Microsoft hat neue Sicherheitsupdates für alle unterstützen Exchange Server (2013, 2016, 2019) veröffentlicht. Microsoft erwähnt insbesondere die Schwachstelle CVE-2021-42321 (Remote Code Execution) in Exchange 2016 und 2019, welche bei einer begrenzten Anzahl gezielter Angriffe bereits ausgenutzt wird. Vermutlich wird die Anzahl der Angriffe zunehmen, da jetzt durch das Update die Schwachstelle möglicherweise einfacher aufzuspüren ist. In der FAQ findet sich ausserdem ein Befehl mit dem festgestellt werden kann, ob die Schwachstelle CVE-2021-42321 bereits ausgenutzt wurde:
Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" }
Wenn der Befehl oben Treffer liefert, ist es ein Indiz für einen erfolgreichen Angriff.
Die Updates können hier runtergeladen werden:
Hier findet sich der entsprechende KB Eintrag zu den Updates:
Hier ist noch der entsprechende Artikel aus dem Microsoft Exchange Server Team Blog:
Außerdem weißt Microsoft explizit darauf hin, dass die manuelle Installation des Updates eine Shell im „Elevated“-Modus („Als Administrator ausführen“) ausgeführt werden muss. Hier einmal ein Beispiel der „Elevated Shell“:
Das Update kann natürlich auch via WSUS (Achtung: Da gibt es ein Problem mit Exchange 2013), Windows Update oder anderen Tools installiert werden. Falls das Update der Exchange Server schief geht, finden sich hier übrigens einige mögliche Lösungen für die Probleme:
Hallo,
Ich habe folgendes gemacht:
Die vorherige Version unseres Exchange Servers 2016 war mit CU19.
Ich habe Windows mit dem Januar-Paket aktualisiert. Dann habe ich den Server neu gestartet. Dann habe ich folgende Software IIS-Rewrite-Modul 2.1 64bit installiert. Dann habe ich angefangen, den Server mit CU22 zu aktualisieren. Alles ging ohne Fehlermeldung.
Nach der Installation habe ich neu gestartet. Über Windows Update habe ich das Sicherheitsupdate für Exchange Server 2016 Cumulative Update 22 (KB5008631) installiert. Wie zuvor ging es ohne Fehlermeldung und dann habe ich den Server neu gestartet.
Alle Dienste starteten ohne Probleme.
Nach dem Versuch, die Exchange Admin Center-Anmeldung zu starten, wird die Seite normal angezeigt.
Allerdings tritt nach dem Einloggen folgender Fehler auf:
UnternehmenOffice 365
Adi***** Mehr▼
Anderer Benutzer…
Abmelden
HilfeHilfe
Mehr▼
Hilfe
Hilfe-Sprechblase
Befehlsprotokollierung anzeigen
Datenschutz
Copyright
Exchange Admin Center
Empfänger
Berechtigungen
Verwaltung der Compliance
Organisation
Schutz
Nachrichtenfluss
Mobil
Öffentliche Ordner
Unified Messaging
Server
Hybrid
Postfächer
Gruppen
Ressourcen
Kontakte
Freigaben
Migration
♥ Feedback
×Bitte warten Sie… Bitte warten Sie..
Einige Warnungen sind momentan nicht verfügbar.
Bewerten Sie Ihre Erfahrung mit dem Exchange Admin Center.
Lassen Sie uns wissen, was Ihnen gefallen hat oder was wir besser machen können.
Um Ihre Privatsphäre zu schützen, geben Sie bitte keine persönlichen Informationen in Ihrem Feedback an. Lesen Sie unsere Datenschutzbestimmungen.
Microsoft darf mich wegen dieses Feedbacks kontaktieren.
Vielen Dank für Ihr Feedback!
Leider ist ein Fehler aufgetreten. Versuchen Sie es bitte später noch mal.
