Microsoft hat am 28.09.2021 im Rahmen der Quartalsweisen Updatepolitik die neuen Kumulativen Updates für Exchange 2016 und 2019 herausgegeben.
Das CU22 für Exchange 2016 erfolgt außerhalb des eigentlichen Supports um zuletzt aufgetretene Sicherheitslücken zu schließen.
Das CU11 für Exchange 2019 ist regulär erschienen.
Hier geht es direkt zum Download der aktuellen CUs:
Für die Installation der neuen CU’s ist die vorherige Installation des IIS URL Rewrite Modul erforderlich.
Mit den Updates wurden grundlegende Sicherheitslücken geschlossen und verschiedene Probleme behoben.
Details unter folgenden Links:
- Exchange Server 2019 Cumulative Update 11 (KB5005334)
- Exchange Server 2016 Cumulative Update 22 (KB5005333)
Mit den neuen Updates hat außerdem ein neues Feature in die Exchange Server Einzug gehalten. Hierbei handelt es sich um die Exchange Emergency Mitigation (EM). Hiermit liefert Microsoft ein Tool für On-Prem Exchange Installationen, um das aktive Ausnutzen von Sicherheitslücken zu verhindern bis der Server durch die Anwendungsadministratoren entsprechend gepatched wurde.
Die Funktionsweise des neuen „EM“ ist simpel. In einem stündlichen Rhythmus wird ein neues Regelwerk bei Microsoft in Form eines signierten XML Dokuments abgerufen. In diesem Dokument befinden sich verschiedene Aktionen und Regelwerke, welche von den Exchange Servern automatisch angewendet werden um etwaige Schwachstellen abzumildern bevor die Updates eingespielt werden.
Die Funktion ersetzt also nicht das eigentliche patchen, unterstützt jedoch beim Absichern der Umgebung bis die Patches eingespielt wurden. Die „EM“ blockiert nämlich den Angriffsweg.
Hierbei kommen folgende 3 Verfahren zur Angriffsabwehr zum Einsatz:
- Anwenden einer IIS URL Rewrite Regel, dies kennen viele von Apache Webservern (mod_rewrite). Mittels Rewrite-Regeln können schädliche HTTP-Anfragen blockiert werden. Da die meisten Exchange Protokolle über den IIS-Webserver bereitgestellt werden, kann mit einem entsprechenden Regelwerk sehr effektiv auf Angriffe reagiert werden
- Deaktivieren von angreifbaren Exchange Diensten. EM kann angreifbare Exchange Dienste deaktivieren und so vor der Ausnutzung einer Schwachstelle schützen. Dies kann natürlich Einfluss auf die Verfügbarkeit bestimmter Exchange Funktionen haben.
- Deaktivieren von IIS Application Pools. EM kann, ähnlich wie bei den Exchange Diensten, bestimmte IIS App Pools deaktivieren. Auch dies kann Einfluss auf die Verfügbarkeit von bestimmten Funktionen haben.
Mit folgenden Befehlen kann der Status der EM überprüft werden:
1
2
|
Get-OrganizationConfig | fl MitigationsEnabled Get-ExchangeServer | ft Name,MitigationsEnabled |
Nähere Informationen zu den einzelnen Funktionen und dem analysieren der Logs erfahren Sie in unserer Webreihe „Exchange Security“.