Es gibt mal wieder Exchange Server Security Updates. Microsoft will vermeiden, dass es Administratoren und Service-Partnern in irgendeiner Form langweilig wird. Dazu gab es wieder einmal neue Informationen. Und jeder erinnert sich an die HAFNIUM-Nummer. Es gibt dazu nun allmählich Einlassungen und Wortmeldungen, die besagen, dass das System Exchange Server nun ausgedient habe, weil es irreparabel kaputt gepatcht wurde. Das halte ich für übertrieben. Aber dennoch müssen wir uns das anschauen.
Exchange Server Security Updates gegen die „Bedrohungslage GELB“
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 13. April vor neuen Schwachstellen beim Exchange Server gewarnt (PDF). Die IT-Bedrohungslage sei GELB, was bedeutet, dass Administratoren ihre Exchange-Organisation verstärkt beobachten sollen hinsichtlich etwaiger Auffälligkeiten. Dabei könnte der Regelbetrieb temporär beeinträchtigt sein. So jedenfalls die Einstufung der Behörde.
Unter den CVEs mit den Nummern CVE-2021-28480 bis 28483 warnt Microsoft vor Schwachstellen, über die remote Code ausgeführt werden kann. Die Problematik ist als kritisch einzustufen. Und es wird dringend dazu geraten, die aktuell veröffentlichten Exchange Server Security Updates zu installieren. Es ist davon auszugehen, dass die Schwachstellen in Kürze ausgenutzt werden. Aus diesem Grund ist ein Update unbedingt notwendig.
Wo bekomme ich die Updates?
Jetzt kann ich viel mit Blogartikeln und Newsartikeln um mich werfen. Aber einzig und allein wichtig ist, wo man nun die aktuellen Exchange Server Security Updates herbekommt. Diese stehen für folgende Versionen zur Verfügung:
- Exchange Server 2013 CU 23
- Exchange Server 2016 CU 19 und 20
- Exchange Server 2019 CU 8 und 9
Die Updates hat Microsoft hier zur Verfügung gestellt. In dem Artikel sind dann auch die CVE-Beschreibungen verlinkt. Zur Handhabung muss man wissen, dass diese Exchange Server Security Updates auch wieder tief in die Installation eingreifen. Aus diesem Grund wird es wieder zu nichts führen, sie über Weiter -> Weiter -> Fertigstellen zu installieren, sondern so:
- Eine Eingabeaufforderung mit erhöhten Rechten starten (Run as administrator)
- Falls die UAC zuschlägt, muss man reagieren
- In der CMD den kompletten Pfad zur MSP-Datei eintippen oder herein ziehen
- Update durchführen
Es ist nichts neues
Ich habe gesehen, wie Teile des Internets nun wieder komplett durchdrehen und flügelschlagend wie wilde Ganter umher eilen. Aber grundsätzlich kommen solche Updates immer wieder vor. Sie sind jetzt nicht so sehr etwas neues. Allerdings hat Microsoft erkannt, dass sich die allgemeine Bedrohungslage verändert hat. Aus diesem Grund hat sich auch das Update-Verhalten beim Riesen aus Redmond geändert. Solche Updates wird es jetzt häufiger geben.
Natürlich könnten sich viele Organisationen davon befreien, wenn sie auf solche Dinge wie Microsoft 365 umsteigen würden. Aber wir hatten es ja schon mit dem letzten Server, der nicht einfach so abgebaut werden kann. Und bei diversen Organisationen schlägt man sich damit herum, dass man ungern die Verantwortung abgeben möchte. Ich formuliere hier ab und an mal, dass da Microsoft als „bäh“ gilt. Sorry, aber mir fällt dazu nichts anderes ein.
Also bleibt es eben dabei, dass in großen Rechenzentren komplette Infrastrukturen vorgehalten werden und Exchange Server von fachkundigen Menschen aktualisiert werden müssen. Darüber hinaus müssen dann auch Exchange Server Security Updates außer der Reihe installiert werden. Na gut, man könnte sich nun mit Service-Partnern auseinandersetzen, die das dann übernehmen. Ich meine ja nur. Und das nicht nur, weil ich in dem Bereich arbeite.
Wird es wieder ein größeres Desaster geben?
Nach dieser ganzen HAFNIUM-Nummer sind natürlich viele Administratoren beunruhigt, ob denn wieder so etwas drohen könnte, das die gesamte Sicherheitsstrategie torpedieren könnte. Oder dass einfach mal Dinge nach dem Update nicht mehr funktionieren. Ganz ehrlich: Das kann niemand vorhersehen. Am Ende ist es doch so, dass es keine absolute Sicherheit geben kann. Man muss aber alles dafür tun, dass sensible Systeme wie Exchange Server möglichst sicher sind.
In Pandemie-Zeiten wie diesen, in denen ganze Unternehmen remote arbeiten, gehen die Firmen natürlich immer ein gewisses Risiko ein. Das wissen auch die IT-Kriminellen. Und die versuchen dann natürlich, etwaige Sicherheitslücken zu finden und auch auszunutzen. Diese Lücken müssen Administratoren durch Exchange Server Security Updates so gering wie möglich halten. Gibt es denn eine Alternative, wenn man keine Cloud will oder kann?