Microsoft Exchange Server: Sicherheitsupdate für November 2022 stopft Zero-Day-Lücke „ProxyNotShell“
von David Wurm 
am 09. November 2022, 11:23
| Kommentar schreiben
Pünktlich zum Microsoft Patchday, immer am zweiten Dienstag des Monats, gibt es neue Updates für den Microsoft Exchange Server. Dieses hat es wieder Mal in sich – es geht um sechs Sicherheitslücken. Alle drei Versionen 2013, 2016 und 2019 eine Aktualisierung, welche unter anderem die kritische Zero-Day-Sicherheitslücke („ProxyNotShell“) aus September dicht macht.
Behoben werden insgesamt sechs Sicherheitslücken, davon zwei kritische aus September 2022 und eine neue kritische aus November 2022. Wie bereits vermuten lässt, ein sehr wichtiges Update. Somit sind folgende CVEs im aktuellen Update-Paket enthalten:
- CVE-2022-41078
- CVE-2022-41079
- CVE-2022-41080
- CVE-2022-41123
- CVE-2022-41040 (Zero-Day / September 22)
- CVE-2022-41082 (Zero-Day / September 22)
Wie üblich sind auch neue Windows-Updates verfügbar. Das heißt, die Exchange-Updates sollten gemeinsam mit den Aktualisierungen für den Windows Server eingespielt werden. Weitere technische Details hat man im Exchange-Blog zusammengefasst.
Microsoft Exchange Server 2013/2016/2019: Sicherheitsupdates November 2022
Wie gewohnt liefert Microsoft hier wieder Update-Support für die letzten zwei CU-Versionen, außer für 2013. Um also von den Updates zu profitieren, muss zuerst auf eine unterstützte CU-Version aktualisiert werden. Microsoft empfiehlt – besonders wegen der Zero-Day-Lücken – die Updates so schnell wie möglich einzuspielen. Das sollte also schnell passieren – falls noch nicht geschehen.
- Exchange Server 2013 CU23 (Supportende April 2023)
- Exchange Server 2016 CU22 und CU23
- Exchange Server 2019 CU11 und CU12
Anschließend kann man mit dem HealthChecker Script von Microsoft prüfen, ob alle Updates erfolgreich eingespielt werden.