Die Updates für Windows Server welche am 19.02.2019 nach dem regulärem Patchday veröffentlicht wurden, sind auch wichtig für Exchange Server welche auf Windows Server 2016 laufen. Ganz konkret geht es um ein Problem das seit dem September 2018 besteht:
KB4457127 sorgt für Probleme auf DCs in Verbindung mit Exchange
Das KB4457127 verursacht nach der Installation auf Domain Controllern Probleme mit den Exchange Adresslisten, daher war es bisher ratsam das entsprechende Update nicht auf DCs zu installieren:
Das KB4487006 vom 19.02.2019 behebt dieses Problem nun, hier ein Auszug aus der Liste der behobenen Probleme:
Addresses an issue that may cause Microsoft Outlook to display the error, „The operation failed“ when viewing the Microsoft Exchange Address Book. This issue occurs after installing KB4457127 on Active Directory domain controllers that utilize Microsoft Exchange. The error appears on Microsoft Outlook clients that use locales other than EN-US.
February 19, 2019—KB4487006 (OS Build 14393.2828)
Des weiteren ermöglicht das KB4487006 das Limitieren von HTTP/2 Settings-Frames welche Clients an den IIS-Webserver schicken können. Angreifer die diese Schwachstelle ausnutzen, könnten die CPU-Last auf den IIS-Servern (und somit auch Exchange Servern) in die höhe treiben und damit den Server so stark auslasten, dass er unbenutzbar wird (DDoS).
Das KB4487006 behebt allerdings nicht die Schwachstelle in Verbindung mit HTTP/2 Settings Frames, sondern bietet nur die Möglichkeit das Szenario mittels entsprechender Limits einzuschränken:
Define thresholds on the number of HTTP/2 Settings parameters exchanged over a connection
Da in der Standardeinstellung keine Limits gesetzt sind und somit weiterhin die Möglichkeit besteht, die CPU-Last auf Exchange Servern auf 100% zu treiben, stellt sich natürlich die Frage welche Limits hier sinnvoll sind.
Aktuell kann ich diese Frage ebenfalls nicht beantworten, bisher liegen mir keine entsprechenden Informationen vor.
Ich habe test halber einmal die folgenden Werte benutzt:
Diese Werte habe ich dem folgenden Reddit Thread entnommen (es handelt sich hier aber um Vermutungen):
Microsoft publishes security alert on IIS bug that causes 100% CPU usage spikes
Sobald ich hier mehr Informationen habe, aktualisiere ich diesen Artikel.