Ungültige E-Mail
WARNUNGEN
Bitte warten Sie… Bitte warten Sie…
Einige Warnungen sind momentan nicht verfügbar.
Egal welcher Web-Browser!!!
Beim Versuch, die OWA-Website zu laden, sieht es anders aus. Folgender Fehler tritt auf:
Da hat etwas nicht geklappt.
Ihre Anforderung konnte nicht abgeschlossen werden. HTTP-Statuscode: 500.
X-ClientId: 930445E6C9294B09927F0FADDA73CBDA
request-id 0464a2f5-d290-4082-a02e-de94c2a43a49
X-OWA-Error System.Web.HttpUnhandledException
X-OWA-Version 15.1.2375.18
X-FEServer SWM60052
X-BEServer SWM60052
Date:03.02.2022 09:13:06
InnerException: System.IO.DirectoryNotFoundException
Das Empfangen und Versenden von E-Mails funktioniert.
Bin für jeden Hinweis dankbar.
Das habe ich schon geprüft: https://www.frankysweb.de/exchange-2016-serverfehler-in-anwendung-owa-und-oder-ecp/
Habe den gleichen Fehler und bin auf Fehlersuche. Wenn es hier Neuigkeiten gibt, wäre ich sehr dankbar. Habe dazu auch nen Beitrag bei administrator.de geschaltet: https://administrator.de/forum/exchange-2016-ecp-nach-update-kb5012698-zerschossen-2372070477.html
LG Timo
CU9 auf Exchange 2019 erhält keine Sicherheitspatche mehr..sprich auf CU 10 hochgehen oder CU11 damit die patche installiert werden können und das am besten sofort!
Ich würde da nicht mehr bis zum
CU12 warten
Es reicht dann den Patch für November einspielen, weil dieser Oktober beinhaltet
Hallo,
ich habe zufällig erfahren, dass das ein Update (KB5007409) für den Exchange Server 2019 bereit steht.
Im Windows Server wurden aber mehrere neuen Updates für Exchange Server nicht angeboten.
Die Option: „Updates für andere Microsoft-Produkte bereitstellen, wenn ein Windows-Update ausgeführt wird“ ist auf dem Windowsserver (Windows 2019 Server) schon aktiv!
Aktuell ist bei uns die Version 15.02.0858.015 (CU 9) von Exchange installiert. Wenn ich den aktuellsten Healthchecker ausführe, dann zeigt er mir an, dass ich vulnerable bin für:
CVE-2021-26427
CVE-2021-41350
CVE-2021-41348
CVE-2021-34453
CVE-2021-42305
CVE-2021-41349
CVE-2021-42321
Wieso wurden mir alle neueren Updates von Exchange Server nicht angezeigt, ist mir ein Rätsel. Alle anderen Windows Programme werden problemlos upgedatet. Zuletzt wurde im Juli ein Security Update für den Exchange Server via Windows Update installiert.
Nun ist die Frage, kann ich jetzt direkt das alle neuste Update von Exchange (KB5007409) manuell installieren (ohne die zwischen Versionen seit KB5001779), oder muss ich alle fehlende Updates nacheinander installieren? Sollte ich direkt die aktuellste Version installieren, muss ich dabei etwas beachten?
Bei Microsoft heißt es:
„Alle benutzerdefinierten Einstellungen für Exchange oder Internet Information Server (IIS), die Sie in Exchange XML-Anwendungskonfigurationsdateien auf dem Exchange-Server vorgenommen haben (z. B. web.config-Dateien oder EdgeTransport.exe.config-Datei), werden bei der Installation eines Exchange-CU überschrieben. Sichern Sie diese Informationen, damit Sie die Einstellungen nach der Installation einfach erneut anwenden können. Nach der Installation eines Exchange-CU müssen diese Einstellungen neu konfiguriert werden.“
Stimmt das so?
Bin für jeden Hinweis dankbar.
Hallo,
ich habe das Update (Exchange Server 2019 CU11 (KB5007409)) bereits zweimal eingespielt, hat problemlos geklappt, Neustart – alles funktioniert. In Windows Programme zeigt Exchange die Version 15.2.986.14 an. Wenn ich den aktuellsten Healthchecker ausführe, dann zeigt er mir an, dass ich nur auf Version 15.02.0986.009 bin und vulnerable für:
CVE-2021-42305
CVE-2021-41349
CVE-2021-42321
Was stimmt? Bin für jeden Hinweis dankbar
Hallo,
leider habe ich nach der Installation vom Update „Exchange Server 2016 CU22 Nov21SU“ ein Problem mit der Schnellsuche im Outlook. Diese bringt keine Ergebnisse mehr, im Vergleich zur „Erweiterten Suche“, die noch alle Ergebnisse liefert.
Ist das Problem bekannt bzw. noch jemand von Euch betroffen?
Grüße
Moin,
das Update KB5007409 hat über WSUS problemlos funktioniert!
Hat ne gute Stunde gedauert.
Windows Server 2012R2
Exchange 2013 CU23
CU 22 auf zwei EX 2016 stressfrei installiert – Basis war jeweils CU20.
Nachdem CU22 noch KB5007409 hinterher – funktioniert soweit alles.
Beim CU22 Updates hat es -wie eigentlich meistens- die angepassten ActiveSync IIS Einstellungen zurückgesetzt.
(Speziell die AttachmentSizes für ActiveSync geschichten..)
Ein 5 Zeiler behebt das dann direkt wieder
%windir%\system32\inetsrv\appcmd.exe set config „Default Web Site/Microsoft-Server-ActiveSync/“ -section:system.webServer/security/requestFiltering /requestLimits.maxAllowedContentLength:41838182
%windir%\system32\inetsrv\appcmd.exe set config „Default Web Site/Microsoft-Server-ActiveSync/“ -section:system.web/httpRuntime /maxRequestLength:40960
%windir%\system32\inetsrv\appcmd.exe set config „Exchange Back End/Microsoft-Server-ActiveSync/“ -section:system.webServer/security/requestFiltering /requestLimits.maxAllowedContentLength:41838182
%windir%\system32\inetsrv\appcmd.exe set config „Exchange Back End/Microsoft-Server-ActiveSync/“ -section:system.web/httpRuntime /maxRequestLength:40960
%windir%\system32\inetsrv\appcmd.exe set config „Exchange Back End/Microsoft-Server-ActiveSync/“ -section:appSettings /[key=’MaxDocumentDataSize‘].value:41838182
iisreset
Hallo,
ich habe eben per Administrativen Eingabeaufforderung das Update KB5007409 für CU22 installiert.
Bis jetzt keine Probleme zu erkennen. Funktioniert soweit alles.
Windows Server 2016
Exchange 2016 CU22
Lief per Windows Update auf Server 2019 und Exchange 2019 CU22 ohne Probleme durch. Keine Probleme.
Dieses CU war bei uns ein etwas härterer Ritt.
Erst musste es mehrfach gestartet werden weil einige web.config-Dateien bei der Installation nicht richtig geschrieben werden konnten, dann liefen autodiscover und oab nicht mehr. Die web.config-Dateien mussten aus der Sicherung wiederhergestellt werden.
Dazu kam dann nach der Installation noch eine extreme Systembelastung durch das AMSI im Zusammenspiel mit Sophos. Hier hat als vorübergehende Maßnahme nur eine Abschaltung geholfen – mal schauen, wann Sophos mit einem Patch kommt.
Hoffentlich nur eine Verkettung ungünstiger Umstände…
Hallo Peter,
nicht nur bei euch. Wir haben heute das gleiche Problem feststellen müssen.
Danke für den Kommentar. Hat uns auf die richtige Fährte geführt.
