[English]Microsoft hat zum 12. März 2024 Sicherheitsupdates für Exchange Server 2016 und 2019 veröffentlicht. Diese Updates beheben Sicherheitslücken, die Microsoft von Sicherheitspartnern gemeldet und durch die internen Prozesse von Microsoft gefunden wurden. Die Updates sollten laut Microsoft zeitnah installiert werden.
Anzeige
Ich bin gerade auf nachfolgenden Tweet des Exchange-Teams zu den Sicherheitsupdates für Exchange Server 2016 und Exchange Server 2019 gestoßen.
Microsoft hat den Techcommunity-Beitrag Released: March 2024 Exchange Server Security Updates mit einer Beschreibung der Sicherheitsupdates veröffentlicht. Es stehen Sicherheitsupdates für folgende Exchange-Server CU-Versionen zur Verfügung.
- Exchange Server 2016 CU23 SU12 (KB5036386)
- Exchange Server 2019 CU13 SU5 (KB5036402) und CU14 SU1 (KB5036401)
SUs sind als selbstextrahierendes .exe-Paket sowie als Original-Update-Pakete (.msp-Dateien) erhältlich, und können aus dem Microsoft Update Catalog heruntergeladen werden.
Anzeige
Microsoft schreibt im Techcommunity-Beitrag, dass die Sicherheitsupdates Schwachstellen beheben, die Microsoft von Sicherheitspartnern gemeldet und durch die internen Prozesse von Microsoft gefunden wurden. Diese Sicherheitslücken betreffen On-Premises Exchange Server. Exchange Online-Kunden sind bereits vor den Sicherheitslücken geschützt.
Security Advisory ADV24199947
Microsoft weist darauf hin, dass Exchange Server nach der Installation dieses Sicherheitsupdates nicht mehr die Oracle Outside In Technology (auch bekannt als OutsideInModule oder OIT) verwendet. OIT führt Textextraktionsvorgänge bei der Verarbeitung von E-Mail-Nachrichten mit Anhängen in Exchange Transport Rule (ETR) und Data Loss Prevention (DLP)-Szenarien durch. Details finden sich unter The OutsideInModule module is disabled after installing the March 2024 SU.
Probleme mit den Updates
Hier im Blog gibt es diesen Kommentarthread, der sich mit dem Oracle-Thema sowie dem nachfolgend erwähnten kaputten OWA befasst. In den Nutzerkommentaren zum Techcommunity-Beitrag Released: March 2024 Exchange Server Security Updates findet sich ein Nutzerbeitrag, der von OWA-Problemen berichtet.
–> installing the March 2024 SU will address a RCE vis a CVSS score of 8.8 [CVE-2024-26198], but will break attachment functionality for OWA clients on environments with Download Domains configured…..and the hope is some future fix (at date TBD) will restore the attachment functionality for OWA clients?
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26198
–> disabling Download Domains allows OWA attachments to still work correctly even with March 2024 SU installed, but leaves the systems exposed to an older, but different RCE with a CVSS score of 5.4 [CVE-2021-1730]
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1730
to me it seems like if full OWA functionality is important to an environment, the compromise is to install the March 2024 SU (fixing the higher scored CVE), but disable Download Domains until there is a later fix to restore functionality. that obviously opens the door to the apparently lower scored [CVE-2021-1730] but i can't see that its practical for OWA users to not have access to attachments.
Microsoft arbeitet an einem Fix für dieses Problem und es gibt den Supportbeitrag hier – in diesem Kommentar hier im Blog listet ein Leser weitere Punkte auf, die ihm untergekommen sind.
Ergänzung: Frank Zöchling hat diesen Beitrag zu den Sicherheitsupdates März 2024 online gestellt. Gibt einzelne Nutzerkommentare zu Problemen – SU über Windows Update installieren wirft Fehler 0xd0000034 (wie bei Windows Server 2019, siehe Link-Liste am Artikelende). Es gibt die Frage, ob wer Probleme mit der Outlook-Suche nach dem Update habe – was bei einer Terminalserver-Installation bestätigt wird. Andreas Bohren (Icewolf) hat sich der Installation der Sicherheitsupdates März 2024 in diesem Beitrag angenommen.
