Microsoft hat heute neue Sicherheitsupdates für Exchange Server 2013, 2016 und 2019 veröffentlicht. Die Sicherheitsupdates bringen auch ein neues Sicherheitsfeature mit, welches aktuell noch manuell eingeschaltet werden muss:
Hier geht es direkt zu den Download der Sicherheitsupdates:
Die Sicherheitsupdates beheben die folgenden als wichtig eingestuften Sicherheistlücken:
- CVE-2023-21764 – Microsoft Exchange Server Elevation of Privilege Vulnerability
- CVE-2023-21763 – Microsoft Exchange Server Elevation of Privilege Vulnerability
- CVE-2023-21745 – Microsoft Exchange Server Spoofing Vulnerability
- CVE-2023-21762 – Microsoft Exchange Server Spoofing Vulnerability
- CVE-2023-21761 – Microsoft Exchange Server Information Disclosure Vulnerability
Neues Sicherheitsfeature: Certificate Signing of PowerShell Serialization Payload
Um Exchange-Server vor Angriffen auf serialisierte Daten zu schützen, wurde in den SUs vom Januar 2023 die zertifikatsbasierte Signierung von PowerShell Serialization Payloads hinzugefügt. In der ersten Phase des Rollouts muss dieses neue Feature aufgrund von Feature-Abhängigkeiten manuell von einem Administrator aktiviert werden. Wichtig für das neue Feature „PowerShell Serialization Payload Signing“ ist, dass das Zertifikat „Microsoft Exchange Server Auth Certificate“ gültig ist. Die Gültigkeit dieses Zertifikats sollte vor der Installation des SUs geprüft werden. Hier gibt es einen Artikel, wie das Zertifikat im Fehlerfall neu erstellt werden kann:
Mit dem folgenden Befehl lässt sich prüfen ob das Zertifikat noch gültig ist:
(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List Subject, Thumbprint, NotAfter, NotBefore
Um PowerShell Serialization Payload Signing auf Exchange 2016 / 2019 Servern zu aktivieren, können die folgenden Befehle verwendet werden:
New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force
Achtung: Im letzten Schritt wird der IIS neu gestartet, Clients verlieren also kurz die Verbindung.
Hier gibt es weitere Informationen zu PowerShell Serialization Payload Signing:
Die Sicherheitsupdates sollte wie immer zeitnah eingespielt werden. Das Script „Apply-ExchangeHealthChecker-Recommendations“, welches die Exchange Health Checker Empfehlungen automatisch umsetzen kann, werde ich jetzt gleich anpassen, sodass auch die PowerShell Serialization Payload Signing aktiviert wird:
