Microsoft heeft verschillende beveiligingsupdates (SU's) voor Microsoft Exchange Server uitgebracht om kwetsbaarheden op te lossen. Vanwege de kritieke aard van deze kwetsbaarheden raden we klanten aan de Exchange Server-beveiligingsupdates van oktober 2023 onmiddellijk toe te passen op getroffen systemen om de omgeving te beschermen.
Opmerking:Deze kwetsbaarheden treffen Microsoft Exchange Server. Exchange Online wordt niet beïnvloed.
Microsoft heeft beveiligingsupdates uitgebracht voor kwetsbaarheden in:
- Exchange-server 2016
- Exchange-server 2019
Deze beveiligingsupdates zijn beschikbaar voor de volgende specifieke versies van Exchange:
Lees meer over het installeren van Exchange Security Update.
Als u niet over deze Exchange Server CU-versies beschikt, update dan nu meteen en pas de bovenstaande patch toe.
Lees meer over het installeren van Exchange Cumulatieve Update.
Kwetsbaarheden die in de beveiligingsupdates van oktober 2023 zijn aangepakt, zijn op verantwoorde wijze gemeld door beveiligingspartners en gevonden via de interne processen van Microsoft. Hoewel we ons niet bewust zijn van actieve exploits in het wild, raden we u aan deze updates onmiddellijk te installeren om uw omgeving te beschermen.
VERWANT:Juni 2023 Exchange Server-beveiligingsupdates
Installeer update voor CVE-2023-36434
Tijdens de release van SU's van augustus 2023 raden we aan om een handmatige of scriptoplossing te gebruiken en de IIS Token Cache-module uit te schakelen als een manier om problemen aan te pakkenCVE-2023-21709. Vandaag heeft het Windows-team de IIS-oplossing uitgebracht voor de hoofdoorzaak van dit beveiligingslek, in de vorm van een oplossing voorCVE-2023-36434. We raden u aan de IIS-fix te installeren, waarna u de Token Cache-module opnieuw kunt inschakelen op uw Exchange-servers.
Als u nog niets heeft gedaan om CVE-2023-21709 aan te pakken:
- Update installeren voorCVE-2023-36434op al uw Exchange-servers.
Als u onze aanbeveling van augustus 2023 hebt opgevolgd en de Token Cache-module hebt uitgeschakeld (door een opdracht met één regel te gebruiken of onzeCVE-2023-21709.ps1-script), of als u mogelijke prestatieproblemen wilt aanpakken die u heeft ondervonden sinds u de module hebt uitgeschakeld, doet u het volgende:
- Installeer update voor CVE-2023-36434 op al uw Exchange-servers.
- Schakel de IIS Token Cache-module opnieuw in door een van de volgende handelingen uit te voeren:
Om de Token Cache-module alleen op een individuele server in te schakelen, voert u het volgende uit vanuit het verhoogde PowerShell-venster:
New-WebGlobalModule -Name "TokenCacheModule" -Image "%windir%System32inetsrvcachtokn.dll"Om de Token Cache-module op alle servers in de organisatie in te schakelen (nadat Windows Updates waren geïnstalleerd), kunt u onze CVE-2023-21709.ps1 gebruiken als beheerder in Exchange Management Shell (EMS):
.CVE-2023-21709.ps1 -RollbackBekende problemen in deze update
- Er zijn geen problemen bekend met deze update
Problemen die in deze update zijn opgelost
In deze update zijn de volgende problemen opgelost:
- Uitgebreide bescherming zorgt ervoor dat Outlook voor Mac de OAB niet bijwerkt
- Details Sjabloneneditor mislukt en retourneert BlockedDeserializeTypeException
- Gebruikers in het accountforest kunnen het verlopen wachtwoord in OWA in Exchange-implementaties met meerdere forests niet wijzigen na installatie van augustus 2023 SU
Veelgestelde vragen
Hoe verhoudt deze SU zich tot de functie Uitgebreide bescherming?
Als u Uitgebreide bescherming al op uw servers hebt ingeschakeld, installeert u de SU zoals gewoonlijk. Als u Uitgebreide bescherming nog niet hebt ingeschakeld, raden wij u aan dit in te schakelen na de installatie van SU in januari (of later). Door het Health Checker-script uit te voeren, kunt u altijd precies valideren wat u mogelijk moet doen na de SU-installatie.
Is Windows Extended Protection een vereiste die moet worden geactiveerd voor of na het toepassen van de SU, of is dat een optionele maar sterk aanbevolen activiteit?
Uitgebreide bescherming is geen vereiste voor deze beveiligingsupdate. U kunt het installeren zonder dat u de functie Uitgebreide bescherming hoeft te activeren. Het configureren van Uitgebreide bescherming wordt echter ten zeerste aanbevolen, omdat dit u kan helpen uw omgevingen te beschermen tegen authenticatie-relay of “Man in the Middle” (MITM)-aanvallen.
De laatste SU die we hebben geïnstalleerd is (een paar maanden oud). Moeten we alle SU's op volgorde installeren om de nieuwste te installeren?
De Exchange Server-beveiligingsupdates zijn cumulatief. Als u de CU gebruikt waarop de SU kan worden geïnstalleerd, hoeft u niet alle SU's in opeenvolgende volgorde te installeren, maar kunt u alleen de nieuwste SU installeren.
Mijn organisatie bevindt zich in de hybride modus met Exchange Online. Moet ik iets doen?
Hoewel Exchange Online-klanten al beschermd zijn, moet de beveiligingsupdate van oktober 2023 op uw lokale Exchange-servers worden geïnstalleerd, zelfs als deze alleen voor beheerdoeleinden worden gebruikt. U hoeft de Hybrid Configuration Wizard (HCW) niet opnieuw uit te voeren na het toepassen van updates.
Moet ik de updates installeren op “Exchange Management Tools only”-werkstations?
Installeer beveiligingsupdates op alle Exchange-servers en op servers of werkstations waarop uitsluitend Exchange Management Tools worden uitgevoerd. Dit zorgt ervoor dat er geen incompatibiliteit bestaat tussen de clients en servers van de beheertools.
