2023 年 10 月 Exchange Server 安全更新
Microsoft 發布了多個 Microsoft Exchange Server 安全更新 (SU) 以解決漏洞。由於這些漏洞的嚴重性,我們建議客戶立即將 2023 年 10 月 Exchange Server 安全更新應用到受影響的系統,以保護環境。
筆記:這些漏洞影響 Microsoft Exchange Server。 Exchange Online 不受影響。
Microsoft 已針對以下位置中發現的漏洞發布了安全更新:
- 交換服務器 2016
- 交換服務器 2019
這些安全更新適用於以下特定版本的 Exchange:
閱讀有關如何安裝 Exchange 安全更新的更多信息。
如果您使用的不是這些 Exchange Server CU 版本,請立即更新並應用上述補丁。
閱讀有關如何安裝 Exchange 累積更新的更多信息。
2023 年 10 月安全更新中解決的漏洞由安全合作夥伴負責任地報告,並通過 Microsoft 內部流程發現。儘管我們尚未發現任何活躍的漏洞,但我們建議立即安裝這些更新以保護您的環境。
有關的:2023 年 6 月 Exchange Server 安全更新
安裝 CVE-2023-36434 的更新
在 2023 年 8 月 SU 發布期間,我們建議使用手動或腳本解決方案並禁用 IIS 令牌緩存模塊作為解決問題的方法CVE-2023-21709。今天,Windows團隊針對該漏洞的根本原因發布了IIS修復程序,以修復CVE-2023-36434。我們建議安裝 IIS 修復程序,然後您可以在 Exchange 服務器上重新啟用令牌緩存模塊。
如果您尚未採取任何措施來解決 CVE-2023-21709:
- 安裝更新CVE-2023-36434在您所有的 Exchange 服務器上。
如果您遵循我們 2023 年 8 月的建議並禁用了令牌緩存模塊(通過使用單行命令或我們的CVE-2023-21709.ps1 腳本),或者想要解決禁用該模塊後可能出現的性能問題,請執行以下操作:
- 在所有 Exchange 服務器上安裝 CVE-2023-36434 的更新。
- 通過執行以下操作之一重新啟用 IIS 令牌緩存模塊:
要僅在單個服務器上啟用令牌緩存模塊,請從提升的 PowerShell 窗口運行以下命令:
New-WebGlobalModule -Name "TokenCacheModule" -Image "%windir%System32inetsrvcachtokn.dll"要在組織中的所有服務器上啟用令牌緩存模塊(安裝 Windows 更新後),您可以在 Exchange Management Shell (EMS) 中以管理員身份使用我們的 CVE-2023-21709.ps1:
.CVE-2023-21709.ps1 -Rollback本次更新中的已知問題
- 此更新沒有已知問題
本次更新修復的問題
本次更新解決了以下問題:
- 擴展保護導致 Outlook for Mac 不更新 OAB
- 詳細信息模板編輯器失敗並返回 BlockedDeserializeTypeException
- 安裝 2023 年 8 月 SU 後,帳戶林中的用戶無法在多林 Exchange 部署中的 OWA 中更改過期密碼
常見問題解答
此 SU 與擴展保護功能有何關係?
如果您已在服務器上啟用擴展保護,請照常安裝 SU。如果您尚未啟用擴展保護,我們建議您在安裝一月(或任何以後)的 SU 後啟用它。運行運行狀況檢查器腳本將始終幫助您準確驗證 SU 安裝後可能需要執行的操作。
Windows 擴展保護是應用 SU 之前或之後需要激活的先決條件,還是可選但強烈推薦的活動?
擴展保護不是此安全更新的先決條件。您無需激活擴展保護功能即可安裝它。但是,強烈建議配置擴展保護,這可以幫助您保護您的環境免受身份驗證中繼或“中間人”(MITM) 攻擊。
我們安裝的最後一個 SU 是(幾個月前的)。我們是否需要按順序安裝所有 SU 才能安裝最新的 SU?
Exchange Server 安全更新是累積的。如果您正在運行可安裝 SU 的 CU,則無需按順序安裝所有 SU,而只需安裝最新的 SU。
我的組織採用 Exchange Online 的混合模式。我需要做些什麼嗎?
雖然 Exchange Online 客戶已受到保護,但仍需要在本地 Exchange 服務器上安裝 2023 年 10 月安全更新,即使它們僅用於管理目的。應用更新後,您無需重新運行混合配置嚮導 (HCW)。
我是否需要在“僅限 Exchange 管理工具”工作站上安裝更新?
在所有 Exchange 服務器以及僅運行 Exchange 管理工具的服務器或工作站上安裝安全更新,這將確保管理工具客戶端和服務器之間不存在不兼容性。
