Microsoft hat neue Sicherheitsupdates für alle unterstützen Exchange Server (2013, 2016, 2019) veröffentlicht. Microsoft erwähnt insbesondere die Schwachstelle CVE-2021-42321 (Remote Code Execution) in Exchange 2016 und 2019, welche bei einer begrenzten Anzahl gezielter Angriffe bereits ausgenutzt wird. Vermutlich wird die Anzahl der Angriffe zunehmen, da jetzt durch das Update die Schwachstelle möglicherweise einfacher aufzuspüren ist. In der FAQ findet sich ausserdem ein Befehl mit dem festgestellt werden kann, ob die Schwachstelle CVE-2021-42321 bereits ausgenutzt wurde:
Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" }
Wenn der Befehl oben Treffer liefert, ist es ein Indiz für einen erfolgreichen Angriff.
Die Updates können hier runtergeladen werden:
Hier findet sich der entsprechende KB Eintrag zu den Updates:
Hier ist noch der entsprechende Artikel aus dem Microsoft Exchange Server Team Blog:
Außerdem weißt Microsoft explizit darauf hin, dass die manuelle Installation des Updates eine Shell im „Elevated“-Modus („Als Administrator ausführen“) ausgeführt werden muss. Hier einmal ein Beispiel der „Elevated Shell“:
Das Update kann natürlich auch via WSUS (Achtung: Da gibt es ein Problem mit Exchange 2013), Windows Update oder anderen Tools installiert werden. Falls das Update der Exchange Server schief geht, finden sich hier übrigens einige mögliche Lösungen für die Probleme: