2023 年 2 月 Exchange Server 安全更新

Microsoft 发布了多个 Microsoft Exchange Server 安全更新 (SU) 以解决漏洞。由于这些漏洞的严重性，我们建议客户立即对受影响的系统应用更新以保护环境。

注意：这些漏洞影响 Microsoft Exchange Server。 Exchange Online 不受影响。

Exchange 服务器安全更新

Microsoft 已针对以下位置中发现的漏洞发布了安全更新：

• 交换服务器 2013
• 交换服务器 2016
• 交换服务器 2019

这些安全更新适用于以下特定版本的 Exchange：

• Exchange 服务器 2013 (CU23)
• Exchange 服务器 2016 (CU23)
• Exchange 服务器 2019（CU11、CU12）

阅读有关如何安装 Exchange 安全更新的更多信息。

如果您使用的不是这些 Exchange Server CU 版本，请立即更新并应用上述补丁。

阅读有关如何安装 Exchange 累积更新的更多信息。

2023 年 2 月安全更新中解决的漏洞由安全合作伙伴负责任地报告，并通过 Microsoft 内部流程发现。尽管我们尚未发现任何活跃的漏洞，但我们建议立即安装这些更新以保护您的环境。

此版本中的已知问题

• 启用 PowerShell 序列化负载的证书签名后，Exchange 工具箱和队列查看器失败（注意：这是 PowerShell 序列化负载的证书签名功能的问题，而不是安全更新的问题）
• 安装 2023 年 2 月 SU 后，某些 Exchange 2016 和 2019 客户可能会看到 EWS 应用程序池崩溃，事件 ID 4999，并出现以下错误：
  
  E12IIS、c-RTL-AMD64、15.01.2507.021、w3wp #MSExchangeServicesAppPool、M.Exchange.Diagnostics、M.E.D.ChainedSerializationBinder.EnforceBlockReason、M.E.Diagnostics.BlockedDeserializeTypeException、437c-dumptidset、15.01.2507.021。
  
  此问题导致使用 EWS 协议的客户端出现连接问题。我们对此有一个解决方法（但请注意，事件 4999 可能仍会继续记录，但功能应恢复）。如果您遇到此问题，我们建议您使用以下解决方法并保持安装 February SU。

1. 在 Exchange 服务器中创建以下注册表项：

regkey 是“字符串值”类型，并且值需要为 1。

SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics\DisableBaseTypeCheckForDeserialization

2. 创建以下设置覆盖：

New-SettingOverride -Name "Adding learning location ClientExtensionCollectionFormatter" -Server <ServerName> -Component Data -Section DeserializationBinderSettings -Parameters @("LearningLocations=ClientExtensionCollectionFormatter") -Reason "Deserialization failed"

3. 通过运行以下命令强制应用该设置：

Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

4. 重新启动 IIS 应用程序池。

已解决的问题

本次更新解决了以下问题：

• 在 RecoverServer 模式下安装 Exchange Server 时出现版本错误 - 今后，2023 年 2 月及更新的 SU 将不会导致此问题（但 2023 年 1 月 SU 所做的修改可能仍需要在服务器恢复操作期间进行手动操作，因此请执行文章可能仍然适用于安装了更高版本的 SU）
• 在 Exchange 2016 或 Exchange 2019 上安装 2023 年 1 月 SU 后，OWA 中共享的 URL 的网页预览无法正确呈现
• 安装 2023 年 1 月安全更新后，某些 Exchange 服务不会自动启动
• 如果组织中有 Exchange Server 2013，现在可以启用 PowerShell 序列化有效负载签名

常见问题解答

此 SU 与扩展保护功能有何关系？
如果您已在服务器上启用了扩展保护，请照常安装 SU。如果您尚未启用扩展保护，我们建议您在安装一月（或任何以后）的 SU 后启用它。运行运行状况检查器脚本将始终帮助您准确验证 SU 安装后可能需要执行的操作。

Windows 扩展保护是应用 SU 之前或之后需要激活的先决条件，还是可选但强烈推荐的活动？
扩展保护不是此安全更新的先决条件。您无需激活扩展保护功能即可安装它。但是，强烈建议配置扩展保护，这可以帮助您保护您的环境免受身份验证中继或“中间人”(MITM) 攻击。

我们安装的最后一个 SU 是（几个月前的）。我们是否需要按顺序安装所有 SU 才能安装最新的 SU？
Exchange Server 安全更新是累积性的。如果您正在运行可安装 SU 的 CU，则无需按顺序安装所有 SU，而只需安装最新的 SU。

我的组织处于与 Exchange Online 的混合模式。我需要做什么吗？
虽然 Exchange Online 客户已受到保护，但仍需要在本地 Exchange 服务器上安装 2022 年 2 月安全更新，即使它们仅用于管理目的。应用更新后，您无需重新运行混合配置向导 (HCW)。

我需要在“仅 Exchange 管理工具”工作站上安装更新吗？
在所有 Exchange 服务器以及仅运行 Exchange 管理工具的服务器或工作站上安装安全更新，这将确保管理工具客户端和服务器之间不存在不兼容性。

更多信息

• 交换团队博客
• CVE-2023-21529
• CVE-2023-21706
• CVE-2023-21707
• CVE-2023-21710