CU22 Update am Sonntag eingespielt. Zuerst kam eine Fehlermeldung Fehler:
Der folgende Fehler wurde generiert, als „$error.Clear();
set-InstallPathInAppConfig -ConfigFileRelativePath „FrontEnd\HttpProxy\autodiscover“ -ConfigFileName web.config
“ ausgeführt wurde: „System.UnauthorizedAccessException: Der Zugriff auf den Pfad „\FrontEnd\HttpProxy\autodiscover\web.config“ wurde verweigert.
Dann haben dir den Defender deaktiviert und das CU Update nochmal neu angestartet.
Da kam dann die Meldung: „Unvollständige Installation ermittelt“
„Setup hat festgestellt, dass eine frühere Installation von Exchange auf diesem Computer nicht erfolgreich abgeschlossen wurde. Das Setup versucht jetzt, diese Installation abzuschließen.“
Lief danach auch erfolgreich durch und in der PowerShell bzw. unter Systemsteuerung Programme wurde korrekt Microsoft Exchange Server 2016 Cumulative Update 22 angezeigt.
Outlook lief, OWA lief, ActiveSync… alles gut.
Gestern (Montag) keine Auffälligkeiten.
Heute dann bei einer Kollegin ein Problem mit Teams/Plug-In/Outlook. Wollen ein neues Outlook Profil erstellen und bekommen keine Daten per Autodiscovery.
Weiterer Test in der IT. Auch hier kommen keine Daten mehr ins Outlook.
Haben dann geforscht, gesucht und gemacht und am Ende hatten wir auch das Problem, dass die \FrontEnd\HttpProxy\autodiscover\web.config zerschossen war, bzw. die hälfte an Infos in der Datei fehlten.
Dachten erst die web.config.bak schafft Abhilfe, aber das waren ja noch weniger Informationen drin.
Haben uns jetzt mit Veeam aus dem Backup von gestern die web.config geholt und jetzt läuft wieder alles. *puh*
OWA, ECP, OAB usw. waren nicht betroffen. Da lief alles.
„Schönes“ letztes CU für Exchange 2016 :)
Exchange 2013 hat nach einem Systemneustart noch einen IISreset gebraucht, lief dann aber sauber.
Moin Leute, habe das Update beim Kunden unter Exchange 2013 mit passendem CU erfolgreich eingespielt. Alles in allem ca. 1h bis das Update eingespielt war und der Exchange wieder lief. Kurz vor Ende, als das Update fast durchgelaufen war, wurde es nochmal spannend, da sich parallel zum Fortschritts-Fenster eine Powershell-Box öffnete, in der aber weiter nichts passierte, aus einem blinkenden Cursor. Vermutlich lief etwas im Hingerund mit der Option „silent“ ab. Ich habe dem Ganzen einfach Zeit gegeben, ohne die Box einfach wegzuklicken. Danach war alles gut.
Hallo,
habe hier einen MX2016 CU21 und hier gerade die letzte SU installiert.
Das SU meinte nach der Installation das bitte neu gestartet werden sollte, was ich auch getan habe.
Nun warte ich schon seit mehr als 90min. mit der Meldung „Windows wird vorbereitet, bittet warten Sie“,
das der endlich nun durchstartet. Im Hintergrund scheinen die MX Dienste noch zu laufen.
Was macht der hier so lange ?
Hi Stefan, hatte ich auch schon, ich warte da jeweils bis er durchstartet.
Hi Stefan,
dieses Phänomen hatte ich auf einem Windows Server 2016 auch ein paar Mal. Meistens ist er nach ca. 45 Minuten dann neu gestartet. Das liegt wohl teilweise an einem „hängenden“ Windows Modules Installer (ist hier ganz gut beschrieben: https://www.tech-faq.net/windows-wird-vorbereitet-schalten-sie-den-computer-nicht-aus/).
Ich konnte das Problem mittlerweile „lösen“, indem ich den Server vor der Installation der Updates einmal neu starten lasse.
