Malwarebytesは8月18日(米国時間)、「Exchange Server security updates updated」において、Microsoft Exchange Serverのセキュリティアップデートが再リリースされたと報じた。これは2023年8月8日(米国時間)にリリースされたセキュリティアップデートの更新版となる。
2023年8月8日(米国時間)にリリースされたセキュリティアップデート(KB5029388: 以下Aug SUv1と略す)では、英語以外の言語のオペレーティングシステムでMicrosoft Exchange Serverのセキュリティアップデートを行うと、セットアップが予期せずに停止し、Exchangeサービスが無効となる問題があった。
新しく公開されたセキュリティアップデート(KB5030524: 以下Aug SUv2と略す)ではこの問題を解決しているが、Microsoftはサーバの状況によって異なる対応が必要としており、次のように行動するよう推奨している。
- 手動でAug SUv1を正常にインストールできた場合はこれ以上の処置は必要ない(Aug SUv2をインストールしてもよい)
- 自動でAug SUv1を正常にインストールできた場合もこれ以上の処置は必要ない。この場合、Aug SUv2は自動ダウンロードおよびインストールの対象となる
- Aug SUv1のセットアップに途中で失敗し、Exchangeサービスを再起動したがAug SUv1のインストールを完了していない場合は、Aug SUv2をインストールする
- Aug SUv1のセットアップに途中で失敗し、Exchangeサービスを再起動したのち、回避策を使用してネットワークサービスアカウントを手動で作成してAug SUv1のインストールを完了した場合は次の手順に従う
- Aug SUv1をアンインストールしてシステムを再起動する
- 手動で作成したネットワークサービスアカウントを削除する
- Aug SUv2をインストールする
- このセキュリティアップデートをまだ何もインストールしていない場合は、Aug SUv2をインストールする
なお、MalwarebytesによるとMicrosoft Exchange Online(Microsoft Exchange Serverのクラウドサービス版)のユーザーはすでに必要な対策が取られているとしており、組織内のExchange ServerまたはExchange管理ツールの更新以外の処置は必要ないとしている。
MicrosoftはFAQにおいて、CVE-2023-21709で追跡される脆弱性への更新作業に関しては、このセキュリティアップデートとは直接関係がないとしており、それぞれMicrosoftの指示する手順に従って更新作業を行えば、再度作業する必要はないとしている。Microsoft Exchange Serverは魅力的な攻撃対象であり、このセキュリティアップデートおよびCVE-2023-21709への対策は速やかに行うよう望まれている。