Exchange Security Updates für CVE-2022-21978, neues Format für SUs

    , 11.05.2022
    Tags: , ,

    Logo für ExchangeMicrosoft veröffentlichte Security Updates (SUs) für Exchange 2013, 2016 und 2019, welche die Schwach­stelle CVE-2022-21978 beheben. Nach der Instal­lation ist die Ausführung von setup /PrepareAllDomains erfor­derlich. Der Hersteller lieferte diese SUs erstmalig nicht nur als .msp, sondern auch im .exe-Format aus.

    Die aktuellen SUs schützen nicht nur gegen die Schwachstelle CVE-2022-21978, sondern beheben einige weitere Bugs, darunter den Absturz des Exchange Host Service nach der Installation des SU aus dem März 2022.

    Wie üblich, setzt die Installation der Security Updates voraus, dass die genutzte Exchange-Version noch Support erhält. Dabei handelt es sich um folgende CUs:

    • Exchange Server 2013 CU23 (KB5014260)
    • Exchange Server 2016 CU22 und CU23 (KB5014261)
    • Exchange Server 2019 CU11 und CU12 (KB5014261)

    Die SUs sind auch in hybriden Umgebungen erforderlich, selbst wenn der Exchange-Server nur administrative Aufgaben wahrnimmt.

    Nach dem Hinzufügen der aktuellen SUs müssen Admins

    Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains

    bzw.

    Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF /PrepareAllDomains

    ausführen, falls dies in der Vergangenheit nie gemacht wurde. Ein bereits zuvor erfolgtes /PrepairDomain für alle Domänen reicht nicht aus, um Exchange gegen CVE-2022-21978 zu härten.

    Während sich die SUs wie gewohnt mit admini­strativen Rechten installieren lassen, benötigt man für /PrepareAllDomains einen Enterprise Admin.

    Neues Dateiformat für SUs und Hotfixes

    In der Vergangenheit stellte Microsoft die Security Updates und Hotfixes für Exchange nur als Windows Installer Patch (.msp) bereit. Um SUs in dieser Form zu installieren, muss man den Vorgang aus einer Kommando­zeile mit administrativen Rechten starten.

    Offenbar kam es aber immer wieder vor, dass Admins die .msp-Datei per Doppelklick aus dem Explorer starteten. Die Installation erfolgt dann im Kontext des aktuellen Kontos ohne erhöhte Berechtigungen. Dies resultiert häufig in einem instabilen Zustand des Exchange-Servers.

    Microsoft behält das .msp-Format für die automatisierte Installation, beispielsweise über den Configuration Manager, weiter bei. Für das manuelle Setup sieht der Hersteller künftig jedoch eine .exe-Datei vor. Diese erzwingt auch beim Start aus dem Explorer die Anhebung der Privilegien.

    Installation des Security Updates mittels der neuen .exe-Datei

    Die ausführbare Datei akzeptiert die Schalter /passive und /silent. Ersterer zeigt nur den Fortschritt der Installation an, Letzerer unterdrückt jede Ausgabe.

    Während die .msp-Pakete weiterhin über Windows Update und den Update Catalog zu haben sind, erhält man die .exe-Datei über das Microsoft Download Center (zum Beispiel KB5014260).

    So richtig gelungen scheint der Einstand für das neue Format nicht zu sein, denn Exchange 2016 SU für CU22 erzeugt häufig den Fehler "Could not load file or assembly 'Microsoft.Exchange.SecurityPatch.ExeGenerator" und wurde daher vorüber­gehend zurückgezogen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links

    1 Kommentar

    Karl Wester-Ebb... (Besucher) sagt:
    12. Mai 2022 - 12:29

    Danke für den Hinweis. Wie ist es wenn man das SU über Azure Update Management / Windows Update oder WSUS installiert?