Bereits am 12.12.17 hat Microsoft ein Sicherheitsupdate für Exchange 2013 und Exchange 2016 veröffentlicht. Es handelt sich dabei nicht um das vierteljährliche CU, sondern um einen Fix für eine Schwachstelle in Outlook Web Access (OWA).
Das CVE zur Schwachstelle findet sich hier:
Das Update hat die Stufe “Wichtig”. Microsoft beschreibt die Lücke wie folgt:
This security update resolves a vulnerability in Microsoft Exchange Outlook Web Access (OWA). The vulnerability could allow elevation of privilege or spoofing in Microsoft Exchange Server if an attacker sends an email that has a specially crafted attachment to a vulnerable Exchange server.
Die Updates können hier runtergeladen werden:
- Security Update For Exchange Server 2016 CU7 (KB4045655)
- Security Update For Exchange Server 2016 CU6 (KB4045655)
- Security Update For Exchange Server 2013 CU18 (KB4045655)
- Security Update For Exchange Server 2013 CU17 (KB4045655)
Es kann vorkommen dass die Exchange Dienste nach der Installation des Updates im Status “Deaktiviert” verbleiben, daher sollten nach der Installation des Updates die Dienste kontrolliert werden.
Das vierteljährliche CU sollte ebenfalls in den nächsten Tagen erscheinen.