Microsoft hat neue Sicherheitsupdates für Exchange Server 2016 – 2019 veröffentlicht. Es handelt sich dabei um einen Fix für die folgende Schwachstelle:
- CVE-2021-24085: Microsoft Exchange Server Spoofing Vulnerability
Die Schwachstelle ist allerdings mit dem Schweregrad “Low” angegeben und ein Angreifer muss über Anmeldedaten für den Exchange Server verfügen um die Schwachstelle ausnutzen zu können:
An authenticated attacker can leak a cert file which results in a CSRF token to be generated.
Quelle: https://msrc.microsoft.com/update-guide/en-us/vulnerability/CVE-2021-24085
Zur Zeit existiert kein Exploit für die Schwachstelle. Im März dürfte das neue CU für Exchange Server erscheinen, das CU wird diesen Fix enthalten. Wer also aufwendige Tests scheut, kann unter Umständen auch auf das nächste CU warten und dann das komplette CU testen.
Hier geht es zum Download des Updates:
- Microsoft Exchange Server 2019 Cumulative Update 8
- Microsoft Exchange Server 2019 Cumulative Update 7
- Microsoft Exchange Server 2016 Cumulative Update 19
- Microsoft Exchange Server 2016 Cumulative Update 18
Auch die bekannten Probleme zu dem Fix sollte man sich vor der Installation durchlesen:
