Thông tin bản cập nhật bảo mật (SU) Tháng 08/2023 Exchange Server

Thông tin bản cập nhật bảo mật(SU) Tháng 08/2023 Exchange Server

Ngày 08/08/2023 Microsoft đã phát hành Bản cập nhật bảo mật(SU) cho các lỗ hổng được tìm thấy: EX2016 CU23, EX2019 CU12,CU13

1/ CVE-2023-21709

Điểm nỗi bật bản này là giải quyết được lỗ hổng CVE-2023-21709 (khai thác TokenCacheModule trong IIS). Các bước cần thiết để giải quyết CVE-2023-21709 tốt nhất cài bản vá trước rồi hãy chạy script CVE-2023-21709.ps1

Cài đặt bản vá ngay lập tức để bảo vệ Exchange Server khỏi rủi ro có thể bị tổn thương:

Step 1. Cài bản vá  bảo mật tháng 8/2023 cho Exchange Server 2016/2019-> link

Step 2. Reboot the Exchange Server

Step 3. Run the CVE-2023-21709.ps1 script này bản chất sẽ remove tokencachemolude trong IIS-> link

Các CVE bên dưới được xử lý bằng Bản cập nhật bảo mật:

 CVE-2023-21709

CVE-2023-35368

CVE-2023-35388

CVE-2023-38181

CVE-2023-38182

CVE-2023-38185

2/ Hỗ trợ thay đổi thuật toán mã hóa mặc định trong Microsoft Purview Information Protection

Phần này chỉ áp dụng cho những khách hàng của MS sử dụng Exchange Server và Azure hoặc Dịch vụ quản lý quyền AD (RMS). Nếu bạn không biết đó là gì, những thay đổi về mã hóa Exchange Online CBC sẽ không áp dụng.

Bật hỗ trợ cho nội dung được mã hóa AES256-CBC trong Exchange Server đối với khách hàng nào sử dụng dịch vụ Azue hoặc AD (RMS) của MS.

Như đã thông báo trong phần Thay đổi thuật toán mã hóa trong bài đăng trên blog Microsoft Purview Information Protection, các SU Exchange Server tháng 8 năm 2023 chứa các bản cập nhật cho phép khách hàng sử dụng Exchange Server tại chỗ tiếp tục giải mã nội dung được bảo vệ bởi nhãn nhạy cảm Purview hoặc Dịch vụ quản lý quyền Active Directory. Vui lòng xem lại bài đăng trên blog đó để biết chi tiết và lịch trình, đồng thời đọc hỗ trợ AES256-CBC cho tài liệu Microsoft 365.

Nếu tổ chức của bạn bị ảnh hưởng bởi thay đổi này, sau khi cài đặt SU tháng 8 trên máy chủ Exchange của bạn, hãy xem bài viết về cách bật hỗ trợ mã hóa AES256-CBC. Xin lưu ý – bước này không cần thiết trừ khi máy chủ tại chỗ của bạn yêu cầu hỗ trợ cho AES256-CBC.

3/Giải quyết

Cài đặt DST không chính xác sau khi cập nhật hệ điều hành

4/Các sự cố đã biết với bản phát hành này

Những khách hàng bị ảnh hưởng bởi thay đổi mã hóa sắp tới của Microsoft 365 AES256-CBC cần thực hiện thao tác thủ công để bật thuật toán mã hóa mới sau khi SU được cài đặt vào tháng 8 năm 2023.

5/Note

Lưu ý rằng Exchange Server 2013 KHÔNG được hỗ trợ và bạn phải nâng cấp lên Exchange Server 2019 hoặc Exchange Online càng sớm càng tốt!

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-august-2023-exchange-server-security-updates/ba-p/3892811

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21709

https://aka.ms/CVE-2023-21709ScriptDoc

https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-and-2016-august-8-2023-kb5029388-86b365c0-21f1-4a10-a68c-a095536f0171

https://aka.ms/ExchangeCBCKB

https://techcommunity.microsoft.com/t5/security-compliance-and-identity/encryption-algorithm-changes-in-microsoft-purview-information/ba-p/3831909

#jsisen

#viettechgroupvn

#phuongit

#exchangeserver

#phuongit

#cve202321709

#AES256CBCa

Phương nguyễn Viết

Cumulative Update 13 for Exchange Server 2019

Microsoft_Exchange_(2019-present).svg

Microsoft released Cumulative Update 13 for Exchange Server 2019 (KB5020999) on May 3, 2023. Also known as Exchange Server 2019 CU13. This Cumulative Update includes fixes for nonsecurity issues and all previously released fixes for security and nonsecurity issues. These fixes will also be included in later Cumulative Updates for Exchange Server 2019

How to update Exchange Server 2019 to CU13?

It’s recommended to update the Exchange Server in the lab environment before updating it in the production environment.

Cumulative Update CU13 for Exchange Server 2019 is released as version 15.02.1258.012. Which version are you running now

New features in Cumulative Update 13

  • 5027150 Enable Modern Auth for pure On-Premises Exchange users
  • To make it easier to install CUs, some improvements were made to the installation experience. A common issue for many customers is that CUs overwrite various configuration files (for example, web.config and sharedweb.config) that contain custom settings such as client-specific message size limits.

    Historically, these customizations are lost after a CU is installed, and an admin must reapply them. Because of this, admins often backup and restore their custom settings or use scripts to recreate custom settings after installing a CU.

    To address this, Setup now backs up the most common configuration settings and then restores them to the state they were in before Setup was started. Starting with the 2023 H1 CU, Setup preserves about 70 different configuration settings across multiple files.

Issues fixed in Cumulative Update 13

This Cumulative Update fixes the issues that are described in the following Microsoft Knowledge Base articles:

  • 5026134 “InvalidRecipientsException” when you try to run MRM
  • 5026135 CertificateDeploymentServicelet failure in multiple domain forest Exchange deployments
  • 5026136 Microsoft Exchange Transport doesn’t re-encrypt IRM messages
  • 5026138 Users receive reminders although the meeting reminder is set to None
  • 5026139 You can’t move the public folder mailbox
  • 5026142 Journal message returns “ConversionFailedException”
  • 5026143 OAB shadow distribution threshold must be reduced or made configurable
  • 5026146 Expiry notification is sent to moderator and sender for approved and delivered messages
  • 5026147 BlockLegacyAuthentication fail Organization Policy because of BackendRehydrationModule implementation
  • 5026149 Group metrics generation doesn’t finish in multidomain environment
  • 5026150 Edge server Filtering Agent removes journal attachments
  • 5026151 Oab-Processing-Threshold is set to 0 for On-Premises
  • 5026152 Microsoft Exchange ActiveSync or Current Requests counter inaccurately counts requests
  • 5026153 Delivery Flow Control setting override is now available
  • 5026154 On-premises Exchange has 35MB file size limit for online archiving
  • 5026155 “No support for this operation” error on an Exchange 2019 DAG member server
  • 5026156 Outlook search fails in a shared On-Premises mailbox if the primary user mailbox is migrated to Exchange Online
  • 5026158 The body of recurring meeting is not clear if it has Chinese characters
  • 5026159 IconIndex returns Default value when Server Assisted Search is used in Outlook
  • 5026266 “Could not start MS Exchange Service Host service” error and Exchange stops responding
  • 5026267 OWA stops responding in an Exchange 2019 and 2016 coexistence topology
  • 5026268 Store Worker process crashes and returns “System.NullReferenceExceptions” multiple times per day
  • 5026269 Block deserialization error when using eDiscovery
  • 5026271 IIS URL Rewrite Module link is incorrect
  • 5026273 Outlook configuration fails in Android or iOS
  • 5026274 Hybrid Agent Validation fails after Extended Protection is enabled
  • 5026277 Mail configuration fails on iOS device after Extended Protection is enabled
  • 5026278 Mailbox migration fails after Extended Protection is enabled

Known issues in Cumulative Update 13

  • In multidomain Active Directory (AD) forests in which Exchange Server is installed or has been prepared previously by using the /PrepareDomain option in Setup, this action must be run after the /PrepareAD command for this cumulative update run and the changes are replicated to all domains. Setup will try to run the /PrepareAD command during the first server installation. Installation will finish only if the user who initiated Setup has the appropriate permissions.

    Notes
    • If you have ever skipped a Cumulative Update (for example, you are upgrading from an earlier version before Cumulative Update 2 for Exchange Server 2019), or if this is a first Exchange Server installation in the AD, then this “Known issues” section should no longer apply.
      • About the /PrepareDomain operation in multidomain:

        The /PrepareDomain operation automatically runs in the Active Directory domain in which the /PrepareAD command is run. However, it may be unable to update other domains in the forest. Therefore, a domain administrator should run the /PrepareDomain in other domains in the forest.
        • About the permission question:

          Because the /PrepareAD is triggered in Setup, if the user who initiates Setup isn’t a member of Schema Admins and Enterprise Admins, the readiness check fails and you receive the following error messages:

          Error: The Active Directory schema isn’t up-to-date, and this user account isn’t a member of the “Schema Admins” and/or Enterprise Admins’ groups. 

          Error: Global updates need to be made to Active Directory, and this user account isn’t a member of the “Enterprise Admins” group. 
        • To avoid the errors, either the user should join the Schema Admins and Enterprise Admins groups or another user in Schema Admins and Enterprise Admins groups must first manually run the /PrepareAD command for this cumulative update. Then, the Exchange admin user can start Setup.
    • Autodiscover Event ID 1 occurs after you install Cumulative Update 3 for Exchange Server 2019. For more information, see KB 4532190.

Source MS https://support.microsoft.com/en-us/topic/cumulative-update-13-for-exchange-server-2019-kb5020999-242dab59-0c94-436f-a274-617f082f1a91

Microsoft Outlook Zero-Day Vulnerability- Elevation of Privilege Vulnerability CVE-2023-23397

Microsoft Outlook Zero-Day Vulnerability- Elevation of Privilege Vulnerability CVE-2023-23397

Tóm tắt:

Microsoft giải thích: CVE-2023-23397 là một lỗ hổng EoP nghiêm trọng trong Microsoft Outlook, được kích hoạt khi kẻ tấn công gửi thư có thuộc tính MAPI mở rộng với đường dẫn UNC đến chia sẻ SMB (TCP 445) trên máy chủ do tác nhân đe dọa kiểm soát. Không cần tương tác người dùng,”

Cơ chế

Kẻ tấn công đã khai thác thành công lỗ hổng này có thể truy cập hàm băm Net-NTLMv2 của người dùng, có thể được sử dụng làm cơ sở cho một cuộc tấn công Chuyển tiếp NTLM chống lại một dịch vụ khác để xác thực là người dùng.

Preview Pane

Hacker tận dụng tính Preview Pane của email Outlook Email được chế tạo đặc biệt sẽ tự động kích hoạt khi nó được ứng dụng khách Outlook truy xuất và xử lý, cung cấp một vectơ tấn công lén lút để tin tặc khai thác. “Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi một email được chế tạo đặc biệt, email này sẽ tự động kích hoạt khi nó được ứng dụng khách Outlook truy xuất và xử lý. Điều này có thể dẫn đến việc khai thác TRƯỚC KHI email được xem trong Preview Pane,”

Các phiên bản ảnh hưởng

Tất cả các phiên bản được hỗ trợ của Microsoft Outlook (2010, 2013,2016,2019, 365Apps)cho Windows đều bị ảnh hưởng.

Các phiên bản khác của Microsoft Outlook như Android, iOS, Mac, cũng như Outlook trên web và các dịch vụ M365 khác không bị ảnh hưởng.

Biện pháp làm khắc phục:

Thêm người dùng vào Nhóm bảo mật người dùng được bảo vệ (Protected Users Security Group), ngăn việc sử dụng NTLM làm cơ chế xác thực. Việc thực hiện giảm thiểu này giúp khắc phục sự cố dễ dàng hơn so với các phương pháp vô hiệu hóa NTLM khác.

Chặn TCP 445/SMB gửi đi từ mạng của bạn bằng cách sử dụng tường lửa vành đai(DMZ), tường lửa cục bộ và thông qua cài đặt VPN. Điều này sẽ ngăn việc gửi thông báo xác thực NTLM tới chia sẻ tệp từ xa.

Máy trạm Client

Yêu cầu tất cả máy trạm của Người dùng cuối cần upgrade Microsoft Outlook cho các Phiên bản:

Microsoft Outlook 2013 (64-bit edition):https://www.microsoft.com/en-us/download/details.aspx?id=105070

Microsoft Outlook 2016 (64-bit edition):https://www.microsoft.com/en-us/download/details.aspx?id=105058

Microsoft Office LTSC 2019/2021/365 for 64-bit editions:=> Cick upgrade

Server Exchange và Exchange Online

Chạy Script CVE-2023-23397: CVE-2023-23397.ps1

Thông tin tham khảo:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/

https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/

Anh em sysadmin tập trung cập nhật bản vá Outlook cho máy trạm người dùng nhé.

