Microsoft hat neue Sicherheitsupdates für Exchange Server 2013, 2016 und 2019 veröffentlicht. Das Sicherheitsupdate soll die folgenden drei Schwachstellen beheben:
- CVE-2022-21969 (Wichtig)
- CVE-2022-21855 (Wichtig)
- CVE-2022-21846 (Kritisch)
Bei den drei genannten Schwachstellen handelt es sich um Fehler die Remote Code Execution ermöglichen. Die Updates sollten daher möglichst zeitnah installiert werden, auch wenn derzeit noch keine Ausnutzung der Schwachstellen bekannt ist.
Hier können die Updates runtergeladen werden:
Microsoft liefert wie üblich nur Updates für das aktuelle und das vorherige CU. Exchange Server mit älterem CU sind aber höchstwahrscheinlich ebenfalls von den Schwachstellen betroffen. Wer aktuell noch Exchange Server mit älterem CU betreibt, muss zunächst auf ein aktuelles CU aktualisieren und dann die Sicherheitsupdates installieren.
Da Exchange Server aktuell gerne als Ziel bzw. als Einfallstor für Angriffe genutzt werden, sollte jeder Admin darauf achten, dass Sicherheitsupdates für Exchange Server und auch das Betriebssystem möglichst zeitnah installiert werden.
Das Update behebt auch ein Problem welches es mit dem November Update gegeben hat:
Hier findet sich der entsprechende Eintrag aus dem Exchange Server Team Blog:
Außerdem weißt Microsoft explizit darauf hin, dass die manuelle Installation des Updates eine Shell im „Elevated“-Modus („Als Administrator ausführen“) ausgeführt werden muss. Hier einmal ein Beispiel der „Elevated Shell“:
Das Update kann natürlich auch via WSUS, Windows Update oder anderen Tools installiert werden. Falls das Update der Exchange Server schief geht, finden sich hier übrigens einige mögliche Lösungen für die Probleme: