Microsoft hat neue Sicherheitsupdates für Exchange Server 2013, 2016 und 209 veröffentlicht. Diese drei Sicherheitslücken werden in Exchange Server 2016 und 2019 behoben:
Bei CVE-2021-41348 handelt es sich um eine Schwachstelle mit dem Schweregrad „Hoch“, welche die Ausweitung von Berechtigungen ermöglicht.
In Exchange 2013 wird die folgende Schwachstelle behoben:
CVE-2021-26427 ist ebenfalls mit dem Schweregrad „Hoch“ eingestuft und ermöglicht Remote Code Execution. Die verfügbaren Updates sollten daher zeitnah installiert werden. Hier geht es direkt zu den Downloads der Updates:
Bisher sind noch keine aktiven Exploits bekannt, dies könnte sich mit den Veröffentlichung der Updates aber ändern.
Außerdem weißt Microsoft explizit darauf hin, dass die manuelle Installation des Updates eine Shell im „Elevated“-Modus („Als Administrator ausführen“) ausgeführt werden muss. Hier einmal ein Beispiel der „Elevated Shell“:
Bevor die Updates installiert werden, sollte man auch noch einen Blick auf die bekannten Probleme werfen:
- Description of the security update for Microsoft Exchange Server 2019 and 2016: October 12, 2021 (KB5007012)
- Description of the security update for Microsoft Exchange Server 2013: October 12, 2021 (KB5007011)
Das Update kann natürlich auch via WSUS, Windows Update oder anderen Tools installiert werden. Falls das Update der Exchange Server schief geht, finden sich hier übrigens einige mögliche Lösungen für die Probleme: