I znowu poprawki dla Exchange

 Dla tych, którzy nie zdążyli zainstalować ostatnio opublikowanych poprawek bezpieczeństwa, a nie padli jeszcze ofiarą ataku, mam dobrą wiadomość - Microsoft wydał właśnie najnowsze pakiety Cumulative Updates dla Exchange 2016 i 2019. Dla Exchange 2016 CU20 to oficjalnie ostatni pakiet poprawek, chociaż jednocześnie zespół produktowy zapowiada jeszcze jeden "definitywnie ostatni" w przyszłym kwartale. No cóż, pożyjemy - zobaczymy.

• Exchange Server 2019 Cumulative Update 9 (KB4602570), VLSC Download
• Exchange Server 2016 Cumulative Update 20 (KB4602569), Download, UM Lang Packs

Wymagania wstępne nie zmieniły się, nadal obowiązuje .Net Framework 4.8, dobrze jest również sprawdzić, czy schemat naszego AD nie wymaga aktualizacji (setup /PrepareAD). No i oczywiście nadal trzeba uważać na Execution Policy w Powershell, czy mamy dobrze ustawione (koledzy z Redmond zalecają mieć na serwerach ustawioną polisę na Unrestricted). Więcej szczegółów w artykule na blogu zespołu produktowego.

Jeszcze więcej poprawek do serwerów Exchange

Nie cichnie wrzawa po wykryciu w ostatnich dniach podatności w systemach Exchange Server. Pisałem już w poprzednim poście o poprawkach, które Microsoft wydał dokładnie tydzień temu, wiele organizacji Exchange zostało do dziś zaatakowanych - bez wątpienia był to największy atak na najczęściej używany na świecie komercyjny system pocztowy. Podstawowym problemem, jaki mieli administratorzy, którzy chcieli zabezpieczyć swoje serwery Exchange, był w wielu przypadkach brak aktualnych wersji poprawek Cumulative Updates (grupa produktowa Exchange wydaje poprawki bezpieczeństwa tylko dla dwóch ostatnich wersji CU), których z różnych względów firmy nie mogły lub nie chciały zainstalować.

Dlatego też, ze względu na fakt, jak krytyczne są wykryte podatności, Microsoft opublikował dodatkowo poprawki dla trzech poprzednich wersji CU, zarówno dla Exchange 2016 jak i Exchange 2019. Dodatkowe poprawki łatają tylko wykryte w marcu podatności, ale dzięki ich instalacji, firmy będą mogły lepiej przygotować się do instalacji najnowszych aktualizacji zbiorczych, nie będąc narażonymi na ataki. Więcej informacji na blogu grupy produktowej Exchange.

Warto również sprawdzić, czy na naszym serwerze Exchange nie ma podejrzanych plików, świadczących o dokonanym ataku. Microsoft udostępnił skrypt Test-ProxyLogon.ps1, który szuka takich danych.

W przypadku, gdy serwer jednak padł ofiarą ataku, Microsoft zaleca reinstalację systemu. W takiej sytuacji warto pamiętać o parametrze instalacyjnym /recoverserver dzięki któremu w trakcie instalacji konfiguracja zostanie pobrana z Active Directory, co na pewno znacząco ułatwia życie. Dokładniejszą instrukcję, jak odbudować serwer umieścił na swoim blogu Jaap Veselius.

Krytyczne poprawki bezpieczeństwa dla serwerów Exchange

Kilka godzin temu zespół produktowy Exchange opublikował informację o wykryciu exploitów, mogących atakować wszystkie wersje Exchange. W związku z tym została opublikowana krytyczna poprawka bezpieczeństwa, którą należy jak najszybciej zainstalować, zwłaszcza na serwerach wystawionych do internetu.

• Exchange Server 2010 (RU 31 for Service Pack 3 – this is a Defense in Depth update)
• Exchange Server 2013 (CU 23)
• Exchange Server 2016 (CU 19, CU 18)
• Exchange Server 2019 (CU 8, CU 7)

Oczywiście, jak zawsze Microsoft udostępnia aktualizacje tylko dla dwóch ostatnich wersji Cumulative Update, więc jak ktoś nie ma, to powinien również zainstalować najnowszy pakiet poprawek. Poprawka bezpieczeństwa nie wymusza restartu serwera, ale powinien on zostać wykonany.

Więcej informacji o zagrożeniach związanych z podatnością  można znaleźć na blogu Microsoft Security Response Center oraz tutaj.