Sicherheitsupdates für Exchange Server (November 2021)

Microsoft hat neue Sicherheitsupdates für alle unterstützen Exchange Server (2013, 2016, 2019) veröffentlicht. Microsoft erwähnt insbesondere die Schwachstelle CVE-2021-42321 (Remote Code Execution) in Exchange 2016 und 2019, welche bei einer begrenzten Anzahl gezielter Angriffe bereits ausgenutzt wird. Vermutlich wird die Anzahl der Angriffe zunehmen, da jetzt durch das Update die Schwachstelle möglicherweise einfacher aufzuspüren ist. In der FAQ findet sich ausserdem ein Befehl mit dem festgestellt werden kann, ob die Schwachstelle CVE-2021-42321 bereits ausgenutzt wurde:

Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" }

Wenn der Befehl oben Treffer liefert, ist es ein Indiz für einen erfolgreichen Angriff.

Die Updates können hier runtergeladen werden:

  • Exchange Server 2013 CU23
  • Exchange Server 2016 CU21 und CU22
  • Exchange Server 2019 CU10 und CU11

Hier findet sich der entsprechende KB Eintrag zu den Updates:

Hier ist noch der entsprechende Artikel aus dem Microsoft Exchange Server Team Blog:

Außerdem weißt Microsoft explizit darauf hin, dass die manuelle Installation des Updates eine Shell im „Elevated“-Modus („Als Administrator ausführen“) ausgeführt werden muss. Hier einmal ein Beispiel der „Elevated Shell“:

Sicherheitsupdates

Das Update kann natürlich auch via WSUS (Achtung: Da gibt es ein Problem mit Exchange 2013), Windows Update oder anderen Tools installiert werden. Falls das Update der Exchange Server schief geht, finden sich hier übrigens einige mögliche Lösungen für die Probleme:

45 Gedanken zu „Sicherheitsupdates für Exchange Server (November 2021)“

  1. Hallo,

    Ich habe folgendes gemacht:
    Die vorherige Version unseres Exchange Servers 2016 war mit CU19.
    Ich habe Windows mit dem Januar-Paket aktualisiert. Dann habe ich den Server neu gestartet. Dann habe ich folgende Software IIS-Rewrite-Modul 2.1 64bit installiert. Dann habe ich angefangen, den Server mit CU22 zu aktualisieren. Alles ging ohne Fehlermeldung.
    Nach der Installation habe ich neu gestartet. Über Windows Update habe ich das Sicherheitsupdate für Exchange Server 2016 Cumulative Update 22 (KB5008631) installiert. Wie zuvor ging es ohne Fehlermeldung und dann habe ich den Server neu gestartet.
    Alle Dienste starteten ohne Probleme.
    Nach dem Versuch, die Exchange Admin Center-Anmeldung zu starten, wird die Seite normal angezeigt.
    Allerdings tritt nach dem Einloggen folgender Fehler auf:

    UnternehmenOffice 365
    Adi***** Mehr▼
    Anderer Benutzer…
    Abmelden
    HilfeHilfe
    Mehr▼
    Hilfe
    Hilfe-Sprechblase
    Befehlsprotokollierung anzeigen
    Datenschutz
    Copyright
    Exchange Admin Center
    Empfänger
    Berechtigungen
    Verwaltung der Compliance
    Organisation
    Schutz
    Nachrichtenfluss
    Mobil
    Öffentliche Ordner
    Unified Messaging
    Server
    Hybrid
    Postfächer
    Gruppen
    Ressourcen
    Kontakte
    Freigaben
    Migration
    ♥ Feedback
    ×Bitte warten Sie… Bitte warten Sie..
    Einige Warnungen sind momentan nicht verfügbar.
    Bewerten Sie Ihre Erfahrung mit dem Exchange Admin Center.

    Lassen Sie uns wissen, was Ihnen gefallen hat oder was wir besser machen können.
    Um Ihre Privatsphäre zu schützen, geben Sie bitte keine persönlichen Informationen in Ihrem Feedback an. Lesen Sie unsere Datenschutzbestimmungen.
    Microsoft darf mich wegen dieses Feedbacks kontaktieren.
    Vielen Dank für Ihr Feedback!
    Leider ist ein Fehler aufgetreten. Versuchen Sie es bitte später noch mal.
    Ungültige E-Mail
    WARNUNGEN
    Bitte warten Sie… Bitte warten Sie…
    Einige Warnungen sind momentan nicht verfügbar.

    Egal welcher Web-Browser!!!

    Beim Versuch, die OWA-Website zu laden, sieht es anders aus. Folgender Fehler tritt auf:

    Da hat etwas nicht geklappt.
    Ihre Anforderung konnte nicht abgeschlossen werden. HTTP-Statuscode: 500.
    X-ClientId: 930445E6C9294B09927F0FADDA73CBDA
    request-id 0464a2f5-d290-4082-a02e-de94c2a43a49
    X-OWA-Error System.Web.HttpUnhandledException
    X-OWA-Version 15.1.2375.18
    X-FEServer SWM60052
    X-BEServer SWM60052
    Date:03.02.2022 09:13:06
    InnerException: System.IO.DirectoryNotFoundException

    Das Empfangen und Versenden von E-Mails funktioniert.
    Bin für jeden Hinweis dankbar.
    Das habe ich schon geprüft: https://www.frankysweb.de/exchange-2016-serverfehler-in-anwendung-owa-und-oder-ecp/

    Antworten
  2. CU9 auf Exchange 2019 erhält keine Sicherheitspatche mehr..sprich auf CU 10 hochgehen oder CU11 damit die patche installiert werden können und das am besten sofort!
    Ich würde da nicht mehr bis zum
    CU12 warten

    Es reicht dann den Patch für November einspielen, weil dieser Oktober beinhaltet

    Antworten
  3. Hallo,
    ich habe zufällig erfahren, dass das ein Update (KB5007409) für den Exchange Server 2019 bereit steht.
    Im Windows Server wurden aber mehrere neuen Updates für Exchange Server nicht angeboten.
    Die Option: „Updates für andere Microsoft-Produkte bereitstellen, wenn ein Windows-Update ausgeführt wird“ ist auf dem Windowsserver (Windows 2019 Server) schon aktiv!
    Aktuell ist bei uns die Version 15.02.0858.015 (CU 9) von Exchange installiert. Wenn ich den aktuellsten Healthchecker ausführe, dann zeigt er mir an, dass ich vulnerable bin für:
    CVE-2021-26427
    CVE-2021-41350
    CVE-2021-41348
    CVE-2021-34453
    CVE-2021-42305
    CVE-2021-41349
    CVE-2021-42321

    Wieso wurden mir alle neueren Updates von Exchange Server nicht angezeigt, ist mir ein Rätsel. Alle anderen Windows Programme werden problemlos upgedatet. Zuletzt wurde im Juli ein Security Update für den Exchange Server via Windows Update installiert.

    Nun ist die Frage, kann ich jetzt direkt das alle neuste Update von Exchange (KB5007409) manuell installieren (ohne die zwischen Versionen seit KB5001779), oder muss ich alle fehlende Updates nacheinander installieren? Sollte ich direkt die aktuellste Version installieren, muss ich dabei etwas beachten?

    Bei Microsoft heißt es:
    „Alle benutzerdefinierten Einstellungen für Exchange oder Internet Information Server (IIS), die Sie in Exchange XML-Anwendungskonfigurationsdateien auf dem Exchange-Server vorgenommen haben (z. B. web.config-Dateien oder EdgeTransport.exe.config-Datei), werden bei der Installation eines Exchange-CU überschrieben. Sichern Sie diese Informationen, damit Sie die Einstellungen nach der Installation einfach erneut anwenden können. Nach der Installation eines Exchange-CU müssen diese Einstellungen neu konfiguriert werden.“

    Stimmt das so?

    Bin für jeden Hinweis dankbar.

    Antworten
  4. Hallo,
    ich habe das Update (Exchange Server 2019 CU11 (KB5007409)) bereits zweimal eingespielt, hat problemlos geklappt, Neustart – alles funktioniert. In Windows Programme zeigt Exchange die Version 15.2.986.14 an. Wenn ich den aktuellsten Healthchecker ausführe, dann zeigt er mir an, dass ich nur auf Version 15.02.0986.009 bin und vulnerable für:
    CVE-2021-42305
    CVE-2021-41349
    CVE-2021-42321

    Was stimmt? Bin für jeden Hinweis dankbar

    Antworten
  5. Hallo,
    leider habe ich nach der Installation vom Update „Exchange Server 2016 CU22 Nov21SU“ ein Problem mit der Schnellsuche im Outlook. Diese bringt keine Ergebnisse mehr, im Vergleich zur „Erweiterten Suche“, die noch alle Ergebnisse liefert.
    Ist das Problem bekannt bzw. noch jemand von Euch betroffen?
    Grüße

    Antworten
  6. CU 22 auf zwei EX 2016 stressfrei installiert – Basis war jeweils CU20.
    Nachdem CU22 noch KB5007409 hinterher – funktioniert soweit alles.

    Beim CU22 Updates hat es -wie eigentlich meistens- die angepassten ActiveSync IIS Einstellungen zurückgesetzt.
    (Speziell die AttachmentSizes für ActiveSync geschichten..)

    Ein 5 Zeiler behebt das dann direkt wieder

    %windir%\system32\inetsrv\appcmd.exe set config „Default Web Site/Microsoft-Server-ActiveSync/“ -section:system.webServer/security/requestFiltering /requestLimits.maxAllowedContentLength:41838182
    %windir%\system32\inetsrv\appcmd.exe set config „Default Web Site/Microsoft-Server-ActiveSync/“ -section:system.web/httpRuntime /maxRequestLength:40960
    %windir%\system32\inetsrv\appcmd.exe set config „Exchange Back End/Microsoft-Server-ActiveSync/“ -section:system.webServer/security/requestFiltering /requestLimits.maxAllowedContentLength:41838182
    %windir%\system32\inetsrv\appcmd.exe set config „Exchange Back End/Microsoft-Server-ActiveSync/“ -section:system.web/httpRuntime /maxRequestLength:40960
    %windir%\system32\inetsrv\appcmd.exe set config „Exchange Back End/Microsoft-Server-ActiveSync/“ -section:appSettings /[key=’MaxDocumentDataSize‘].value:41838182
    iisreset

    Antworten
  7. Hallo,

    ich habe eben per Administrativen Eingabeaufforderung das Update KB5007409 für CU22 installiert.
    Bis jetzt keine Probleme zu erkennen. Funktioniert soweit alles.

    Windows Server 2016
    Exchange 2016 CU22

    Antworten
  8. Dieses CU war bei uns ein etwas härterer Ritt.

    Erst musste es mehrfach gestartet werden weil einige web.config-Dateien bei der Installation nicht richtig geschrieben werden konnten, dann liefen autodiscover und oab nicht mehr. Die web.config-Dateien mussten aus der Sicherung wiederhergestellt werden.

    Dazu kam dann nach der Installation noch eine extreme Systembelastung durch das AMSI im Zusammenspiel mit Sophos. Hier hat als vorübergehende Maßnahme nur eine Abschaltung geholfen – mal schauen, wann Sophos mit einem Patch kommt.

    Hoffentlich nur eine Verkettung ungünstiger Umstände…

    Antworten
    • Hallo Peter,
      nicht nur bei euch. Wir haben heute das gleiche Problem feststellen müssen.
      Danke für den Kommentar. Hat uns auf die richtige Fährte geführt.
      CU22 Update am Sonntag eingespielt. Zuerst kam eine Fehlermeldung Fehler:

      Der folgende Fehler wurde generiert, als „$error.Clear();
      set-InstallPathInAppConfig -ConfigFileRelativePath „FrontEnd\HttpProxy\autodiscover“ -ConfigFileName web.config

      “ ausgeführt wurde: „System.UnauthorizedAccessException: Der Zugriff auf den Pfad „\FrontEnd\HttpProxy\autodiscover\web.config“ wurde verweigert.

      Dann haben dir den Defender deaktiviert und das CU Update nochmal neu angestartet.
      Da kam dann die Meldung: „Unvollständige Installation ermittelt“
      „Setup hat festgestellt, dass eine frühere Installation von Exchange auf diesem Computer nicht erfolgreich abgeschlossen wurde. Das Setup versucht jetzt, diese Installation abzuschließen.“

      Lief danach auch erfolgreich durch und in der PowerShell bzw. unter Systemsteuerung Programme wurde korrekt Microsoft Exchange Server 2016 Cumulative Update 22 angezeigt.

      Outlook lief, OWA lief, ActiveSync… alles gut.

