Neue Sicherheitsupdates für Exchange Server (August 2023)

Microsoft hat neue Sicherheitsupdates für Exchange Server 2016 und 2019 veröffentlicht. Das Update behebt 6 Schwachstellen, welche als Wichtig gekennzeichnet sind. Außerdem sind nach der Installation der Updates weitere Anpassungen nötig. Derzeit gibt es keine Hinweise, dass die Schwachstellen ausgenutzt werden.

Hier geht es direkt zu den Download der Updates:

• Exchange Server 2019 CU12 und CU13
• Exchange Server 2016 CU23

Die folgenden Schwachstellen werden behoben:

• CVE-2023-35368 (Remote Code Execution)
• CVE-2023-38181 (Spoofing)
• CVE-2023-38182 (Remote Code Execution)
• CVE-2023-21709 (Elevation of Privilege)
• CVE-2023-35388 (Remote Code Execution)
• CVE-2023-38185 (Remote Code Execution)
• CVE-2023-38185 (Remote Code Execution)

Nachdem das Sicherheitsupdate für den August 2023 installiert wurde, muss zusätzlich ein von Microsoft bereitgestelltes PowerShell Script ausgeführt werden, damit die Schwachstelle CVE-2023-21709 behoben wird. Das erforderliche Script kann hier runtergeladen werden:

CVE-2023-21709.ps1

Hier gibt es weitere Informationen zu dem Script:

• https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-21709/

Falls RMS bzw. Purview Information Protection zum Einsatz kommt, sind weitere Schritte erforderlich. Die Details können der Grafik aus dem Exchange Team Blog entnommen werden:

Hier noch der Link zum zum Artikel aus dem Exchange Team Blog:

• Released: August 2023 Exchange Server Security Updates

Update 08.08.2023: Scheinbar lässt sich das Update auf Betriebssystemen und Exchange Servern in deutscher Sprache nicht erfolgreich installieren. Das Setup scheitert mit dem Fehlercode 1603 und hinterlässt eine fehlerhafte Exchange Installation. Nutzer von Exchange Servern und Betriebssystemen in deutscher Sprache sollten daher das Update zunächst nicht installieren.

Update 09.08.2023: Mittlerweile hat Microsoft bestätigt, dass das Update auf nicht englisch sprachigen Servern Probleme macht:

Due to reports that Exchange setup fails on servers running on several languages other than English, we have temporarily removed August SU from Microsoft / Windows update until we find the root cause of the problem. We recommend our customers running non-English servers to pause installation until we provide more information. If your server has been already impacted by failed setup, please do not try uninstalling anything. Re-enable Exchange Services by running the following from the \Exchange Server\V15\Bin folder. Reboot the server after this and services should start:

.\ServiceControl.ps1 AfterPatch

Update 16.08.2023: Es wurde eine neue Version des Updates veröffentlicht. Siehe hier: Neue Sicherheitsupdates für Exchange Server (August 2023)