Làm trên cả server và client tường lửa cứng mềm

#jsisen

#viettechgroupvn

#phuongit

#outlookzerodays

#phuongnguyenit

HƯỚNG DẪN CÀI EXCHANGE SERVER 2019 CU12 TRÊN WINDOWS SERVER 2022

Microsoft_Exchange_(2019-present).svg

HƯỚNG DẪN CÀI EXCHANGE SERVER 2019 CU12 TRÊN WINDOWS SERVER 2022

Thông tin

Domain invoice.local

Chuẩn bị source

Setup

Logon domain Administrator

Run as administrator

Cài đặt thư viện powershell

Install-WindowsFeature Server-Media-Foundation, NET-Framework-45-Features, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation, RSAT-ADDS

Cài đặt các Thư viện cần thiết runtime

Cài dotnet 4.8

Microsoft Unified Communications Managed API 4.0, Core Runtime 64-bit

Cài Url Rewrite mode

Chuẩn bị Active Directory

Run as Administrator CMD

Step 1: Extend the Active Directory schema

C:\EX2019CU12\EX2019CU12>Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareSchema

Microsoft Exchange Server 2019 Cumulative Update 12 Unattended Setup

Copying Files...

File copy complete. Setup will now collect additional information needed for installation.

Performing Microsoft Exchange Server Prerequisite Check

Prerequisite Analysis COMPLETED

Configuring Microsoft Exchange Server

Extending Active Directory schema COMPLETED

The Exchange Server setup operation completed successfully.

C:\EX2019CU12\EX2019CU12>

Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /OrganizationName:”Services Invoice”

C:\EX2019CU12\EX2019CU12>Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /OrganizationName:"Services Invoice"

Microsoft Exchange Server 2019 Cumulative Update 12 Unattended Setup

Copying Files...

File copy complete. Setup will now collect additional information needed for installation.

Performing Microsoft Exchange Server Prerequisite Check

Prerequisite Analysis 100%

Setup will prepare the organization for Exchange Server 2019 by using 'Setup /PrepareAD'. No Exchange Server 2016 roles

have been detected in this topology. After this operation, you will not be able to install any Exchange Server 2016

roles.

For more information, visit: https://docs.microsoft.com/Exchange/plan-and-deploy/deployment-ref/readiness-checks?view=exchserver-2019

Setup will prepare the organization for Exchange Server 2019 by using 'Setup /PrepareAD'. No Exchange Server 2013 roles

have been detected in this topology. After this operation, you will not be able to install any Exchange Server 2013

roles.

For more information, visit: https://docs.microsoft.com/Exchange/plan-and-deploy/deployment-ref/readiness-checks?view=exchserver-2019

Configuring Microsoft Exchange Server

Organization Preparation COMPLETED

The Exchange Server setup operation completed successfully.

C:\EX2019CU12\EX2019CU12>
C:\EX2019CU12\EX2019CU12>Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareDomain

Microsoft Exchange Server 2019 Cumulative Update 12 Unattended Setup

Copying Files...

File copy complete. Setup will now collect additional information needed for installation.

Performing Microsoft Exchange Server Prerequisite Check

Prerequisite Analysis COMPLETED

Configuring Microsoft Exchange Server

Prepare Domain Progress COMPLETED

The Exchange Server setup operation completed successfully.

C:\EX2019CU12\EX2019CU12>

CÀI ĐẶT EXCHANGE 2019 CU12

Đến khi cài xong nhé.

Phương Nguyễn Viết

The WinRM client cannot process the request. It cannot determine the content type of the EMS Exchange Shell

Microsoft_Exchange_(2019-present).svg

The WinRM client cannot process the request. It cannot determine the content type of the

Mã lỗi:

VERBOSE: Connecting to LAB-EX2013.phuongit.lab.

New-PSSession : [lab-ex2013.phuongit.lab] Connecting to remote server lab-ex2013.phuongit.lab failed with the

following error message : The WinRM client cannot process the request. It cannot determine the content type of the

HTTP response from the destination computer. The content type is absent or invalid. For more information, see the

about_Remote_Troubleshooting Help topic.

At line:1 char:1

+ New-PSSession -ConnectionURI “$connectionUri” -ConfigurationName Microsoft.Excha …

+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

+ CategoryInfo : OpenError: (System.Manageme….RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotin

gTransportException

+ FullyQualifiedErrorId : -2144108297,PSSessionOpenFailed

VERBOSE: Connecting to LAB-EX2013.phuongit.lab.

New-PSSession : [lab-ex2013.phuongit.lab] Connecting to remote server lab-ex2013.phuongit.lab failed with the

following error message : The WinRM client cannot process the request. It cannot determine the content type of the

HTTP response from the destination computer. The content type is absent or invalid. For more information, see the

about_Remote_Troubleshooting Help topic.