Ähnliche Artikel:
Microsoft Security Update Summary (12. März 2024)
Patchday: Windows 10-Updates (12. März 2024)
Patchday: Windows 11/Server 2022-Updates (12. März 2024)
Windows 10/Server 2019: Update KB5035849 scheitert mit Fehler 0xd0000034
Anzeige
Das SU ließ sich problemlos auf einem EX 2019 CU 14 installieren.
ACHTUNG es gib eine paar "Known issues". Nachzulesen im Exchange Team Blog.
Known issues with this release:
Download domains not working after installing the March 2024 SU
OwaDeepTestProbe and EacBackEndLogonProbe fail after installing March 2024 SU
FAQs
Hallo,
für die Probes gibt es ein Unterdrückungsbefehl (Laufzeitbegrenzt auf 60 Tage):
Add-GlobalMonitoringOverride -Identity OWA.Protocol\OwaDeepTestProbe -ItemType Probe -PropertyName Enabled -PropertyValue 0 -Duration 60.00:00:00
(im MS-Artikel ist hier ein Leerzeichen hinter "OWA." zu viel)
Add-GlobalMonitoringOverride -Identity ECP\EacBackEndLogonProbe -ItemType Probe -PropertyName Enabled -PropertyValue 0 -Duration 60.00:00:00
Hallo,
das Entfallen von Orcacle OutsideIN betrifft die Analyse folgender Dateitypen im Rahmen von Transportregeln und DLP:
* Jpeg
* Tiff
* AutoCAD
Persönlich stört mich das mit den Download Domains am meisten. Ich habe jetzt also die Wahl die Funktion kaputt zu machen (doof, ich habe externe Anwender, die nur per OWA arbeiten) oder sie abzuschalten und damit die alte Sicherheitslücke wieder aufzureißen.
Ich kapiere echt nicht, wie MS sowas als fertiges Update raushauen kann und dann meint: "Jo wissen wir, werden wir in ein paar Wochen fixen".
Da fehlen mir auch die Worte…
Tja, das ist die Schiene, die MS jetzt ganz unscheniert fährt um die Leute immer aggressiver in die Cloud zu treiben. EXO ist mal wieder nicht von diesem Problem betroffen, trotzdem wird der fix der Öffentlichkeit mehrere Wochen vorenthalten…
Letztendlich kannst du jetzt selber entscheiden, welcher CVE dir gefählicher vorkommt. Die Download Domains lassen sich relativ einfach per Powershell deaktivieren und nachdem es einen fix gibt (hoffentlich) wieder aktivieren.
finsterstes Frickelwerk für die Microsafties
Hallo!
Ist jemanden bekannt, ob es nach der Installation von dem Update Probleme mit den SMTP-Konnektoren gibt? Seid dem Update haben wir Probleme mit dem Mailversand von Multifunktionsgeräten via SMTP.
Hallo, habe ich auch gestern feststellen müssen das es Probleme mit den Connectoren gibt. Werde mir das heute in Ruhe anschauen. Evtl. später was dazu sagen können. Microsoft gibt mal wieder alles…
Bei mir sind lediglich die anonymen Realays Betroffen. Werde mal checken was ich auf auth. umstellen kann
Wir haben das Problem auch und ich habe mal unter Microsoft Techcommunity einen Kommentar hinterlassen. Mal schauen was sich da noch so tut. Bin zum Glück nicht der einzige der das Problem hat :)
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2024-exchange-server-security-updates/bc-p/4088316#M38289
Nach dem Update Server 2022/Exchange CU14 war mein Energiesparplan auf Balanced, so dass der HealthChecker meckert.
Sowas ist mir in der Vergangenheit öfter mal aufgefallen, dass Server, die wissentlich auf Höchstleistung eingestellt waren, plötzlich auf Ausbalanciert standen. Zu viele Server jedenfalls, um das als einen durchgerutschten abzuhaken.
Dieses Verhalten habe ich auch schon auf Clients beobachtet.. ich war sicher, auf Höchstleistung gestellt zu haben und hab schon etwas an mir gezweifelt. Eine GPO oder ähnliches konnte ich ausschliessen. Es scheint fast so, dass sich hier gewisse Subsysteme gegenseitig reinfunken.
