Microsoft has released new security updates for Exchange Server 2013, 2016 and 2019 today. The security updates also include a new security feature, which currently still needs to be activated manually:
Click here to download the security updates:
The security updates fix the following security vulnerabilities classified as important:
- CVE-2023-21764 – Microsoft Exchange Server Elevation of Privilege Vulnerability
- CVE-2023-21763 – Microsoft Exchange Server Elevation of Privilege Vulnerability
- CVE-2023-21745 – Microsoft Exchange Server Spoofing Vulnerability
- CVE-2023-21762 – Microsoft Exchange Server Spoofing Vulnerability
- CVE-2023-21761 – Microsoft Exchange Server Information Disclosure Vulnerability
New security feature: Certificate Signing of PowerShell Serialization Payload
Um Exchange-Server vor Angriffen auf serialisierte Daten zu schützen, wurde in den SUs vom Januar 2023 die zertifikatsbasierte Signierung von PowerShell Serialization Payloads hinzugefügt. In der ersten Phase des Rollouts muss dieses neue Feature aufgrund von Feature-Abhängigkeiten manuell von einem Administrator aktiviert werden. Wichtig für das neue Feature „PowerShell Serialization Payload Signing“ ist, dass das Zertifikat „Microsoft Exchange Server Auth Certificate“ gültig ist. Die Gültigkeit dieses Zertifikats sollte vor der Installation des SUs geprüft werden. Hier gibt es einen Artikel, wie das Zertifikat im Fehlerfall neu erstellt werden kann:
The following command can be used to check whether the certificate is still valid:
(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List Subject, Thumbprint, NotAfter, NotBefore
To enable PowerShell Serialization Payload Signing on Exchange 2016 / 2019 servers, the following commands can be used:
New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force
Attention: In the last step, the IIS is restarted, so clients briefly lose the connection.
Hier gibt es weitere Informationen zu PowerShell Serialization Payload Signing:
Die Sicherheitsupdates sollte wie immer zeitnah eingespielt werden. Das Script „Apply-ExchangeHealthChecker-Recommendations“, welches die Exchange Health Checker Empfehlungen automatisch umsetzen kann, werde ich jetzt gleich anpassen, sodass auch die PowerShell Serialization Payload Signing aktiviert wird:
