Het gaat om securitybulletin MS13-061 dat van Microsoft de waardering 'kritiek' heeft meegekregen. Deze update voor Exchange lost kwetsbaarheden op waarmee kwaadwillenden op afstand eigen code kunnen uitvoeren op servers waarop de veelgebruikte Microsoft-groupware draait. De hiermee te dichten beveiligingsgaten zijn mede te danken aan middleware van Oracle, die Microsoft gebruikt voor weergave van attachments in Exchange.

De patch heeft zelf ook kwalen

In de praktijk blijkt de patch zelf ook voor problemen te zorgen. Na installatie wordt de Content Index voor mailboxen gecorrumpeerd en wordt de service Exchange Search Host Controller hernoemd. De serversoftware geeft dan de statusmelding dat de indexen 'failed' zijn en dat de indexaanmakende search-service ontbreekt. Microsoft meldt dit in een statusupdate over de patch, waarin het dus aankondigt dat die weer is ingetrokken.

Exchange-expert Tony Redmond stelt dat het hernoemen van de service niet ernstig is, maar dat de andere gevolgen van de brakke patch wel een flinke impact hebben. De bug "verwijdert het pad naar de datadirectory die wordt gebruikt door de service (zeer ernstig) en de dependency die de service heeft op http (wederom ernstig). Alles bij elkaar geen goede situatie voor een mailboxserver die afhankelijk is van de contentindexen voor functies zoals eDiscovery-searches."

Versies 2007 en 2010 niet geraakt

De patch is bestemd voor Exchange-versies 2007 (met service pack 3), 2010 (met SP2 en SP3) en 2013 (met cumulative update 1 en cumulative update 2). De corrumperende werking die deze update blijkt te hebben, treedt echter alleen op bij Exchange 2013. De patch is dan ook alleen voor die nieuwste versie weer ingetrokken. De voorgangers hebben namelijk een andere indexeringstechnologie.

Hoe Microsoft deze fout heeft gemaakt? Door de uitgebrachte patch niet te testen, geeft de softwaremaker toe. Lees ook: Exchange-corruptie en het belang van testen.


Beheerders die de brakke patch van afgelopen dinsdag al hebben geïnstalleerd, moeten de zaak handmatig oplossen met register-aanpassingen. Microsoft biedt een supportartikel (KB 2879739) met de benodigde handelingen om de getroffen Exchange 2013-installaties weer te herstellen. Als laatste stap is nog een herstart nodig.

Open gaten afdekken

Voor alle beheerders van die nieuwste versie wijst Microsoft op de workarounds in het oorspronkelijke bulletin over deze patch om de nu dus nog openstaande gaten af te dekken. Dit omvat het uitschakelen van de functie voor data loss prevention (DLP), en van de previewfunctie WebReady voor attachments. Ondertussen werkt de leverancier aan een nieuwe versie van de patch die het dan beter zal testen, belooft manager Ross Smith IV van het Exchange-team.