Kann man sich Anlagen aus OWA auch nicht mehr anschauen ? Oder geht „nur" der Download der Dateien nicht und die lokale Speicherung ?
Anschauen wird vermutlich auch nicht mehr gehen, da ja auch die Inline Bilder nicht mehr angezeigt werden.
Ich habe jetzt einige Links durchgeklickt aber was fixt das Update jetzt wirklich? Nur diese beiden OWA-Schwachstellen?
Es korrigiert den folgenden Fehler:
EWS search request displays inaccurate results
Und es stopft die Sicherheitslücke CVE-2024-26198:
***
Laut der CVSS-Metrik ist der Angriffsvektor Netzwerk (AV:N) und es ist eine Benutzerinteraktion erforderlich (UI:R). Welcher Zielkontext wird für die Remotecodeausführung verwendet?
Dieser Angriff erfordert, dass eine speziell gestaltete Datei entweder in einem Online-Verzeichnis oder an einem lokalen Netzwerkspeicherort abgelegt wird. Wenn ein Opfer diese Datei ausführt, lädt es die bösartige DLL.
Wie könnten Angreifende vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Nicht authentifizierte Angreifer*innen könnten die Sicherheitslücke ausnutzen, indem sie eine speziell entwickelte Datei in einem Online-Verzeichnis oder im lokalen Netzwerk ablegen und Benutzer*innen dazu bringen, diese zu öffnen. Bei einem erfolgreichen Angriff wird dann eine schadhafte DLL geladen, die zur Ausführung von Remotecode führen kann.
***
Damit ein nicht authentifizierter Angreifer eine Datei im lokalen Netzwerk ablegen kann, müsste er erst einmal ins Netzwerk kommen. Und dann hat man ein noch viel schwereres Problem als diese Exchange-Lücke.
Die Ausnutzbarkeit der Lücke setzt also auf die Dummheit der Benutzer, die eine unbekannte Datei öffnen wollen.
Hi,
danke für die Erklärung.
Scheint wohl wirklich so zu sein. Na, dann warte ich mal etwas ab, welche Problemchen noch auftauchen könnten bevor ich das einspiele.
Auf unseren Domain Controller (Server 2016) verbraucht der Prozess (Local Security Authority Process) sehr viel RAM, über 10GB aktuell
Ich glaube du redest vom März Server CU nicht vom Exchange Update…
Ich kann dieses Verhalten bei uns nicht bestätigen. Der Prozess schlummert bei lediglich 50MB RAM Nutzung nach dem Update. Ebenfalls Server 2016.
Gruß
Ich hatte das gleiche Problem heute auf einem unserer Clients unter Windows 11 23H2. Ein Neustart scheint das Problem zumindest für den Rest des Tages behoben zu haben, werde es aber weiter beobachten.
@Dreise – Das gleiche Problem haben wir auch auf unseren DCs. Habe dazu aber bis auf deinen Kommentar noch nichts gefunden. Außerdem zum Thema Exchange melden sehr viele der User (wir nutzen eine Hybride Umgebung mit Exch 2016 und o365) das seit den Updates regelmäßig Office auf keine Rückmeldung steht.
Hier sind auch gerade beide Domain Controller abgenippelt (2019er). RAM war definitiv voll, das konnte ich noch sehen…
Ich schreibe gerade einen Blog-Beitrag Windows Server: März 2024-Update verursacht LSASS Memory-Leak auf DCs – hatte den Kommentar-Thread hier bisher nur auf Beobachtung, weil es auch Clients betraf. Danke für die Rückmeldung.
Gibt in den Kommentaren im MS-Blog übrigens vermehrt Beschwerden, dass nach dem Update die Suche in Outlook kaputt ist. Wurde von denen aber noch nicht offiziell als "Known Issue" bestätigt. Was ein Krampf mal wieder, und dann wundern sie sich, wenn so viele ungepatchte Systeme existieren.
Bei unserer Umgebung (Exchange2016, Office2016) sind bei den neuen Mails egal ob gelesen oder nicht oder auch bei allen neuen Gesendenten Mails Gelbe Ungelesen Mail icons dabei.
Wenn man auf ein Mail Antwortet kommet das korrekte Symbol mit offenem Umschlag und dem Violetten Pfeilchen.
Bei uns fragen halt die Leute nach deswegen was etwas nervig ist.
Die März Updates sind noch nicht Windows noch Office ausgerollt in unserer Umgebung.
Wir verwenden CodeTwo für Signature. Mein Kollege hat den Verdacht geäußert es hat damit zu tun. Mails die von Extern kommen und nicht durch CodeTwo in der Signatur bearbeitet werden ist das Symbol nicht dabei.
Wir haben das Problem völlig random bei internen und externen Mails. Mal hat eine Mail vom gleichen Absender das Symbol, mal nicht.
Laut den Kommentaren aus dem Exchange Blog lässt nicht kein Zusammenhang zu CodeTwo herauslesen. Ich denke nicht, dass es so einfach ist mMn.
Grüße
Moin,
bei uns betrifft es (bisher) nur interne Mails. Mails von extern verhalten sich normal.
Umgebung: Exchange 2016 + Office 2016
Kann ich so bestätigen, dieses Verhalten. Einziges Muster ist bisher intern vs. extern.; eigentlich nett, aber irgendwie "ungewohnt".
Wir haben das gleiche Problem.
Exchange 2016 und Oultook 2016.
Seit dem SU ist bei allen internen Mails der gelbe Umschlag vorhanden. Er geht nicht weg, außer man antwortet/weiterleitet eine Mail.
Wir verwenden für die Signatur CI-Solution, kein CodeTwo
selbiges Problem bei uns.. Leute rufen an
Kurze Frage…kann es sein, dass diese Icons (egal ob Gelb oder auch mit violettem Pfeil) bei O365 nicht mehr vorhanden sind und sich das nur auf Office 2016 bezieht?
Danke euch
Die gelben Mail Icons haben wir nun auch. (Exchange 2016, alle Outlook Versionen seit 2019/365 betroffen)
Liegt an folgendem Eintrag im Header:
Content-Type: application/ms-tnef; name="winmail.dat"
Mails von OWA oder per Active Sync/Smartphone sind nicht betroffen. Interne Mails von unseren Monitoring/Linux Lösungen auch nicht. Betrifft scheinbar nur MAPI/HTTPS.
Nachrichten werden scheinbar in TNEF umgewandelt.
Der Content-Type Header kann nicht der Auslöser sein. Den gab es auch schon vor dem Update bei internen Mails.
Stimmt. Dann habe ich auch keine Ahnung. :)
Es könnte aber doch dennoch daran liegen und einfach nur der Server es anders handhabt?
Wir haben den „Fehler" auch seit dem Update.
Ich dachte erst, es könnte ein Feature sein.
Wir haben auch das Problem mit den Gelben Umschlägen hat jemand schon eine Lösung gefunden?
Also es scheint, dass hier rein interne mails markiert werden. Sobald die mail über einen anderen Weg eingelangt gibt es kein Kuvert
Auch hier, aber nicht bei allen Absendern. Von EXCH2019/O2019 auf EXCH2019/O2019. Von Extern empfangen, Icon wird angezeigt. Könnte es vielleicht mit MapiHttpDisabled=1 zusammenhängen?
wir haben das gleiche Thema mit OL365 (v2308)/Exch2016… bei internen Mails
…
wenn ich die 'Gelesen/Ungelesen'-Spalte im Posteingang aktiviere, dann erscheint das entsprechende Symbol – mit einem kleinen Unterschied. Die Linie im Umschlag ist beim OL-Symbol transparent und einen Hauch kleiner. Das neu aufgetauchte Symbol hat hingegen eine weiße Linie.
Es ist also nicht das 'Ungelesen'-Symbol, sondern eins, das (wahrscheinlich) per Outlook Message class-Icon hinzugefügt wurde
NACHTRAG… hab's gerade erst gesehn:
in den 'Known issues with this release' in
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2024-exchange-server-security-updates/ba-p/4075348
wird genau dieses Problem beschrieben und als 'cosmetic' eingestuft.
