Microsoft hat ein Sicherheitsupdate für Exchange 2016 CU 10 und CU 11 veröffentlicht. Das Update behebt eine Manipulationsschwachstelle die mit Schweregrad “Wichtig” eingestuft wurde:
A tampering vulnerability exists when Microsoft Exchange Server fails to properly handle profile data. An attacker who successfully exploited this vulnerability could modify a targeted user’s profile data.
To exploit the vulnerability, an attacker would need to be authenticated on an affected Exchange Server. The attacker would then need to send a specially modified request to the server, targeting a specific user.
The security update addresses the vulnerability by modifying how Microsoft Exchange Server handles profile data.
Quelle: CVE-2018-8604 | Microsoft Exchange Server Tampering Vulnerability
Das Update kann hier runtergeladen werden:
- Security Update For Exchange Server 2016 CU10 (KB4468741)
- Security Update For Exchange Server 2016 CU11 (KB4468741)
Try this:
Manually download KB4468741
Create a file „profile.ps1“ in „C:\Windows\System32\WindowsPowerShell\v1.0“ containing the following command: New-Alias Stop-SetupService Stop-Service
(This simply creates an alias that makes Windows think there’s a valid „Stop-SetupService cmdlet)
Run KB4468741
Reboot server and check all Services are running.
hat mir eben auch den *rsch gerettet.
Exchange 2013 KB5003435 ist am Wochenende Fehlgeschlagen, anschließend startete kein Exchange Dienst mehr, Cu23 Installation sowie KB5003435 neu Installation (Elevated) nix hat geholfen bzw. ist abgebrochen.
Das Skript angelegt:
Create a file „profile.ps1“ in „C:\Windows\System32\WindowsPowerShell\v1.0“ containing the following command: New-Alias Stop-SetupService Stop-Service
(This simply creates an alias that makes Windows think there’s a valid „Stop-SetupService cmdlet)
Anschließend lief das Update durch, Server neu gestartet, alles wieder healthy
Danke, Gruß Florian
Sorry vergessen: Das ganze ist übrigens eine CU10-Installation
Hallo an Alle,
die automatische Installation der KB4468741 ist bei mir mehrmals fehlgeschlagen. Dann habe ich wie in diesem Blog vorgeschlagen das ganze aus einer Admin-Shell herausgestartet und bekam nach einiger Zeit die Meldung, dass der Dienst „Tracing Service for Search in Exchange“ nicht beendet werden konnte, evtl wegen fehlender Rechte. Der Dienst stand im Status „Wird beendet“. Daraufhin habe ich den Prozess im Taskmanager beendet und durch Klick auf Retry den Updateprozess fortsetzen können. Danach wurde der Updateprozess fehlerfrei durchlaufen. Neustart und jetzt sieht alles gut aus!
@bent
Hi, schön das du nachfragst, die Antwort ist NEIN. Insgesamt saß ich 16 stunden gestern da dran. Nach 12 Stunden hab ich aufgegeben und den Exchange aus der Sicherung wiederhergestellt. Da ich jetzt wieder das CU10 hatte musste auch der DC wiederhergestellt werden. Als alles wieder da war und die Dienste starteten, musste ich leider feststellen dass der Transportdienst fratze war. Ich vermute, dass während der Sicherung gleich zeitig das Update installiert wurde und es da zu komplikationen kam. Ich habe im adsiedit Einträge mit dem DC und anderen Exchangeservern verglichen und anpassen. Als nächstes hätte ich einen neuen Exchange aufgesetzt und eine Reparaturinstallation gestartet, das blieb mir gestern Gott sei Dank erspart… Danke MS, danke für nichts! Ich habe gestern aus Frust beschlossen eine 6 Jahre alte Sicherheitslücke, von der ich noch nie was gehört habe, die nächsten 6 Jahre bestehen zu lassen, denn der Stress gestern hat mich 6 Jahre meines Lebens gekostet ;-)
@Dawid
Gibt’s irgendwelche Neuigkeiten? Hast du das Problem lösen können?