      Gestern (Montag) keine Auffälligkeiten.
      Heute dann bei einer Kollegin ein Problem mit Teams/Plug-In/Outlook. Wollen ein neues Outlook Profil erstellen und bekommen keine Daten per Autodiscovery.
      Weiterer Test in der IT. Auch hier kommen keine Daten mehr ins Outlook.

      Haben dann geforscht, gesucht und gemacht und am Ende hatten wir auch das Problem, dass die \FrontEnd\HttpProxy\autodiscover\web.config zerschossen war, bzw. die hälfte an Infos in der Datei fehlten.
      Dachten erst die web.config.bak schafft Abhilfe, aber das waren ja noch weniger Informationen drin.

      Haben uns jetzt mit Veeam aus dem Backup von gestern die web.config geholt und jetzt läuft wieder alles. *puh*
      OWA, ECP, OAB usw. waren nicht betroffen. Da lief alles.

      „Schönes“ letztes CU für Exchange 2016 :)

      Antworten
  9. Moin Leute, habe das Update beim Kunden unter Exchange 2013 mit passendem CU erfolgreich eingespielt. Alles in allem ca. 1h bis das Update eingespielt war und der Exchange wieder lief. Kurz vor Ende, als das Update fast durchgelaufen war, wurde es nochmal spannend, da sich parallel zum Fortschritts-Fenster eine Powershell-Box öffnete, in der aber weiter nichts passierte, aus einem blinkenden Cursor. Vermutlich lief etwas im Hingerund mit der Option „silent“ ab. Ich habe dem Ganzen einfach Zeit gegeben, ohne die Box einfach wegzuklicken. Danach war alles gut.

    Antworten
  10. Hallo,
    habe hier einen MX2016 CU21 und hier gerade die letzte SU installiert.
    Das SU meinte nach der Installation das bitte neu gestartet werden sollte, was ich auch getan habe.
    Nun warte ich schon seit mehr als 90min. mit der Meldung „Windows wird vorbereitet, bittet warten Sie“,
    das der endlich nun durchstartet. Im Hintergrund scheinen die MX Dienste noch zu laufen.

    Was macht der hier so lange ?

    Antworten
    • Hi Stefan,

      dieses Phänomen hatte ich auf einem Windows Server 2016 auch ein paar Mal. Meistens ist er nach ca. 45 Minuten dann neu gestartet. Das liegt wohl teilweise an einem „hängenden“ Windows Modules Installer (ist hier ganz gut beschrieben: https://www.tech-faq.net/windows-wird-vorbereitet-schalten-sie-den-computer-nicht-aus/).
      Ich konnte das Problem mittlerweile „lösen“, indem ich den Server vor der Installation der Updates einmal neu starten lasse.
      Evtl. hängt es auch mit einem ausstehenden unterdrückten Neustart zusammen. Du könntest beim nächsten Mal das healthchecker script vorher laufen lassen, das zeigt dir das in der Auswertung an (das Script hat Franky vor einiger Zeit ausführlich beschrieben: https://www.frankysweb.de/exchangehealthchecker-script-um-konfigurationsprobleme-zu-ermitteln/).

      Antworten
    • 90 min ist schon lang und du kannst ja mal schauen ob der Dienst „Windows Modules Installer“ (TrustedInstaller) beim Status „wird beendet“ steht.
      Ich installiere immer als erstes die Windows Updates ohne das SecUpdate und starte den Server neu.
      Erst danach installiere ich das SecUpdate manuell mit einer als Administraor gestarteten CMD Konsole.

      Im Normalfall würde ich auch sagen lass den Server in Ruhe neu starten und schaue wenn möglich auf die iLO oder vSphere Konsole um zu sehen wo Er hängt. Sofern Updates installiert wurden kann der Neustart schon mal länger dauern aber bei einem SecUpdate sollte das nicht so lange dauern.

      Wenn du PSEXEC im Einsatz hast kannst du dich per PSEXEC auf das System schalten und die aktuelle PID vom Trusted Installer auslesen. Danach mittels Taskkill und der erkannten PID (hier xxx als Platzhalter) den Prozess hart beenden.
      Benutzung auf eigene Gefahr ;-)

      psexec
      sc queryex trustedinstaller
      taskkill /PID xxx /F

      Antworten
  11. Hallo,
    leider bekomme ich nach den Installation des Updates einen Fehler beim verteilen der Datenbanken auf die Exchange Server, dass der Ordner IgnordLogs beschädigt ist. Wie bekomme ich die Datei gelöscht?
    Fehlercode: 0x80070570

    Antworten
  12. Grüße…
    Gibt es kein neues Sicherheitsupdate für Exchange Server 2016 CU20?
    Oder braucht man für die CU20 keins?

    Wir haben noch nicht auf die CU21 bzw. CU22 aktualisiert, weil uns das hier gestört hat:
    Fehler „E-Mail kann nicht gesendet werden – Ihr Postfach ist voll“, wenn Sie iPhone-Mail verwenden, um sehr große Anlagen zu senden (KB5004622)
    https://support.microsoft.com/de-de/topic/fehler-e-mail-kann-nicht-gesendet-werden-ihr-postfach-ist-voll-wenn-sie-iphone-mail-verwenden-um-sehr-gro%C3%9Fe-anlagen-zu-senden-kb5004622-eb95555f-80fd-47b4-bc6f-5c2c4fc4fea0

    Wurde der Bug gefixxt?

    Antworten
    • Es werden immer NUR DIE LETZTEN ZWEI CUs mit Sicherheits-Updates unterstützt – in diesem Fall also NUR CU21 und CU22.

      Daher wirst Du auf einen der beiden neuen CUs updaten müssen, um die November-Sicherheits-Updates (auch die Oktober-Sicherheits-Updates, welche in den November-Updates mit enthalten sind) zu bekommen!

      Wir sind damals direkt von CU20 auf CU22 gegangen (mit zwei 2016er Servern), hat bei beiden ohne Probleme wunderbar funktioniert.

      Antworten
        • Hallo,
          das Problem mit den iPhones hatten (haben) wir auch.
          Es scheint aber weniger ein Bug als eine falsche Fehlermeldung bei Anhängen > 10MB (oder was erlaubt ist) zu sein.

        • Nein steht beim cu22 immer noch als Problem. Aber wie groß müssen die attachments denn sein? Bei mir hat sich diesbezüglich noch niemand gemeldet. :)

        • Bei uns scheint die Größe der funktionierenden Anhänge der zu entsprechen die konfiguriert ist. Es kommt wohl nur die falsche Fehlermeldung, statt „Anhang ist zu groß“ kommt eben „Das Postfach ist voll“

  13. Hat das noch jemand, das das Update in der GUI (Programme und Features – Installierte Updates) als installiert angezeigt wird, aber mit get-hotfix unter der PowerShell bzw. wmic qfe in der Eingabeaufforderung nicht ?

    Antworten
    • Der HealthChecker meldet, das es installiert ist.

      Version: Exchange 2019 CU11
      Build Number: 15.02.0986.014
      Exchange IU or Security Hotfix Detected.
      Security Update for Exchange Server 2019 Cumulative Update 11 (KB5007012)
      Security Update for Exchange Server 2019 Cumulative Update 11 (KB5007409)

      Dann wird das wohl hoffentlich auch so sein :-)

      Antworten
  14. Moin Moin,
    ich habe eine kurze Verständnisfrage:
    Ist in diesem Sicherheitsupdate auch das Sicherheitsupdate aus dem Oktober enthalten (KB5007012)?
    Falls nicht, kann bzw. muss ich immer noch das KB5007012 nachträglich installieren wenn das neuste KB5007409 gestern auf dem Exchange2016 Server installiert wurde?

    Vielen Dank im Voraus

    Gruß Rene

    Antworten
    • Im Blog von MS steht:

      „We are aware of an issue that Exchange 2013 CU23 customers who use Windows Server Update Services (WSUS) to download Security Updates might see an error with the installation of November SU (error 0x80070643 in the event log, event ID 20). We are working on resolving this issue ASAP.“

      Antworten
  15. Das Update ist bei mir hängen geblieben, Error geworfen und nach einem Neustart wirft die Konsole dieses hier:

    Add-PSSnapin : Cannot load Windows PowerShell snap-in Microsoft.Exchange.Management.PowerShell.SnapIn because of the following error: The type initializer for ‚Microsoft.Exchange.Data.Directory.Globals‘ threw an exception.

    Exchange 2019 CU11

    Antworten

Schreibe einen Kommentar