aus OWA auch nicht mehr anschauen ? Oder geht „nur" der Download der Dateien nicht und die lokale Speicherung ?

  7. Stefan (AT) sagt:

    Ich habe jetzt einige Links durchgeklickt aber was fixt das Update jetzt wirklich? Nur diese beiden OWA-Schwachstellen?

    • R.S. sagt:

      Es korrigiert den folgenden Fehler:
      EWS search request displays inaccurate results
      Und es stopft die Sicherheitslücke CVE-2024-26198:
      ***
      Laut der CVSS-Metrik ist der Angriffsvektor Netzwerk (AV:N) und es ist eine Benutzerinteraktion erforderlich (UI:R). Welcher Zielkontext wird für die Remotecodeausführung verwendet?

      Dieser Angriff erfordert, dass eine speziell gestaltete Datei entweder in einem Online-Verzeichnis oder an einem lokalen Netzwerkspeicherort abgelegt wird. Wenn ein Opfer diese Datei ausführt, lädt es die bösartige DLL.

      Wie könnten Angreifende vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?

      Nicht authentifizierte Angreifer*innen könnten die Sicherheitslücke ausnutzen, indem sie eine speziell entwickelte Datei in einem Online-Verzeichnis oder im lokalen Netzwerk ablegen und Benutzer*innen dazu bringen, diese zu öffnen. Bei einem erfolgreichen Angriff wird dann eine schadhafte DLL geladen, die zur Ausführung von Remotecode führen kann.
      ***

      Damit ein nicht authentifizierter Angreifer eine Datei im lokalen Netzwerk ablegen kann, müsste er erst einmal ins Netzwerk kommen. Und dann hat man ein noch viel schwereres Problem als diese Exchange-Lücke.

      Die Ausnutzbarkeit der Lücke setzt also auf die Dummheit der Benutzer, die eine unbekannte Datei öffnen wollen.

      • Stefan (AT) sagt:

        Hi,

        danke für die Erklärung.

        Scheint wohl wirklich so zu sein. Na, dann warte ich mal etwas ab, welche Problemchen noch auftauchen könnten bevor ich das einspiele.

  8. Dreise sagt:

    Auf unseren Domain Controller (Server 2016) verbraucht der Prozess (Local Security Authority Process) sehr viel RAM, über 10GB aktuell

  9. Daniel A. sagt:

    Gibt in den Kommentaren im MS-Blog übrigens vermehrt Beschwerden, dass nach dem Update die Suche in Outlook kaputt ist. Wurde von denen aber noch nicht offiziell als "Known Issue" bestätigt. Was ein Krampf mal wieder, und dann wundern sie sich, wenn so viele ungepatchte Systeme existieren.

  10. Mario Stockinger sagt:

    Bei unserer Umgebung (Exchange2016, Office2016) sind bei den neuen Mails egal ob gelesen oder nicht oder auch bei allen neuen Gesendenten Mails Gelbe Ungelesen Mail icons dabei.

    Wenn man auf ein Mail Antwortet kommet das korrekte Symbol mit offenem Umschlag und dem Violetten Pfeilchen.

    Bei uns fragen halt die Leute nach deswegen was etwas nervig ist.
    Die März Updates sind noch nicht Windows noch Office ausgerollt in unserer Umgebung.

    Wir verwenden CodeTwo für Signature. Mein Kollege hat den Verdacht geäußert es hat damit zu tun. Mails die von Extern kommen und nicht durch CodeTwo in der Signatur bearbeitet werden ist das Symbol nicht dabei.

    • Inselaffe sagt:

      Wir haben das Problem völlig random bei internen und externen Mails. Mal hat eine Mail vom gleichen Absender das Symbol, mal nicht.

      • Carsten sagt:

        Laut den Kommentaren aus dem Exchange Blog lässt nicht kein Zusammenhang zu CodeTwo herauslesen. Ich denke nicht, dass es so einfach ist mMn.

        Grüße

    • Steffen T. sagt:

      Moin,

      bei uns betrifft es (bisher) nur interne Mails. Mails von extern verhalten sich normal.
      Umgebung: Exchange 2016 + Office 2016

      • Master Janosch sagt:

        Kann ich so bestätigen, dieses Verhalten. Einziges Muster ist bisher intern vs. extern.; eigentlich nett, aber irgendwie "ungewohnt".

    • phatair sagt:

      Wir haben das gleiche Problem.
      Exchange 2016 und Oultook 2016.
      Seit dem SU ist bei allen internen Mails der gelbe Umschlag vorhanden. Er geht nicht weg, außer man antwortet/weiterleitet eine Mail.

