CVE-2020-0688: Remote Code Execution on Microsoft Exchange Server Through Fixed Cryptographic Keys

CVE-2020-0688: Remote Code Execution on Microsoft Exchange Server Through Fixed Cryptographic Keys

Microsoft empfiehlt, die folgende Sicherheitsaktualisierung auf allen Exchange Server Versionen durchzuführen. Die ZeroDayInitiative zeigt recht eindrucksvoll, wie ein nicht aktualisiertes Exchange System über die genannte Sicherheitslücke auszunutzen geht.

Microsoft bietet für alle im Support befindlichen Exchange Server die entsprechenden Aktualisierungen.

Ich habe diese Sicherheitsaktualisierung gestern an meinem eigenen Exchange 2016 System durchgeführt. Die Aktualisierung lief fehlerfrei durch, allerdings traten im Nachgang dann einige unerfreuliche Probleme auf. Gleiches konnte ich heute bei einen meiner Kunden vor Ort feststellen.

Symptome:

1. OWA / ECP Aufruf schlug fehl (Ihre Anforderung konnte nicht abgeschlossen werden. HTTP-Statuscode: 500.)
2. Datenbank Content Index im Status „failed“ (Outlook / OWA Suchindex schlug fehl)
3. Verteilte Datenbankkopien ließen sich nicht automatisiert vom Exchange auf den Ursprungsserver schwenken.

Problem 1 konnte ich dank der Information von Franky und seinem Artikel im nu beheben. Zusammengefasst habe ich das „UpdateCas.ps1“- Skript ausgeführt (im Administrationsmodus) und Korrektur der IIS Exchange Backends „BinSearchFolders“- Anwendungseinstellung. Anschließend waren OWA und ECP wieder fehlerfrei!

UPDATE zu Problem 1:

Die IIS Korrekturbeschreibung will ich hier ebenfalls mit einem Skript ergänzen, das es zu nutzen gilt. Der Hintergrund ist, dass dann der manuell beschriebene Weg ebenfalls zu Fehleinträgen führen kann. Microsoft bietet hier ebenfalls ein passendes Skript, ähnlich wie „UpdateCas.ps1“.

Für die automatische Korrektur der IIS Einstellungen, nutzt ganz einfach das „.\UpdateConfigFiles.ps1“- Skript.

Problem 2 & 3 treten auf, weil nach der Aktualisierung der Exchange Server, die „Dienste“ nicht wieder alle ordnungsgemäß auf Automatisch bzw. Automatisch (Verzögert) gesetzt werden. Nach dem Neustart der Exchange Server sind die folgenden Dienste „Deaktiviert“:

1. Windows Search (WSearch)
2. Tracing Service for Search in Exchange (SearchExchangeTracing)
3. Microsoft Exchange Search Host Controller (HostControllerService)
4. Microsoft Exchange-Benachrichtigungsbroker (MSExchangeNotificationsBroker)

Die Dienste 2, 3 & 4 sollten auf „Automatisch“ stehen und beim „Windows Search“- Dienst reicht es aus, diesen Dienst auf „Automatisch (verzögert)“ zu setzen.

Sind alle Dienste auf allen beteiligten Exchange Servern wieder erfolgreich gestartet, beginnen die Systeme damit, sich erneut zu synchronisieren und die aktiven Datenbankkopien wieder gleichmäßig auf den Exchange Servern zu verteilen.

Leave a Comment

Time limit is exhausted. Please reload CAPTCHA.