At line:1 char:1

+ New-PSSession -ConnectionURI “$connectionUri” -ConfigurationName Microsoft.Excha …

+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

+ CategoryInfo : OpenError: (System.Manageme….RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotin

gTransportException

+ FullyQualifiedErrorId : -2144108297,PSSessionOpenFailed

VERBOSE: Connecting to LAB-EX2013.phuongit.lab.

New-PSSession : [lab-ex2013.phuongit.lab] Connecting to remote server lab-ex2013.phuongit.lab failed with the

following error message : The WinRM client cannot process the request. It cannot determine the content type of the

HTTP response from the destination computer. The content type is absent or invalid. For more information, see the

about_Remote_Troubleshooting Help topic.

At line:1 char:1

+ New-PSSession -ConnectionURI “$connectionUri” -ConfigurationName Microsoft.Excha …

+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

+ CategoryInfo : OpenError: (System.Manageme….RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotin

gTransportException

+ FullyQualifiedErrorId : -2144108297,PSSessionOpenFailed

VERBOSE: Connecting to LAB-EX2013.phuongit.lab.

New-PSSession : [lab-ex2013.phuongit.lab] Connecting to remote server lab-ex2013.phuongit.lab failed with the

following error message : The WinRM client cannot process the request. It cannot determine the content type of the

HTTP response from the destination computer. The content type is absent or invalid. For more information, see the

about_Remote_Troubleshooting Help topic.

At line:1 char:1

+ New-PSSession -ConnectionURI “$connectionUri” -ConfigurationName Microsoft.Excha …

+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

+ CategoryInfo : OpenError: (System.Manageme….RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotin

gTransportException

+ FullyQualifiedErrorId : -2144108297,PSSessionOpenFailed

VERBOSE: Connecting to LAB-EX2013.phuongit.lab.

New-PSSession : [lab-ex2013.phuongit.lab] Connecting to remote server lab-ex2013.phuongit.lab failed with the

following error message : The WinRM client cannot process the request. It cannot determine the content type of the

HTTP response from the destination computer. The content type is absent or invalid. For more information, see the

about_Remote_Troubleshooting Help topic.

At line:1 char:1

+ New-PSSession -ConnectionURI “$connectionUri” -ConfigurationName Microsoft.Excha …

+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

+ CategoryInfo : OpenError: (System.Manageme….RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotin

gTransportException

+ FullyQualifiedErrorId : -2144108297,PSSessionOpenFailed

Failed to connect to an Exchange server in the current site.

Enter the server FQDN where you want to connect.:

YÊU CẦU

  • Set PowerShell Execution Policies
  • Verify WinRM IIS Extensions
  • Enable Windows Authentication for PowerShell Virtual Directory
  • Verify SSL setting for PowerShell Virtual Directory
  • Verify the application pool for PowerShell Virtual Directory
  • Verify the Security in for PowerShell Virtual Directory

Kiểm tra

  • Set PowerShell Execution Policies

  • Verify WinRM IIS Extensions => Nếu chưa cài phải cài

  • Enable Windows Authentication for PowerShell Virtual Directory
  • Verify SSL setting for PowerShell Virtual Directory

  • Verify the application pool for PowerShell Virtual Directory

Also, under Powershell Virtual Directory → Basic Settings → Make sure you have the Correct application pool (MSExchangePowerShellAppPool or MSExchangePowerShellFrontEndAppPool) and Physical path (C:\Program Files\Microsoft\Exchange Server\V<Exchange Version>\ClientAccess\PowerShell) selected to access the PowerShell virtual directory on the host under IIS root as shown:

  • Verify the Security in for PowerShell Virtual Directory
  • Also make sure the Exchange user has read permissions on the Physical path specified. To do this go to PowerShell Virtual Directory → Edit Permissions → Security tab → Assign read permissions to user performing the scan as shown:

Add-PSSnapin Microsoft.Exchange.Management.PowerShell.snapin;

Set-User “Administrator” -RemotePowerShellEnabled $true

Get-User -Identity “Administrator” | Format-List RemotePowerShellEnabled

KHỞI ĐỘNG SERVER LẠI NHÉ

TEST

TEST NEW USER FOR EMS

  • Add new user account in Active Directory
  • Add Roles/Group membership for new created user account
  • Enable Remote PowerShell for new created user account

NGUYÊN NHÂN

Có thể 1 trong các nguyên nhân sau

This problem occurs because one or more of the following conditions are true:

  • There is a configuration issue on the Exchange server with the Authentication Providers set on the PowerShell website.
  • The Kerbauth module is configured incorrectly in Internet Information Services (IIS) in one of the following ways:
    • The Kerbauth module is displayed as a Managed module instead of as a Native module.
    • The Kerbauth module has been loaded on the Default website level (instead of, or in addition to, the PowerShell virtual directory).
  • The user does not have Remote PowerShell Enabled status.
  • The WSMan module entry is missing from the Global modules section of the ApplicationHost.config file that is in the following location:
    C:\Windows\System32\Inetsrv\config\ApplicationHost.config

This causes the WSMan module to be displayed as a Managed module in the PowerShell virtual directory.

