Ostatnio zespół Exchange nie miał szczęścia do zabezpieczeń. Pomimo opublikowania w styczniu poprawek bezpieczeństwa, o czym pisałem już na blogu, została odkryta kolejna, bardzo niebezpieczna podatność, nad załataniem której zespół Exchange pracował w ostatnich dniach bardzo intensywnie.
Przypomnę, że podatność pozwala napastnikowi użyć subskrypcji EWS, żeby użyć konta serwera Exchange do zaatakowania kontrolera domeny, gdzie (jeżeli nie jest wdrożony model split permission) konta serwerów Exchange mają całkiem spore uprawnienia - dokładniej jest to opisane w podlinkowanym wcześniej artykule.
Na szczęście dzisiaj pojawiły się niezbędne poprawki do czterech wersji Exchange (nieszczęśni ci, co używają jeszcze wersję 2007). Pomimo wcześniejszych obietnic (znowu), zespół Exchange się złamał i ze względu na specyfikę poprawki dla wersji 2013 pojawił się CU22 dla wersji 2016 i 2019 poprawki zostały również wydane jako pakiety zbiorcze aktualizacji.
Sposób instalacji aktualizacji też jest niecodzienny - ze względu na wprowadzane zmiany, instalator należy uruchomić z przełącznikiem /PrepareAD, w celu wykonania odpowiednich kroków zabezpieczających w strukturze Active Directory. Ponadto Microsoft po zainstalowaniu poprawki zaleca zresetowanie haseł dla kont serwerów Exchange w domenie. Administratorzy zarządzający swoim środowiskiem przy pomocy Powershell 5.1 mogą użyć cmdleta reset-computermachinepassword, dla starszych wersji systemów możemy użyć netdom lub konsoli ADUC. Podobnie jak w przypadku poprzednich pakietów Cumulative Update należy zainstalować najpierw runtime Visual C++ 2012. Poniżej odnośniki do odpowiednich artykułów i samych poprawek. Warto przypomnieć, że aktualizacje dla Exchange 2019 pobierane są z centrum umów wolumenowych, a nie z ogólnej strony pobrań jak w przypadku starszych wersji..
Exchange Server 2019 Cumulative Update 1 (KB4471391), VLSC Download