Maart 2021 beveiligingsupdates voor Exchange Server
Microsoft heeft een reeks beveiligingsupdates uitgebracht voor kwetsbaarheden voor de volgende versies van Exchange Server:
- Exchange Server 2013
- Exchange Server 2016
- Exchange Server 2019
Beveiligingsupdates zijn beschikbaar voor de volgende specifieke versies van Exchange:
- Exchange Server 2010 (update vereist SP 3 of een SP 3 RU - dit is een Defense in Depth update)
- Exchange Server 2013 (update vereist CU 23)
- Exchange Server 2016 (update vereist CU 19 of CU 18)
- Exchange Server 2019 (update vereist CU 8 of CU 7)
Omdat we op de hoogte zijn van actieve exploits van gerelateerde kwetsbaarheden in het wild (beperkte gerichte aanvallen), is ons advies om deze updates onmiddellijk te installeren om bescherming te bieden tegen deze aanvallen.
De kwetsbaarheden zijn van invloed op Microsoft Exchange Server. Exchange Online is niet getroffen.
Zie voor meer informatie de blog van het Microsoft Security Response Center (MSRC).
Voor technische details over deze exploits en hoe u kunt helpen bij de detectie, raadpleegt u HAFNIUM Targeting Exchange Servers.
Aanvullende details
Moeten mijn servers up-to-date zijn om de beveiligingsupdates van maart te kunnen installeren?
Vandaag hebben we fixes voor de beveiligingsupdate (SU) verzonden. Deze fixes kunnen alleen worden geïnstalleerd op servers waarop de eerder genoemde specifieke versies worden uitgevoerd, die als up-to-date worden beschouwd. Als uw servers oudere Exchange Server cumulatieve of rollup-updates draaien, moet u een momenteel ondersteunde RU/CU installeren voordat u de beveiligingsupdates kunt installeren.
Hoe kan ik de status van het updateniveau van mijn on-premises Exchange-servers in kaart brengen?
U kunt het Exchange Server Health Checker script gebruiken, dat u kunt downloaden van GitHub (gebruik de laatste versie). Door dit script uit te voeren, kunt u zien of u achterloopt met de updates van uw on-premises Exchange Server (merk op dat het script Exchange Server 2010 niet ondersteunt).
Wat is de installatievolgorde voor de hier genoemde beveiligingsupdates?
Om de beveiligingslekken die in deze fixes worden verholpen te kunnen misbruiken, is HTTPS-toegang via het internet vereist. Daarom raden wij aan de beveiligingsupdates eerst te installeren op Exchange-servers die blootstaan aan/gepubliceerd worden naar het internet (bijvoorbeeld servers die Outlook op het web publiceren/OWA en ECP) en vervolgens de rest van uw omgeving te updaten.
Neemt de installatie van de beveiligingsupdates evenveel tijd in beslag als de installatie van een RU/CU?
De installatie van Security Updates duurt niet zo lang als het installeren van een CU of RU, maar u moet wel rekening houden met enige downtime.
De laatste Exchange 2016 en Exchange 2019 CU's zijn uitgebracht in december van 2020. Komen er nieuwe CU's uit in maart 2021?
We liggen nog steeds op schema om Exchange Server 2016 CU 20 en Exchange Server 2019 CU 9 in maart 2021 uit te brengen en die CU's zullen de beveiligingsupdates bevatten die hier worden genoemd (samen met andere fixes). Onze sterke aanbeveling is om de beveiligingsupdates onmiddellijk te installeren.
Hoe kan ik zien of mijn servers al zijn gecompromitteerd?
Informatie over Indicators of Compromise (IOC's) - zoals waar u naar moet zoeken en hoe u bewijs kunt vinden van succesvolle exploitatie (als dat is gebeurd), is te vinden in HAFNIUM Targeting Exchange Servers. Er is een gescripte versie hiervan beschikbaar op GitHub hier.
Zijn er nog andere bronnen die je kunt aanbevelen?
Microsoft Defender Security Research Team heeft een gerelateerde blog post gepubliceerd genaamd Defending Exchange servers under attack welke u kan helpen inzicht te krijgen in enkele algemene praktijken rondom detectie van kwaadaardige activiteit op uw Exchange servers en u kan helpen uw security posture te verbeteren.
Mijn organisatie is in Hybrid met Exchange Online. Moet ik iets doen?
Hoewel deze beveiligingsupdates niet van toepassing zijn op Exchange Online / Office 365, dient u deze wel toe te passen op uw on-premises Exchange Server, zelfs als deze alleen voor beheerdoeleinden wordt gebruikt.
Mijn organisatie moet eerst 'bij de tijd' zijn... we moeten een Cumulatieve Update toepassen. Zijn er tips voor ons?
Raadpleeg het artikel Exchange upgraden naar de nieuwste Cumulatieve Update voor best practices bij het installeren van Exchange Cumulatieve Updates. Om de upgrade zo makkelijk mogelijk te maken (en omdat in veel organisaties Exchange en Active Directory rollen gescheiden zijn) is het verstandig om /PrepareAD uit te voeren (in de Active Directory site waar Exchange lid van is) voordat je de eigenlijke CU Setup uitvoert.