Wichtige Info für Exchange Administratoren: Das KB2565063 muss erneut auf alle Exchange Server Versionen installiert werden, die vor Oktober 2018 veröffentlicht wurden. Dies betrifft derzeit alle verfügbaren Exchange Versionen und CUs.
Hintergrund ist, dass die Installationsdateien (Neuinstallation und Updateinstallation) von Exchange eine ungepatchte Version installiert haben und Exchange somit immer noch für eine Remote Code Execution Lücke aus dem Jahr 2011 anfällig ist. Falls das Update also schon einmal installiert war, wurde durch ein Exchange Update wiederum eine ungepatchte Version installiert. Das Update wird nicht automatisch per Windows Update installiert und muss daher manuell installiert werden. Die Installation des Updates erfordert keinen Neustart des Servers oder der Exchange Dienste.
Zukünftige Installationsmedien und CUs werden das KB2565063 als Installationsvoraussetzung angeben. Nähere Informationen gibt es auf dem Exchange Team Blog:
Update 11.10.2018:
In einigen Fällen scheint ein Neustart des Servers nötig zu sein. Noch eine weitere wichtige Information, die Sicherheitslücke versteckt sich in der Datei „%systemroot%\system32\mfc100.dll“. Die gepatchte Datei trägt die Dateiversion 10.00.40219.325 und gehört zum Paket „Microsoft Visual C++ 2010 x64 Redistributable“. Problematisch an der Sache ist, dass die Runtime nicht auf regulärem Weg installiert wurde, sondern nur die Binaries durch das Exchange Setup an die entsprechenden Stellen kopiert und registriert wurden. Daher erkennt Windows Update nicht, dass hier eine alte und verwundbare Version des Pakets vorliegt. Da Exchange auf diese Binary zugreift, bleibt die Sicherheitslücke aber bestehen, bis das oben angegebene Update installiert wird (Auch wenn „Microsoft Visual C++ 2010 x64 Redistributable“ nicht unter Programme / Features angezeigt wird).
Update: 13.10.2018:
Fehler im Update vom 11.10. korrigiert. Die gepatchte Datei trägt die Dateiversion 10.00.40219.325, falls die Datei eine frühere Version trägt, sollte aktualisiert werden.