Microsoft为Microsoft Exchange Server发布了多个安全更新(SUS),以解决漏洞。由于这些漏洞的关键性质,我们建议客户立即将2023年10月的Exchange Server Security更新应用于受影响的系统以保护环境。
笔记:这些漏洞会影响Microsoft Exchange Server。在线交流不受影响。
Microsoft已发布有关以下漏洞的安全更新:
- Exchange Server 2016
- Exchange Server 2019
这些安全更新可用于以下特定版本的Exchange:
阅读有关如何安装Exchange安全更新的更多信息。
如果您不在这些Exchange Server CU版本中,请立即更新并应用上述补丁。
阅读有关如何安装交换累积更新的更多信息。
安全合作伙伴负责任地报告了2023年10月的安全更新中解决的漏洞,并通过微软的内部流程发现。尽管我们不知道野外有任何积极的利用,但我们的建议是立即安装这些更新以保护您的环境。
安装CVE-2023-36434的更新
在2023年8月SUS发行期间,我们建议使用手动或脚本解决方案,并禁用IIS令牌缓存模块作为解决方案CVE-2023-21709。今天,Windows Team已以此漏洞的根本原因发布了IIS修复程序,以修复的形式CVE-2023-36434。我们建议安装IIS修复程序之后,您可以在交换服务器上重新启用令牌缓存模块。
如果您没有做任何事情来解决CVE-2023-21709:
阅读更多:
- 安装更新CVE-2023-36434在您的所有交换服务器上。
如果您遵循了我们的2023年8月推荐并禁用令牌缓存模块(使用单线命令或我们的CVE-2023-21709.PS1脚本),或想解决自禁用模块以来看到的可能的性能问题,请执行以下操作:
- 在所有交换服务器上安装CVE-2023-36434的更新。
- 通过执行以下一项来重新启用IIS令牌缓存模块:
要仅在单个服务器上启用令牌缓存模块,请从高架powershell窗口中运行以下内容:
New-WebGlobalModule -Name "TokenCacheModule" -Image "%windir%System32inetsrvcachtokn.dll"为了在组织中的所有服务器上启用令牌缓存模块(安装Windows更新后),您可以在Exchange Management Shell(EMS)中使用我们的CVE-2023-21709.PS1作为管理员:
.CVE-2023-21709.ps1 -Rollback此更新中的已知问题
- 此更新没有已知问题
此更新中解决的问题
在此更新中已经解决了以下问题:
- 扩展保护原因是Mac不更新OAB的Outlook
- 详细信息模板编辑器失败并返回blockedDeserializetypeexception
- 帐户森林中的用户无法在安装2023年8月后在多林交换部署的OWA中更改过期的密码
常见问题解答
此SU与扩展保护功能有何关系?
如果您已经在服务器上启用了扩展保护,请照常安装SU。如果您还没有启用扩展保护,我们的建议是在安装一月(或以后)SU之后启用它。运行健康检查器脚本将始终帮助您验证SU安装后可能需要做的事情。
Windows扩展保护是在应用SU之前或之后需要激活的先决条件,还是可选但强烈建议的活动?
扩展保护不是此安全更新的先决条件。您可以安装它,而无需激活扩展保护功能。但是,强烈建议配置扩展保护,这可以帮助您保护环境免受身份验证继电器或“中间的人”(MITM)攻击。
我们安装的最后一个SU是(几个月大)。我们是否需要安装所有SUS,以安装最新的SU?
Exchange Server安全更新是累积的。如果您正在运行可以安装SU的CU,则无需按顺序安装所有SUS,而只能安装最新的SU。
我的组织与在线交易所处于混合模式。我需要做什么吗?
尽管已经受到了交换在线客户的保护,但2023年10月的安全更新也需要在您的本地交换服务器上安装,即使它们仅用于管理目的。应用更新后,您无需重新运行混合配置向导(HCW)。
我需要在“仅交换管理工具”工作站上安装更新?
在所有Exchange服务器以及仅运行Exchange Management工具的服务器或工作站上安装安全更新,这将确保管理工具客户端和服务器之间没有不相容性。