Site icon Franky's Web

New security updates for Exchange Server (March 2023)

Frank Zöchling

Microsoft has released new security updates for Exchange Server 2013, 2016 and 2019. This is likely to be the last security update for Exchange 2013, as support for Exchange 2013 ends on 11.04.2023. The March update for Exchange also fixes the problem with the crashing EWS Web Application Pool in IIS. Applications that use EWS should therefore work again without errors. The recommended workaround must be reversed manually. In addition, the Exchange Tool Box and the queue display are now working again. Finally, Retention Policies in conjunction with Windows Extended Protection are working again, so there is no longer any reason not to activate Extended.

Click here to go directly to the downloads:

Die Updates beheben 3 als „Wichtig“ eingestufte Schwachstellen welche in die Kategorie „Remote Code Execution“ fallen. Da in diesem Update neben den Schwachstellen auch Probleme mit dem vorherigen Sicherheitsupdate behoben werden, sollte dieses Update zeitnah installiert werden. Hier gibt es weitere Details zu den Schwachstellen:

Neben den Updates für Exchange Server, gibt es auch für Outlook ein Sicherheitsupdate. Es handelt sich dabei um die Schwachstelle „Microsoft Outlook Elevation of Privilege Vulnerability (CVE-2023-2337)„. Da die Schwachstelle scheinbar auch bereits ausgenutzt wurde, hat Microsoft zusätzlich ein Script veröffentlicht, welches prüft, ob sich schädliche Elemente in den Postfächern befinden. Das Script benötigt die EWS Schnittstelle und kann hier runter geladen werden:

Important: The script requires impersonation rights and a corresponding throttling policy. The link above explains how to configure these rights. The script should also be executed in environments that use Exchange Online, where malicious elements can also be located in the mailboxes.

Here is the article from the Exchange Team Blog:

The links on the Exchange Versions Page are already updated.

Exit mobile version