Kann also dauern!
Hallo
Die Suche geht in Outlook 2021 Exchange 2019 nicht mehr.
"Wir haben Probleme beim Abrufen der Ergebnisse vom Server…."
:(
MFG Arne
Auch wir haben Suchen Probleme. Clients Outlook365 Server 2019
Kann das leider bestätigen. Die Online Suche funktioniert nicht mehr. Ganz toll.
Habt ihr das probiert? Habt ihr die Probleme auch ohne Cache-Modus?
https://support.microsoft.com/en-us/topic/search-error-in-outlook-cached-mode-after-installing-march-2024-su-aabcf51a-a45b-4a27-96ff-30efaed1633e
Hallo zusammen,
die Suche geht bei Exchange 2019 über Outlook nicht mehr. Symptome sind langsame Suche und nach Wartezeit die Meldung "Wir haben Probleme beim Abrufen der Ergebnisse vom Server….". Bisher sind alle geprüften Umgebungen betroffen, die das März Update installiert haben:-(
Der gelbe Umschlag bei den Mails ist bei uns auch schon heiß diskutiert.
Grüße
Mario
Für mich ist es noch die offene Frage, ob es ein Bug oder ein Sicherheitsfeature sein könnte. Wir haben den Umschlag nur bei internen Mails, die rein über den Exchange-Server liefen. Dann könnte es ja auch ein "Vertrauenshinweis" sein. Also eine gewisse Maßnahme gegen CEO-Fraud.
Tja, seit wir das KB5036386 eingespielt haben, werden alle internen Nachrichten, die über Outlook geschickt werden, zu TNEF Nachrichten umgewandelt, und enthalten seit heute im Header folgende Information:
Content-Type: application/ms-tnef; name="winmail.dat"
Mails von OWA oder per Active Sync/Smartphone sind nicht betroffen. Interne Mails von unseren Monitoring/Linux Lösungen auch nicht.
Wir fügen keine Disclaimer per Nachrichtenflussregel rein.
Wir vermuten, dass es also nur die Übertragung per MAPI/HTTPS betrifft.
Im Einsatz haben wir nur aktuelle Outlook Versionen. Diverse 2019 und 365 Varianten.
Korrektur: Der Header war auch schon vorher enthalten. :/
Hallo,
Wir haben bei uns gerade folgendes Phänomen festgestellt:
Wenn wir (on prem Exchange 2016 mit SMIME mit öffentlichem Zertifikat) Emails an M365 Postfächer schicken, sind Anhänge im Outllok-Web für den Zugriff gesperrt. Die einzige Möglichkeit des Zugriffs auf die Attachments ist die Email als eml zu speichern und dann zu öffnen.
Ich muss mal wieder ne "dumme" Frage stellen. Wenn ich Download Domains nicht konfiguriere oder deaktiviere, funktioniert dann der Download über OWA wieder ?
Moin,
ja dann sollte das funktionieren. Du machst dir dann aber damit eine andere Lücke auf, die mit den Downloaddomains geschlossen wurde. Ich für meine Teil warte hier noch etwas ab. Das Update soll ja auch Probleme bei der Mailsuche verursachen…
Habe das SU Update nun installiert.
In OWA kommt folgende Fehlermeldung beim Öffnen von Anlagen „Es ist ein unbekannter Fehler aufgetreten"
der Healthchecker sagt „Download Domains are configured und zeigt es allerdings rot an"
also müssen diese nun per PowerShell deaktiviert werden?
Jup.
https://learn.microsoft.com/de-de/exchange/plan-and-deploy/post-installation-tasks/security-best-practices/exchange-download-domains?view=exchserver-2019
mit dem Befehl könntest du die deaktiveren
Set-OrganizationConfig -EnableDownloadDomains $false
kann sein dass noch diese Deisnte neugestartet werden müssen (auf jedem Exchange),
Restart-Service -Name W3SVC, WAS -Force
HU wurde releast:
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2024-exchange-server-hotfix-updates/ba-p/4120536
Siehe Exchange Server April 2024 Hotfix-Updates (24. April 2024)