@Bent
Dienste lassen sich gar nicht mehr starten.
@Sven
Das cmdlet „Get-ServerComponentState“ lässt sich nicht ausführen
Hast du den Status der Componentendienste mal abgefragt?
Abfrage des Status
Get-ServerComponentState Sertvername
Vermutlich stehen diese alle auf inactive und sind im Maintenance Modus.
Das verhindert den Neustart der services.
Du kannst die meisten Services wieder aktive setzen OHNE den highavailabilty (das der Clusterservice-den erst wenn alles wieder läuft)
Setzen bzw. active setzen
Set-ServerComponentState -Identity Servername -Component Komponentenname -State active
Korrektur: Konntest du denn alle Dienste wieder starten nachdem du sie auf AUTOMATISCH gestellt hast?
@Dawid
Die Dienste würde ich jetzt nicht deaktivieren. Der Installer stoppt die notwendigen Dienste selbst.
Konntest du denn alle Dienste wieder starten nachdem du sie auf manuell gestellt hast?
Ich würde an deiner Stelle erst sicherstellen, dass Exchange voll funktionsfähig ist bevor du das Update nochmal ausführst.
Dienste starten, OWA, ECP etc. testen
@Bent
Server wurde schon mehrmals neu gestartet. Habe jetzt alle Dienste nochmal deaktiviert, die Benutzerkontensteuerung abgeschaltet und das Setup erneut ausgeführt.
Fehlermeldung lautet: „Setup Wizard (…) ended prematurely because of an error. Your System has not been modified. To install (…) run the installaition again.
In den Logs habe ich lauter ASP.NET Fehler
@Dawid:
Gibt es eine spezifische Fehlermeldung?
Systeme schon neugestartet?
@Bent,
alle Dienste stehen wieder auf automatisch. Auch die „nicht MSE-Dienste“
Das Ausführen des Updates per Powershell oder Admin-CMD bringt leider auch nichts…
habe ergänzend dazu noch das gefunden
https://support.microsoft.com/de-de/help/4468741/security-update-for-the-exchange-tampering-vulnerability
@Dawid hast du zufällig die MSE-Dienste alle wieder auf Autmoatisch gestellt?
Kannst du natürlich auch per PowerShell.
Alle Dienste mit dem String „exchange“ auf Starttype Automatic setzen:
Get-Service -DisplayName ‚*exchange*‘ | Set-Service -StartupType Automatic
Dienste starten kannst du dann so:
Get-Service -DisplayName ‚*exchange*‘ | Start-Service
Du musst natürlich wissen ob ggf. bestimmte Dienste deaktiviert sein sollen, auf manuell oder verzögert stehen sollen.
Bei mir waren zusätzlich noch folgende Dienste deaktiviert, die ich dann ebenfalls per Powershell wieder angepasst habe.
– WWW-Publishingdienst
– Microsoft-Filterverwaltungsdienst
– IIS-Verwaltungsdienst
– Remoteregistrierung
– Windows-Verwaltungsinstrumentation
Hoffe das hilft weiter?!
Gruß
Bent
Hallo Manuel,
wie Bent bereits schrieb war meine Vorgehensweise dann genau wie seine (ohne msiexec /p auf Admin CMD). Damit lief es dann durch. Versuch das mal noch einmal.
Gruß Sven
Hallo Bent,
habe gerade festgestellt, dass der zwar im Windows Update unter installierten Updates den Fehler anzeigt aber in den Programmen und Features unter Systemsteuerung er meint, dass es installiert ist. Hat wohl doch funktioniert mit dem SYSTEM User.
Jetzt muss ich nur wieder rausfinden, welche Dienste bei uns alle gebraucht wurden, aber das hats ja dann auch gleich ;) Vielen Dank.
Moin Manuel,
ruf mal die .msp direkt aus einer mit Adminrechten gestarteten cmd ohne msiexec /p auf.
Dann sollte das Update ohne Probleme durchlaufen und du bekommst die Oberfläche angezeigt.
Gruß
Bent
Hallo Weimar und Bent,
bei uns wurde ebenfalls mit SCCM ausgerollt mit gleichen Symptomen.
Die Ausführung der cmd als Administrator führt dazu, dass bei msiexec /p Exchange2016-KB4468741-x64-de.msp zwar das Update erst einmal ausgeführt wird, am Ende jedoch dann festgestellt wird, dass SYSTEM versucht hat das Update zu installieren und daher als Administrator die Installation nicht möglich ist.
Nun haben wir versucht mit PsExec als SYSTEM Account die Update erneut zu deployen (ebenfalls mit msiexec /p Exchange2016-KB4468741-x64-de.msp). Wenn man das so startet sieht man halt keine Oberfläche von der Installation. Das einzige Tracking was ich habe ist über den Taskmanager unter Details ob msiexec als SYSTEM noch läuft. Nach ca. 5-10 Min ist das dann da verschwunden, das Update wird jedoch nach wie vor als Fehlerhaft installiert unter Windows Update dargestellt.
Gibts noch etwas, was ich übersehen habe könnte? Vielen Dank vorab.
Hallo zusammen,
gleiches Leid bei mir. Das Update schlug fehl und jetzt sind alle MSE-Dienste auf deaktiviert. Ich habe sie versucht händisch zu aktivieren aber sie starten dennoch nicht. Habe das Update jetzt heruntergeladen und will es manuell installieren, die Installation schlägt jedoch ebenfalls fehl. Hat jemand noch einen Rat für mich?
Die Installation des Security-Updates per SCCM ist auch in einer mittelschweren Katastrophe geendet.
Etliche Dienste waren Starttype „Deaktiviert“. Musste alles manuell zurückgedreht werden.
Nach der Problembehebung konnte ich alle 4 Exchange-Knoten ebenfalls durch eine manuelle Installation des Security-Updates über die eine Admin-Console auf den aktuellen Stand bringen.
Das Problem konnte mit einer erneuten nachträglichen manuellen Installation der msp Datei über die administrative cmd behoben werden. Offensichtlich wird bei Installation dieser Exchange CU msp über Windows Update (ähnlich wie bei einem Update im CU8) die UAC nicht deaktiviert, sodass einige Dateien/Services nicht ausgetauscht werden können, was dann zu fehlerhaftem OWA und ECP führt.
Nun läuft das ganze wieder.
Hallo,
nach dem Update auf aktuellen 4x Exchange2016 CU11 Systemen läuft die Outlook im Web Anmeldung nicht mehr…
Das Update wurde im Windows Update vorgeschlagen und auch ausgeführt ohne Fehlercode.
Bei Anmeldung auf der OWA kommt dann:
„Da hat etwas nicht geklappt.
Ihre Anforderung konnte nicht abgeschlossen werden. HTTP-Statuscode: 500“
X-OWA-Error System.Web.HttpUnhandledException
X-OWA-Version 15.1.1591.11
X-FEServer Name1
X-BEServer Name2
Date:18.12.2018 16:47:32
InnerException: System.IO.DirectoryNotFoundException
Hi,
hast du das Problem lösen können?
MFG
Sebastian
Hallo,
auf einen Server 2016 mit Ex2016 CU10, bleibt der Bootvorgang nach dem Sicherheitsupdate auf 70% stehen und verwirft es.
Moin zusammen,
ich werde das Update voraussichtlich heute Abend installieren. Mal sehen wie der Dienst sich bei mir verhält.
Beste Grüße
Bent
Hallo Frank,
Das Update habe ich erfolgreich installiert (EX2016CU11), nach dem Neustart steht jetzt der StartUp Type vom Dienst Microsoft Exchange Search Host Controller auf Disabled?
MfG
Uwe
Hallo, ist das Update cu10 in cu11 enthalten oder sollen beide nacheinander installiert werden?
Hallo Marxel,
du musst entweder das Update für CU10 oder das Update für CU11 installieren, je nach Patch Stand deines Exchange Servers.
Gruß,
Frank