Mittwoch, 14. Oktober 2020

Schon wieder ein neuer Sicherheits-Patch für Exchange (CVE-2020-16969)

 Kaum haben wir unsere Exchange-Umgebungen wieder sicher gemacht, indem eines der neusten CU's installiert wurde, erscheint schon wieder ein neuer Sicherheits-Patch für Exchange. Folgende Versionen sind betroffen:

  • Microsoft Exchange Server 2013 Cumulative Update 23
  • Microsoft Exchange Server 2016 Cumulative Update 17
  • Microsoft Exchange Server 2016 Cumulative Update 18
  • Microsoft Exchange Server 2019 Cumulative Update 6
  • Microsoft Exchange Server 2019 Cumulative Update 7
Das Problem hat damit zu tun, wie Exchange Token validiert. Ein Angreifer, der die Sicherheitslücke erfolgreich ausnutzt, kann dies verwenden um weitere Informationen von einem Benutzer zu erhalten.

Hier die Original-Beschreibung von Microsoft:

An information disclosure vulnerability exists in how Microsoft Exchange validates tokens when handling certain messages. An attacker who successfully exploited the vulnerability could use this to gain further information from a user.

To exploit the vulnerability, an attacker could include specially crafted OWA messages that could be loaded, without warning or filtering, from the attacker-controlled URL. This callback vector provides an information disclosure tactic used in web beacons and other types of tracking systems.

The security update corrects the way that Exchange handles these token validations.


Unter dem Link findet ihr weitere Informationen und könnt die Sicherheits-Paches herunterladen.

Der Patch kommt als *.msp und ist in etwa 160 MB gross. Während der Installation werden die Exchange Services sowie der IIS gestoppt. Es gibt also einen Dienstunterbruch um am Ende muss der Server neu gestartet werden. Bei mir hat die Installation ca. eine Stunde gedauert. Am Ende musste der Server neu gestartet werden.

Startet die Installation in einem CMD mit erhöhten Rechten und falls ihr eine Umgebung mit mehreren Exchange Servern betreibt, setzt die Server vor der Installation in den Maintenance Mode.

Dienstag, 6. Oktober 2020

Exchange Sicherheits-Updates

 Gerade geht wieder durch die Fachpresse, dass es immer noch diverse Exchange Umgebungen gibt, welche dringend Sicherheitsupdates benötigen. Erstaunlich ist vor allen, dass die aktuellen Meldungen eine bekannte Sicherheitslücke betreffen, welche seit Anfang 2020 bekannt ist, seit Februar 2020 gibt es einen Patch dafür (CVE-2020-0688). Aktive Angriffe sind bekannt.

Im Sommer 2020 wurde eine weitere Sicherheitslücke bekannt. Dafür hat Microsoft im September 2020 einen Patch veröffentlicht (CVE-2020-16875).

Beide Sicherheitslücken schliesst ihr am einfachsten, indem ihr die neuesten CU's installiert.

Exchange 2019 CU7

Exchange Server 2016 CU18

Exchange Server 2013 CU23

Sicherheitslücken gibt es immer wieder. Gefährlich wird es, wenn die Lücken bekannt werden und die ersten aktiven Angriffe verzeichnet werden. Ab dann, werdet ihr nicht mehr von Hackern, sondern von Scriptkiddie angegriffen!

Nachlesen lässt sich das z.B. bei Heise: https://www.heise.de/news/Dringend-patchen-Rund-eine-viertel-Million-Exchange-Server-angreifbar-4920095.html

Freitag, 2. Oktober 2020

Virtual geekmania Extended Edition

Das in diesem Jahr alles etwas anders ist ist leider eine Tatsache. Auch unser Fachkongress, die Geekmania ist davon betroffen. Sie findet diese Jahr virtuell online statt.

Weiter Informationen findet ihr hier: https://geekmania.ch/vgm/vgmee/

Im übrigen haben wir durch das momentane virtuelle Format diverse neue lehrreiche Videos auf unserem YouTube Kanal: iTrain GmbH YouTube Kanal



Montag, 28. September 2020

Neue Exchange Version angekündigt (Exchange vNext)

 Seit einigen Jahren steht betreffend MS Exchange immer wieder die gleiche Frage im Raum: Wird Microsoft noch eine neue Exchange Version on-premise herausbringen?

Nun, vor ein paar Tagen hat Microsoft an der Ignite verkündet, dass es in der zweiten Jahreshälfte 2021 die nächste Exchange Version für lokale Installationen geben wird.

Das ist doch nett, denken sich die meisten ;-) Schauen wir uns doch erst mal an, was Microsoft denn angekündigt hat:

  • Migration von Exchange 2019 auf "Exchange vNext" ist als Inplace Upgrade möglich. Das heisst, Exchange vNext lässt sich auf einem Exchange 2019 genauso wie ein CU installieren. Man muss nicht parallel neue Server aufbauen und alles rüber migrieren.

  • Exchange vNetxt erlaubt eine Koexistenz mit Exchange 2013, 2016 und 2019. Bis anhin waren immer nur die 2 letzten Versionen unterstützt. Nun sind es also die 3 letzten Versionen.

  • Exchange vNext Lizenz gibt es nur subscription-based, also als Abo.

Wenn man sich diese Punkte auf der Zuge zergehen lässt und ein paar wenige graue Zellen im Hirn hat, dürfte jedem klar sein, was Microsoft mit dieser Exchange vNext Version für Ziele hat ;-)

Soviel , zu "nette Microsoft", wir dürfen ein CU bei euch kaufen und das geht nur im Abo ...