      Wir verwenden für die Signatur CI-Solution, kein CodeTwo

    • Werner sagt:

      selbiges Problem bei uns.. Leute rufen an

    • Daniela S. sagt:

      Kurze Frage…kann es sein, dass diese Icons (egal ob Gelb oder auch mit violettem Pfeil) bei O365 nicht mehr vorhanden sind und sich das nur auf Office 2016 bezieht?
      Danke euch

    • Jan sagt:

      Die gelben Mail Icons haben wir nun auch. (Exchange 2016, alle Outlook Versionen seit 2019/365 betroffen)

      Liegt an folgendem Eintrag im Header:

      Content-Type: application/ms-tnef; name="winmail.dat"

      Mails von OWA oder per Active Sync/Smartphone sind nicht betroffen. Interne Mails von unseren Monitoring/Linux Lösungen auch nicht. Betrifft scheinbar nur MAPI/HTTPS.

      Nachrichten werden scheinbar in TNEF umgewandelt.

    • André G. sagt:

      wir haben das gleiche Thema mit OL365 (v2308)/Exch2016… bei internen Mails

      wenn ich die 'Gelesen/Ungelesen'-Spalte im Posteingang aktiviere, dann erscheint das entsprechende Symbol – mit einem kleinen Unterschied. Die Linie im Umschlag ist beim OL-Symbol transparent und einen Hauch kleiner. Das neu aufgetauchte Symbol hat hingegen eine weiße Linie.
      Es ist also nicht das 'Ungelesen'-Symbol, sondern eins, das (wahrscheinlich) per Outlook Message class-Icon hinzugefügt wurde

    • André G. sagt:

      NACHTRAG… hab's gerade erst gesehn:
      in den 'Known issues with this release' in
      https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2024-exchange-server-security-updates/ba-p/4075348
      wird genau dieses Problem beschrieben und als 'cosmetic' eingestuft.
      Kann also dauern!

  11. Arne sagt:

    Hallo

    Die Suche geht in Outlook 2021 Exchange 2019 nicht mehr.
    "Wir haben Probleme beim Abrufen der Ergebnisse vom Server…."
    :(

    MFG Arne

  12. Mario Heiß sagt:

    Hallo zusammen,

    die Suche geht bei Exchange 2019 über Outlook nicht mehr. Symptome sind langsame Suche und nach Wartezeit die Meldung "Wir haben Probleme beim Abrufen der Ergebnisse vom Server….". Bisher sind alle geprüften Umgebungen betroffen, die das März Update installiert haben:-(
    Der gelbe Umschlag bei den Mails ist bei uns auch schon heiß diskutiert.

    Grüße
    Mario

  13. Martin sagt:

    Für mich ist es noch die offene Frage, ob es ein Bug oder ein Sicherheitsfeature sein könnte. Wir haben den Umschlag nur bei internen Mails, die rein über den Exchange-Server liefen. Dann könnte es ja auch ein "Vertrauenshinweis" sein. Also eine gewisse Maßnahme gegen CEO-Fraud.

  14. Jan sagt:

    Tja, seit wir das KB5036386 eingespielt haben, werden alle internen Nachrichten, die über Outlook geschickt werden, zu TNEF Nachrichten umgewandelt, und enthalten seit heute im Header folgende Information:

    Content-Type: application/ms-tnef; name="winmail.dat"

    Mails von OWA oder per Active Sync/Smartphone sind nicht betroffen. Interne Mails von unseren Monitoring/Linux Lösungen auch nicht.

    Wir fügen keine Disclaimer per Nachrichtenflussregel rein.

    Wir vermuten, dass es also nur die Übertragung per MAPI/HTTPS betrifft.

    Im Einsatz haben wir nur aktuelle Outlook Versionen. Diverse 2019 und 365 Varianten.

  15. Ulrich Völker sagt:

    Hallo,
    Wir haben bei uns gerade folgendes Phänomen festgestellt:
    Wenn wir (on prem Exchange 2016 mit SMIME mit öffentlichem Zertifikat) Emails an M365 Postfächer schicken, sind Anhänge im Outllok-Web für den Zugriff gesperrt. Die einzige Möglichkeit des Zugriffs auf die Attachments ist die Email als eml zu speichern und dann zu öffnen.

  16. Dominik sagt:

    Ich muss mal wieder ne "dumme" Frage stellen. Wenn ich Download Domains nicht konfiguriere oder deaktiviere, funktioniert dann der Download über OWA wieder ?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.