Nach den März-Updates hat Microsoft am 13.04.2021 erneut kritische Sicherheits-Updates für die Exchange Server Versionen 2013 – 2019 veröffentlicht. Diese sollten zeitnah eingespielt werden.
Aktuell sind noch keine aktiven Exploits dagegen im Umlauf, aber dies ist nach der Veröffentlichung nur eine Frage der Zeit.

Die Hotfixes sind unter den folgenden Links erhältlich:
Exchange Server 2013 – CU23
https://www.microsoft.com/en-us/download/details.aspx?id=103000
Exchange Server 2016 CU19
https://www.microsoft.com/en-us/download/details.aspx?id=103001
Exchange Server 2016 CU20
https://www.microsoft.com/en-us/download/details.aspx?id=103002
Exchange Server 2019 CU8
https://www.microsoft.com/en-us/download/details.aspx?id=103003
Exchange Server 2019 CU9
https://www.microsoft.com/en-us/download/details.aspx?id=103004

ACHTUNG:
Die MSP Dateien müssen zwingend über einen CMD Prompt mit administrativen Rechten installiert werden. Ein einfaches Ausführen der MSP Dateien per Doppelklick über den Explorer führt zu Installationsfehlern.

Im Unterschied zu den Sicherheitspatches der Hafnium Lücke stellt Microsoft die April Hotfixes nur für aktuell supportete Systeme bereit. Wenn die Systeme noch nicht auf den aktuellen CU Stand gepatched sind, dann muss dies vorab erfolgen.

Wenn Sie sich bezüglich des Update-Standes der Exchange Server nicht sicher sind, hat Microsoft unter https://aka.ms/ExchangeHealthChecker ein entsprechendes Inventory Script bereitgestellt, welches die Patch-Stände überprüft und Ihnen die notwendigen Updates entsprechend anzeigt.

Weitere Informationen finden sich im Blog des Exchange Produkt Teams unter https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617 sowie dem MSRC Blog von Microsoft unter https://msrc-blog.microsoft.com/2021/04/13/april-2021-update-tuesday-packages-now-available/