Microsoft は、脆弱性に対処するために Microsoft Exchange Server のセキュリティ更新プログラム (SU) をいくつかリリースしました。これらの脆弱性は重大な性質を持っているため、環境を保護するために影響を受けるシステムにアップデートを直ちに適用することをお勧めします。
注記:これらの脆弱性は Microsoft Exchange Server に影響を与えます。 Exchange Online は影響を受けません。
Microsoft は、以下で見つかった脆弱性に対するセキュリティ更新プログラムをリリースしました。
- Exchangeサーバー2013
- Exchangeサーバー2016
- Exchangeサーバー2019
これらのセキュリティ更新プログラムは、Exchange の次の特定のバージョンで利用できます。
Exchange セキュリティ更新プログラムをインストールする方法の詳細を参照してください。
これらの Exchange Server CU バージョンではない場合は、今すぐ更新して上記のパッチを適用してください。
Exchange の累積的な更新プログラムをインストールする方法の詳細を参照してください。
推奨読書:2023 年 11 月の Exchange Server セキュリティ更新プログラム
2023 年 3 月のセキュリティ更新プログラムで対処された脆弱性は、セキュリティ パートナーによって責任を持って報告され、Microsoft の内部プロセスを通じて発見されました。有効なエクスプロイトは確認されていませんが、環境を保護するためにこれらの更新プログラムを直ちにインストールすることをお勧めします。
認識: CVE-2023-23397 に対する Outlook クライアント更新プログラムがリリースされました
Microsoft Outlook には、この問題に対処するために必要なセキュリティ更新プログラムがあります。CVE-2023-2337。この CVE に対処するには、メールがホストされている場所 (Exchange Online、Exchange Server、その他のプラットフォームなど) に関係なく、Outlook セキュリティ更新プログラムをインストールする必要があります。をご覧ください。この脆弱性に関する MSRC ブログ投稿詳細については。
ただし、メールボックスが Exchange Online または Exchange Server 上にある場合は、Outlook 更新プログラムをインストールした後、私たちが作成したスクリプトユーザーの誰かが Outlook の脆弱性を利用して標的にされていないかどうかを確認します。このスクリプトは、潜在的に悪意のあるメッセージのターゲットになっているユーザーがいるかどうかを通知し、メッセージが見つかった場合はそれらのメッセージを変更または削除できるようにします。
スクリプトの実行には時間がかかるため、攻撃者 (幹部、上級幹部、管理者など) にとって価値の高いユーザー メールボックスを優先することをお勧めします。
このリリースの既知の問題
- このリリースには既知の問題はありません
解決された問題
このアップデートでは次の問題が解決されました。
- 2023 年 2 月のセキュリティ更新プログラムがインストールされた後、EWS Web アプリケーション プールが停止する– KB 記事の回避策を実装している場合は、March SU がインストールされたら回避策を削除する必要があります (手順については KB 記事を参照してください)。ヘルス チェッカーを実行すると、回避策を削除する必要があることが通知されます。
- PowerShell シリアル化ペイロードの証明書署名が有効になった後、Exchange ツールボックスとキュー ビューアーが失敗する– この問題は、メールボックスの役割を実行しているサーバーでは解決されていますが、管理ツールの役割のみがインストールされているサーバーおよびワークステーションでは依然として発生します。
- このリリースでは、アーカイブへの移動アクションを実行する保持タグを含む保持ポリシーを使用しているため、拡張保護 (EP) を有効にできない顧客のブロックが解除されます。注: 更新されたバージョンを使用してこの問題を回避した場合は、Exchange Server 拡張保護スクリプト、この SU をインストールした後、次の手順に従って、適用された IP 制限をロールバックする必要があります。スクリプトのドキュメント.
- Get-App と GetAppManifests が失敗し、例外が返される.
よくある質問
この SU は拡張保護機能とどのように関連していますか?
サーバーで拡張保護をすでに有効にしている場合は、通常どおり SU をインストールします。拡張保護をまだ有効にしていない場合は、1 月 (またはそれ以降) SU をインストールした後に有効にすることをお勧めします。ヘルス チェッカー スクリプトを実行すると、SU のインストール後に実行する必要があることを正確に検証できます。
Windows 拡張保護は、SU の適用前または適用後にアクティブ化する必要がある前提条件ですか、それともオプションですが強く推奨されるアクティビティですか?
拡張保護は、このセキュリティ更新プログラムの前提条件ではありません。拡張保護機能を有効にしなくてもインストールできます。ただし、認証リレーや「中間者」 (MITM) 攻撃から環境を保護するために、拡張保護を構成することを強くお勧めします。
最後にインストールした SU は (数か月前) です。最新の SU をインストールするには、すべての SU を順番にインストールする必要がありますか?
Exchange Server セキュリティ更新プログラムは累積的です。 SU をインストールできる CU を実行している場合は、すべての SU を順番にインストールする必要はなく、最新の SU のみをインストールできます。
私の組織は Exchange Online とのハイブリッド モードになっています。何かする必要がありますか?
Exchange Online の顧客はすでに保護されていますが、オンプレミスの Exchange サーバーが管理目的でのみ使用されている場合でも、2022 年 3 月のセキュリティ更新プログラムをオンプレミスの Exchange サーバーにインストールする必要があります。更新プログラムの適用後にハイブリッド構成ウィザード (HCW) を再実行する必要はありません。
「Exchange 管理ツールのみ」のワークステーションに更新プログラムをインストールする必要がありますか?
すべての Exchange サーバーと、Exchange 管理ツールのみを実行しているサーバーまたはワークステーションにセキュリティ更新プログラムをインストールします。これにより、管理ツールのクライアントとサーバーの間に非互換性がなくなります。