RESOLUTION OTHER

The Kerberos authentication needs to be configured on the PowerShell website on the Exchange Mailbox Server:

  1. Establish a remote connection to the Exchange server in question.
  2. Click Run and enter inetmgr.
  3. Expand the server in the left-hand pane.
  4. Expand the Sites and Default Web Site trees, and then click PowerShell.
  5. Double-click Authentication under the IIS section.

  1. Chọn enable Windows Authentication-> Providers

  1. Right-click on Windows Authentication, and then select Providers.

  1. If the Negotiate:Kerberos item is not present, add it through the Available Providers dialog box.


The AppInsight for Exchange data will be populated during the next SAM polling process. You can also click on Poll Now to obtain results immediately.

Test-WsMan

In IIS Manager, Kerbauth should be listed as a Native module in the PowerShell virtual directory. The DLL location for this module should point to

C:\Program Files\Microsoft\Exchange Server\v15\Bin\kerbauth.dll.

Make sure that the WSMan module is registered but not enabled at the Server level. Also make sure that the WSMan module is enabled for the PowerShell virtual directory. Then, verify that the following WSMan module entry is included in the <globalModules> section of the C:\Windows\System32\Inetsrv\config\ApplicationHost.config file as follows:

XMLCopy

<globalModules>

<add name=”WSMan” image=”C:\Windows\system32\wsmsvc.dll” />

Kiểm tra thiếu chưa cài WinRM IIS Extension feature

Khởi động lại IIS hoặc máy chủ để test lại

Kiểm tra lại: C:\Windows\System32\Inetsrv\config\ApplicationHost.config

Đảm bảo có dòng này

<add name=”WSMan” image=”%windir%\system32\wsmsvc.dll” />

Những lưu ý đối với bản vá Exchange Server ngày 10 tháng 01 năm 2023

Microsoft_Exchange_(2019-present).svg

Các Chú ý liên quan bản cập nhật vá lổ hổng (SU) của Exchange Server ngày 10/01/2023

Thông tin

Exchange 2019:
Exchange 2019CU12-KB5022193 (SU5)
Exchange 2019CU11-KB5022193 (SU9)
Exchange 2016:
Exchange2016-KB50221431(SU5)

Tính năng được giới thiệu mới:

Certificate signing of PowerShell serialization payload in Exchange Server, lưu ý khi cài đặt update bản vá thì sẽ bật tính năng này


Cập nhật các vá lỗ hổng:


Vấn đề vá lỗi:

  • Store Worker Process stops and returns “System.NullReferenceExceptions” lặp lại nhiều lần.
  • Không ghi âm và play được Exchange Unified Messaging
  • Log Exchange Application bị tràn liên quan có mã event ID: 6010

Các lỗi khi update có thể gặp phải:

  • Dịch vụ Microsoft Exchange AD Topology service có thể không start tự động hoặc lỗi treo làm die hệ thống (Đối với Exchange server 2016 chạy trên Windows Server 2012R2)
  • Bản xem trước trang web cho các URL được chia sẻ trong Outlook trên web (OWA) không được hiển thị chính xác.
  • Không thể mở công cụ quản lý Exchange Toolbox MMC snapin


Khuyến cáo Phương nguyễn:


Hiện bản này đang có nhiều lỗi liên quan khuyến cáo mạnh mẽ anh em IT System chưa hãy update nhé để ăn tết vui vẻ chờ MS confirm các bản vá trong tương lai. Vì có rất nhiều người bị lỗi rồi.
Khuyến cáo đặc biệt: Tuyệt đối không chạy bản vá này cho Exchange 2013

Phương nguyễn

Exchange Server 2013 sắp kết thúc hỗ trợ

Microsoft_Exchange_(2019-present).svg

Exchange Server 2013 End of Support Coming Soon
Vào ngày 11 tháng 4 năm 2023, tức là chưa đầy 90 ngày kể từ hôm nay, Exchange Server 2013 sẽ kết thúc Hỗ trợ!
Sau ngày đó, Microsoft sẽ không còn cung cấp:
Hỗ trợ kỹ thuật cho các sự cố có thể xảy ra liên quan Exchange 2013
Bản vá sửa lỗi cho các sự cố được phát hiện và có thể ảnh hưởng đến tính ổn định cũng như khả năng sử dụng của máy chủ Exchange Server 2013
Các bản sửa lỗi bảo mật (SU, CU) cho các lỗ hổng (,vulnerabilities ) được phát hiện và có thể khiến máy chủ dễ bị xâm phạm bảo mật
Cập nhật múi giờ