Evtl. hängt es auch mit einem ausstehenden unterdrückten Neustart zusammen. Du könntest beim nächsten Mal das healthchecker script vorher laufen lassen, das zeigt dir das in der Auswertung an (das Script hat Franky vor einiger Zeit ausführlich beschrieben: https://www.frankysweb.de/exchangehealthchecker-script-um-konfigurationsprobleme-zu-ermitteln/).
90 min ist schon lang und du kannst ja mal schauen ob der Dienst „Windows Modules Installer“ (TrustedInstaller) beim Status „wird beendet“ steht.
Ich installiere immer als erstes die Windows Updates ohne das SecUpdate und starte den Server neu.
Erst danach installiere ich das SecUpdate manuell mit einer als Administraor gestarteten CMD Konsole.
Im Normalfall würde ich auch sagen lass den Server in Ruhe neu starten und schaue wenn möglich auf die iLO oder vSphere Konsole um zu sehen wo Er hängt. Sofern Updates installiert wurden kann der Neustart schon mal länger dauern aber bei einem SecUpdate sollte das nicht so lange dauern.
Wenn du PSEXEC im Einsatz hast kannst du dich per PSEXEC auf das System schalten und die aktuelle PID vom Trusted Installer auslesen. Danach mittels Taskkill und der erkannten PID (hier xxx als Platzhalter) den Prozess hart beenden.
Benutzung auf eigene Gefahr ;-)
psexec
sc queryex trustedinstaller
taskkill /PID xxx /F
An ~10 Exchange 2013 / 2016 / 2019 mit aktuellem CU erfolgreich upgedatet. Läuft wunderbar :)
Hallo,
leider bekomme ich nach den Installation des Updates einen Fehler beim verteilen der Datenbanken auf die Exchange Server, dass der Ordner IgnordLogs beschädigt ist. Wie bekomme ich die Datei gelöscht?
Fehlercode: 0x80070570
Interessant finde ich, dass der Patch KB5007409 exakt gleich groß ist, wie der Oktober Patch KB5007012?
158.519.296
Grüße…
Gibt es kein neues Sicherheitsupdate für Exchange Server 2016 CU20?
Oder braucht man für die CU20 keins?
Wir haben noch nicht auf die CU21 bzw. CU22 aktualisiert, weil uns das hier gestört hat:
Fehler „E-Mail kann nicht gesendet werden – Ihr Postfach ist voll“, wenn Sie iPhone-Mail verwenden, um sehr große Anlagen zu senden (KB5004622)
https://support.microsoft.com/de-de/topic/fehler-e-mail-kann-nicht-gesendet-werden-ihr-postfach-ist-voll-wenn-sie-iphone-mail-verwenden-um-sehr-gro%C3%9Fe-anlagen-zu-senden-kb5004622-eb95555f-80fd-47b4-bc6f-5c2c4fc4fea0
Wurde der Bug gefixxt?
Es werden immer NUR DIE LETZTEN ZWEI CUs mit Sicherheits-Updates unterstützt – in diesem Fall also NUR CU21 und CU22.
Daher wirst Du auf einen der beiden neuen CUs updaten müssen, um die November-Sicherheits-Updates (auch die Oktober-Sicherheits-Updates, welche in den November-Updates mit enthalten sind) zu bekommen!
Wir sind damals direkt von CU20 auf CU22 gegangen (mit zwei 2016er Servern), hat bei beiden ohne Probleme wunderbar funktioniert.
Ah OK wieder was dazugelernt. So einen Fall hatten wir noch nicht.
Hat trotzdem noch wer eine Info zu dem iPhone Bug?
Hallo,
das Problem mit den iPhones hatten (haben) wir auch.
Es scheint aber weniger ein Bug als eine falsche Fehlermeldung bei Anhängen > 10MB (oder was erlaubt ist) zu sein.
