Exchange Sicherheitsupdates (November 2023)

Microsoft hat neue Sicherheitsupdates für Exchange Server 2016 und 2019 veröffentlicht. Die Updates beheben die folgenden Schwachstellen, welche alle als „Important“ markiert sind:

Hier geht es direkt zum Download der Updates:

  • Exchange Server 2019 CU12 und CU13
  • Exchange Server 2016 CU23

Mit den November Sicherheitsupdates wird das Feature „Certificate signing of PowerShell serialization payload“ in der Standardeinstellung aktiviert. Vor der Installation des November Updates wird empfohlen, dass ExchangeServerAuth Zertifikat zu prüfen. Microsoft stellt dazu ein kleines Script bereit:

MonitorExchangeAuthCertificate.ps1

Falls das Zertifikat abgelaufen ist, hilft dieser Artikel weiter:

Exchange Sicherheitsupdates (November 2023)

22 thoughts on “Exchange Sicherheitsupdates (November 2023)”

  1. Hallo zusammen,
    bei uns sind zwei Exchangeserver (2016 & 2019) als eigenständige Mailboxserver im Einsatz. Durch Zufall ist aufgefallen, dass nach der problemlosen Installation des SU, der Befehl Search-Mailbox keine Pipe-Eingaben von Get-Mailbox mehr annimmt. Es kommt zu einem Fehler der besagt, dass Search-Mailbox keine Pipe-Eingaben unterstützt. Das SU wurde zuerst auf dem 2019er installiert und zwei Tage später auf dem 2016er. Vor der Installation des SU auf dem 2016er hat der Befehl noch die Pipe-Eingaben angenommen. Im Netz war letzte Woche noch nichts dazu zu finden.

    Reply
  2. Guten Morgen,

    Exchange 2016 CU23 SU8 auf Server 2016, SU11 manuell runtergeladen, AV Lösung deaktiviert, Windows Update zuerst drüber gebügelt und dann den SU11, alles ohne Probleme.

    Reply
  3. Mein Erlebnis (Exchange 2019 (DE) auf Server 2019 Standard (De)

    Hab erst den Fehler gemacht, dass das Update via Windows Update bezogen wurde.
    Habe den Dienst gestoppt, das Update hatte aber schon gestartet. Dienste waren beendet
    Neustart. Update ordentlich via elevated CMD gestartet… lief durch
    Neustart
    Es ging dann leider „nichts“. Dann noch Windows Updates. neustart
    Leider immer noch nichts. w3svc Dienst wurde angemeckert usw…

    Im Endeffekt waren es die Dienste, die teils nicht gestartet waren bzw. auch deaktiviert, was sie vorher nicht waren.
    Das Script von Ali hat mir dann geholfen, weil ich nicht auswendig wusste, welche Dienste alles fehlen.

    Aber ansonsten läuft es dennoch, wie es aussieht.

    Reply
  4. Exchange 2016 CU23 auf Server2012R2 Problemlos upgedatet.
    ECP und OWA laufen einwandfrei
    Alle Dienste starten ebenfalls.

    Summa Summarum: alles grün!

    Reply
  5. Hat sich zum glück geklärt, bei dem Update hatte der Server nur die Bindung zum HTTPS Zertifikat verloren. Jetzt läuft alles wieder.

    Reply
    • Hallo, ich habe gestern Abend auch das Update KB5032197 eingespielt. Leider geht bei mir nun der Zugriff auf Exchange, auch auf die Console nicht mehr. Hast Du noch einen Tipp?

      Reply
  6. Leider nach heute Nacht nach Update

    2023-11 Servicing Stack Update für Windows Server 2016 für x64-basierte Systeme (KB5032391)
    2023-11 Cumulative Update for Windows Server 2016 for x64-based Systems (KB5032197)

    ist die Webseite nicht mehr erreichbar und leider kommen wir auch nicht mehr auf die Konsole.

    In der Ereignis Anzeige steht

    Bei der Verwendung der SSL-Konfiguration für den Endpunkt 0.0.0.0:444 ist ein Fehler aufgetreten. Der Fehlerstatuscode ist in den zurückgegebenen Daten enthalten.

    Fehlermeldung in der Exchnage Konsole lautet:

    AUSFÜHRLICH: Verbindung mit EEBIMAIL16.ee-bi.euscher.de wird hergestellt.
    New-PSSession : [eebimail16.ee-bi.euscher.de] Beim Verbinden mit dem Remoteserver „eebimail16.ee-bi.euscher.de“ ist
    folgender Fehler aufgetreten: Weitere Informationen finden Sie im Hilfethema „about_Remote_Troubleshooting“.
    In Zeile:1 Zeichen:1
    + New-PSSession -ConnectionURI „$connectionUri“ -ConfigurationName Micr …
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : OpenError: (System.Manageme….RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotin
    gTransportException
    + FullyQualifiedErrorId : -2144108477,PSSessionOpenFailed

    Hoffe es kann jemand helfen.

    DANKE

    Reply
    • Vielleicht die Zertifikatsbindung aus dem Backend raus geflogen?
      Kann über IIS wieder eingestellt werden und dann IIS reset

      Viele Grüße aus Bielefeld nach Bielefeld ;)

      Reply
  7. Server 2016 / Exchange 2016 CU23
    Manuelle Installation des Updates, danach alles OK. Dann wurde das Update nach einem Neustart wohl trotzdem nochmal über WSUS installiert (warum auch immer) und jetzt fehlt der Exchange Transport Dienst. Bin gerade dabei das Update zu deinstallieren, aber das wird wohl auf einen Restore der VM und Import der DB hinauslaufen.

    Reply
        • Hi Martin,
          war das Zertifikat abgelaufen?
          Ich würde meines gerne erneuern. Das ist zwar nicht abgelaufen aber KeySize passt nicht
          und ich hätte gerne nen komplett grünen HealthCheck.
          Nur bin ich mir nicht sicher wie ich das korrekt machen muss…

          VG
          Gero

  8. Lief hier auf 5 x 2019 (inklusive DAG) problemlos durch. Hab nur noch nicht getestet, ob der queueviewer jetzt auch noch funktioniert.

    Reply
  9. Kein DAG aber normaler EX2016 CU23. Das Feature war bereits aktiviert bei uns.

    Installation lief anstandslos durch. Bisher keine Probleme finden können.

    Gruß

    Reply
  10. Hatten bislang noch nicht das Feature aktiviert, daher die frage jemand in einer DAG Exchange 2019 erfolgreich aktiv?

    Zertifikate sind nicht abgelaufen.

    Reply

Leave a Comment