Neue Sicherheitsupdates für Exchange Server (März 2023)

Microsoft hat neue Sicherheitsupdates für Exchange Server 2013, 2016 und 2019 veröffentlicht. Für Exchange 2013 dürfte es das letzte Sicherheitsupdate sein, da der Support für Exchange 2013 am 11.04.2023 endet. Im März Update für Exchange wurde auch das Problem mit dem abstürzenden EWS Web Application Pool im IIS behoben. Anwendungen welche EWS benutzen, sollten also wieder fehlerfrei funktionieren. Der empfohlene Workaround muss manuell wieder rückgängig gemacht werden. Außerdem funktioniert nun auch wieder die Exchange Tool Box und die Warteschlangenanzeige. Endlich funktionieren auch Retention Policies in Verbindung mit Windows Extended Protection, sodass es nun eigentlich keinen Grund mehr gibt, Extended nicht zu aktivieren.

Hier geht es direkt zu den Downloads:

• Exchange Server 2013 CU23
• Exchange Server 2016 CU23
• Exchange Server 2019 CU11 und CU12

Die Updates beheben 3 als „Wichtig“ eingestufte Schwachstellen welche in die Kategorie „Remote Code Execution“ fallen. Da in diesem Update neben den Schwachstellen auch Probleme mit dem vorherigen Sicherheitsupdate behoben werden, sollte dieses Update zeitnah installiert werden. Hier gibt es weitere Details zu den Schwachstellen:

• Microsoft Exchange Server Remote Code Execution Vulnerability (CVE-2023-21706)
• Microsoft Exchange Server Remote Code Execution Vulnerability (CVE-2023-21710)
• Microsoft Exchange Server Remote Code Execution Vulnerability (CVE-2023-21529)

Neben den Updates für Exchange Server, gibt es auch für Outlook ein Sicherheitsupdate. Es handelt sich dabei um die Schwachstelle „Microsoft Outlook Elevation of Privilege Vulnerability (CVE-2023-2337)„. Da die Schwachstelle scheinbar auch bereits ausgenutzt wurde, hat Microsoft zusätzlich ein Script veröffentlicht, welches prüft, ob sich schädliche Elemente in den Postfächern befinden. Das Script benötigt die EWS Schnittstelle und kann hier runter geladen werden:

• CVE-2023-23397 script

Wichtig: Das Script benötigt Impersonations-Rechte und eine entsprechende Throttling Policy. Im oben angegebenen Link steht, wie diese Rechte konfiguriert werden. Das Script sollte auch in Umgebungen ausgeführt werden, welche Exchange Online verwenden, auch dort können schädliche Elemente in den Postfächern liegen.

Hier noch der Artikel vom Exchange Team Blog:

• Released: March 2023 Exchange Server Security Updates

Die Links auf der Exchange Versions Seite sind bereits aktualisiert.