Tất nhiên, Exchange Server 2013 sẽ tiếp tục chạy sau ngày 11/04/2023; tuy nhiên, do những rủi ro được liệt kê ở trên, Microsoft thực sự khuyên khuyến cáo AE System nên di chuyển khỏi Exchange Server 2013 càng sớm càng tốt. Hãy bắt đầu ngay bây giờ lên plan để migration.
Để tiếp tục được hỗ trợ Sản phẩm liên quan Exchange, bạn có thể:
Upgrade to Exchange Server 2019 hoặc
Migrate to Exchange Online

jsisen

phuongit

exchange2013_eos

New opt-in endpoint for POP3/IMAP4 clients that need legacy TLS

Microsoft_Exchange_(2019-present).svg

Exchange Online ended support for TLS1.0 and TLS1.1 in October 2020. This year, we plan to disable these older TLS versions for POP3/IMAP4 clients to secure our customers and meet compliance requirements. However, we know that there is still significant usage of POP3/IMAP4 clients that don’t support TLS 1.2, so we’ve created an opt-in endpoint for these clients so they can use TLS1.0 and TLS1.1. This way, an organization is secured with TLS1.2 unless they specifically decide to opt for a less secure posture.

Only WW tenants can use this new endpoint. Tenants in US government clouds have higher security standards and cannot use older versions of TLS.

To take advantage of this new endpoint, admins will have to:

  1. Use Set-TransportConfig to set the AllowLegacyTLSClients parameter to True.
  2. Configure legacy POP3/IMAP4 clients and devices to use pop-legacy.office365.com / imap-legacy.office365.com as the new endpoint. Customers who use Microsoft 365 operated by 21 Vianet need to configure their clients to use pop-legacy.partner.outlook.cn / imap-legacy.partner.outlook.cn.

Starting in February 2023, we will reject a small percentage of connections that use TLS1.0 for POP3/IMAP4. Clients should retry as they do with any other temporary error that can occur when connecting. Over time we will increase the percentage of rejected connections, causing delays in connecting that should be more and more noticeable. The error will be:

TLS 1.0 and 1.1 are not supported. Please upgrade/update your client to support TLS 1.2. Visit https://aka.ms/popimap_tls.

We intend to fully disable TLS 1.0 and TLS 1.1 for POP3/IMAP4 on the regular endpoint by the end of April 2023.  Affected customers will receive a Message Center post in a few days notifying them of this change.

Additional documentation can be found here: Opt in to the Exchange Online endpoint for legacy TLS clients using POP3 or IMAP4.

Exchange Team

[Lỗ hổng] CVE-2022-41080 | Lỗ hổng leo thang đặc quyền trên Microsoft Exchange Server

Thông tin

Thông tinMô Tả
Mức độCAO
Sản phẩmExchange Server
Phiên bảnMicrosoft Exchange Server 2016 Cumulative Update 22, Microsoft Exchange Server 2019
Cumulative Update 11, Microsoft Exchange Server 2013 Cumulative Update 23, Microsoft
Exchange Server 2019 Cumulative Update 12
Mã lỗiCVE-2022-41080
Bảng tóm tắt thông tin lỗ hổng Exchange CVE-2022-41080

Tổng quan

Microsoft cập nhật thông tin về CVE-2022-41080, lỗ hổng leo thang đặc quyền trên Microsoft Exchange Server. Lỗ hổng đã được cảnh báo trong Patch Tuesday tháng 11 của Microsoft. Tin tặc đã xác thực có thể khai thác lỗ hổng Server-side request forgery (SSRF) để leo thang đặc quyền trên hệ thống hoặc kết hợp với CVE-2022-41082 để thực thi mã từ xa.
Quản trị viên cần nắm bắt thông tin và kịp thời đưa ra phương án để ngăn ngừa nguy cơ.

Mô tả chi tiết

Dựa trên các tiêu chí:

  • Microsoft Exchange Server là sản phẩm được sử dụng phổ biến trong các doanh nghiệp.
  • Kết hợp với CVE-2022-41082, tin tặc có thể thực thi mã từ xa trên hệ thống mục tiêu.
  • Tin tặc cần xác thực để khai thác lỗ hổng.
  • Lỗ hổng đã có bản vá từ phía hãng.