Nein steht beim cu22 immer noch als Problem. Aber wie groß müssen die attachments denn sein? Bei mir hat sich diesbezüglich noch niemand gemeldet. :)
Bei uns scheint die Größe der funktionierenden Anhänge der zu entsprechen die konfiguriert ist. Es kommt wohl nur die falsche Fehlermeldung, statt „Anhang ist zu groß“ kommt eben „Das Postfach ist voll“
Das ist aber sehr „mutig“ bisher nichts weiter eingespielt zu haben.
Ich würde mal empfehlen die Mailserver mit Thor-Light zu scannen. Das kostenlose Tool findet auch IOCs und webshells. Es bereinigt nichts gibt aber Hinweise https://www.nextron-systems.com/thor-lite/
Nur ein Tipp zur Sicherheit.
Hat das noch jemand, das das Update in der GUI (Programme und Features – Installierte Updates) als installiert angezeigt wird, aber mit get-hotfix unter der PowerShell bzw. wmic qfe in der Eingabeaufforderung nicht ?
Der HealthChecker meldet, das es installiert ist.
Version: Exchange 2019 CU11
Build Number: 15.02.0986.014
Exchange IU or Security Hotfix Detected.
Security Update for Exchange Server 2019 Cumulative Update 11 (KB5007012)
Security Update for Exchange Server 2019 Cumulative Update 11 (KB5007409)
Dann wird das wohl hoffentlich auch so sein :-)
Installation auf einem von zwei Servern unter 2016 CU22 im DAG-Verbund problemlos gelaufen.
Moin Moin,
ich habe eine kurze Verständnisfrage:
Ist in diesem Sicherheitsupdate auch das Sicherheitsupdate aus dem Oktober enthalten (KB5007012)?
Falls nicht, kann bzw. muss ich immer noch das KB5007012 nachträglich installieren wenn das neuste KB5007409 gestern auf dem Exchange2016 Server installiert wurde?
Vielen Dank im Voraus
Gruß Rene
Moin – das wüsste ich auch gerne.
Gruß Sepp
Link: https://support.microsoft.com/de-de/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-november-9-2021-kb5007409-7e1f235a-d41b-4a76-bcc4-3db90cd161e7
Ist hier im Abschnitt „Security update replacement information“ beschrieben. ;)
alles klar, danke – Update 7409 ersetzt das ältere Update 7012, d.h. wenn 7409 installiert ist, muss man 7012 nicht mehr installieren.
(Gecheckt für EX2016 CU22 – Update 7012 steht unter supersedence bei dem 7409 Update).
Da habe ich doch tatsächlioch den Wald vor lauter Bäumen nicht sehen.
Vielen Dank Bastian für den Hinweis!
LG
Hallo,
„WSUS (Achtung: Da gibt es ein Problem mit Exchange 2013)“
Was ist das denn für ein Problem?
Im Blog von MS steht:
„We are aware of an issue that Exchange 2013 CU23 customers who use Windows Server Update Services (WSUS) to download Security Updates might see an error with the installation of November SU (error 0x80070643 in the event log, event ID 20). We are working on resolving this issue ASAP.“
Exchange 2013 DAG bisher keine Probleme
Exchange Server 2016 CU22 Update (KB5007409) via WSUS installiert, keine Probleme lief sauber durch.
Update auf Exchange 2016 CU22 per Windows Update bei 2 verschiedenen Windows 2016 Servern problemlos installiert.
Update auf einem Exchange 2019 CU11 und einem Exchange 2019 CU10 via Windows Update installiert – sieht bisher alles gut aus.
Update auf Exchange 2016 CU 22 per WSUS problemlos installiert.
Das Update ist bei mir hängen geblieben, Error geworfen und nach einem Neustart wirft die Konsole dieses hier:
Add-PSSnapin : Cannot load Windows PowerShell snap-in Microsoft.Exchange.Management.PowerShell.SnapIn because of the following error: The type initializer for ‚Microsoft.Exchange.Data.Directory.Globals‘ threw an exception.
Exchange 2019 CU11
2013 und 2019 ohne Probleme installiert- läuft