Thông tin chi tiết:

CVE-2022-41080 đã được Microsoft cảnh báo trong Patch Tuesday tháng 11/2022. Lỗ hổng Server-side request forgery (SSRF) cho phép tin tặc đã xác thực có thể khai thác để nâng cao đặc quyền. Đặc biệt kết hợp với lỗ hổng CVE-2022-41082 , tin tặc có thể thực thi mã từ xa trên hệ thống.
Microsoft sẽ cập nhật thông tin về lỗ hổng ngay khi có thông tin mới nhất và cảnh báo cho khách hàng.
Kịch bản tấn công:

  1. Tin tặc đã xác thực khai thác CVE-2022-41080 để nâng cao đặc quyền trên hệ thống.
  2. Tin tặc tiếp tục khai thác lỗ hổng CVE-2022-41082 để thực thi mã và chiếm quyền điều khiển hệ thống mục tiêu.

Điều kiện khai thác
Hệ thống sử dụng Exchange Server các phiên bản:

  • Microsoft Exchange Server 2016 Cumulative Update 22
  • Microsoft Exchange Server 2019 Cumulative Update 11
  • Microsoft Exchange Server 2013 Cumulative Update 23
  • Microsoft Exchange Server 2019 Cumulative Update 12


Hệ thống chưa cài đặt bản vá Patch Tuesday tháng 11 hoặc bản vá trực tiếp cho lỗ hổng.
Tin tặc cần xác thực để khai thác lỗ hổng.


Dấu hiệu nhận biết/Cách khắc phục


Dấu hiệu nhận biết:

  • Gói tin tin tặc sử dụng để truy vấn lỗ hổng có các dấu hiệu sau:
  • Truy vấn HTTP phương thức GET.


Có chứa các chuỗi “X-OWA-ExplicitLogonUser” ,”owa/”, trong header.
Rule suricata:

alert http any any -> any any (msg:"Detecting CVE-2022-41082 attack"; flow:to_server,established; content:"GET";http_method; pcre:"/(X-OWA-ExplicitLogonUser:).(owa\/.)/Hi"; classtype:web-application-attack;sid:20224540;rev:1;)


Biện pháp khắc phục:

Lỗ hổng không có biện pháp khắc phục tạm thời. Microsoft khuyến nghị quản trị viên cập nhật bản vá cho lỗ hổng, chi tiết tại:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41080

Phương Nguyễn

Cách chuyển hạ cấp key bản quyền Exchange Server Enterprise về Standard

Microsoft_Exchange_(2019-present).svg

Có một điều khi chúng ta đã cài Microsoft Exchange Server mà đã kích hoạt bản quyền key là Enterprise. Vì 1 lý do nào đó cần chuyển đối từ Enterprise về standard. Theo Microsoft thì khả năng từ nhỏ lên cao có thể ugprade ok tuy nhiên hạ cấp từ Enterprise về standard thì như thế nào ?

Hôm nay Phương Nguyễn chia sẽ các bạn cách hạ cấp key license Exchange Server đã kích hoạt từ Enterprise về standard, Như chúng ta đã biết các sương sống của Exchange chính là hệ thống domain controller nghĩa là mọi thông tin Exchange đều lưu trên Active Directory, nên chúng ta sẽ căn cứ vào đây để by-pass nhé.

Các bước như sau:

Bước 1: Chúng ta logon vào Domain controller mở run gỏ lệnh adsiedit.msc

Bước 2: Right click->Chọn Connect to => Configuration

Bước 3: Theo đường dẫn sau:

Mở Configuration > Services > Microsoft Exchange > Domain/Org > Administrative Groups > Exchange Administrative Group (FYDIBOHF23SPDLT) > Servers

Thay domain của các bạn nhé: ví dụ đây là PHUONG2.lab

Configuration > Services > Microsoft Exchange >PHUONGIT > Administrative Groups > Exchange Administrative Group (FYDIBOHF23SPDLT) >Servers

Bước 4 Chọn phải chuột vào Server ví dụ đây là Lab-EX2019 => chọn thuộc tính msExchProductID clear trắng nhé, có thể copy lại lưu 1 bản.

Chọn Clear => chọn oke nhé lưu lại

Quay lại Exhange Server để nhập lại key hoặc Powershell

Set-ExchangeServer -Identity LAB-EX2019 -ProductKey xxxxx-xxxxx-xxxxx-xxxxx-xxxxx 

Chúc các bạn thành công

Phương nguyễn viết.