MS16-065 適用後、会議の一部機能 (PowerPoint/ホワイトボードなど) が利用できない


Japan Lync/Skype Support チームです。

 

現在、セキュリティ情報 MS16-065 として公開されている .NET Framework 用のセキュリティ更新プログラムを適用後、PowerPoint のアップロードやホワイトボードなどの一部機能が利用できなくなる問題が発生しています。

本問題の詳細は、以下のサポート技術情報 (KB) などもあわせてご確認ください。

– 本事象のサポート技術情報 (KB)

Title: Conferencing modalities no longer function in Lync Server 2010, Lync Server 2013, or Skype for Business Server 2015 after you install Security Bulletin MS16-065
URL:
https://support.microsoft.com/en-us/kb/3165438 (英語、原文)
https://support.microsoft.com/ja-jp/kb/3165438 (日本語)

– 本事象 (KB3165438) のきっかけとなるセキュリティ更新プログラムの公開情報

Title: マイクロソフト セキュリティ情報 MS16-065 – 重要
URL: https://technet.microsoft.com/library/security/ms16-065

 

本問題につきましては、現在、以下のクライアントで修正がリリースされました。

  • Lync 2010
  • Lync 2013 / Skype for Business 2015
  • Skype for Business 2016

詳細は、上記技術情報 (KB) および下記 [対処方法] をご参照ください。

 

[現象]

以下の機能が社内ネットワークから接続するすべてのユーザーで利用できなくなります。

  • PowerPoint のアップロード
  • ホワイトボード
  • 投票
  • 質疑応答
  • 共有のメモ

加えて、Lync Server 2010 環境においては、Lync Web App の動作に問題が生じます。

 

[発生する環境]

Lync Server 2010 / Lync Server 2013 / Skype for Business Server 2015 のフロント エンド サーバーおよび Standard Edition サーバーに、セキュリティ情報 MS16-065 として公開されている .NET Framework 用のセキュリティ更新プログラムを適用した環境で発生します。
Skype for Business Online をご利用の場合は、本問題の影響を受けません。

 

[原因]

.NET Framework 用のセキュリティ更新プログラム (MS16-065) では、.NET の暗号化コンポーネントが暗号化されたネットワーク パケットを送受信する方法が変更されました。
これは、.NET Framework の暗号化コンポーネントに実装されている TLS/SSL プロトコルに、情報漏えいの脆弱性 (※) が存在していたことへの対応となります。

この変更の影響により、フロント エンド サーバーの Web 会議サービスと Lync / Skype for Business クライアントとの通信に問題が発生しています。

※ 脆弱性の詳細については、下記セキュリティ情報の「TLS/SSL の情報漏えいの脆弱性 – CVE-2016-0149」をご参照ください。

Title: マイクロソフト セキュリティ情報 MS16-065 – 重要
URL: https://technet.microsoft.com/library/security/ms16-065

 

[対処方法]

本問題につきましては、Lync 2010 / Lync 2013 / Skype for Business 2015 / Skype for Business 2016 クライアントで修正がリリースされました。
ご利用のクライアントに応じて、以下の更新プログラムを適用くださいますようお願いいたします。

– Windows インストーラー (MSI) 版

Lync 2010

Lync 2010 :

Title: June 2016 update for Lync 2010 (KB3171499)
URL: https://support.microsoft.com/en-us/kb/3171499

Lync 2010 Attendee 管理者レベル インストール :

Title: Description of the cumulative update for the Lync 2010 Attendee – Administrator level installation: June 2016
URL: https://support.microsoft.com/en-us/kb/3171502

Lync 2010 Attendee ユーザー レベル インストール :

Title: Description of the cumulative update for the Lync 2010 Attendee – User level installation: June 2016
URL: https://support.microsoft.com/en-us/kb/3171496

Lync 2013 / Skype for Business 2015

Title: June 7, 2016, update for Lync 2013 (Skype for Business) (KB3115033)
URL: https://support.microsoft.com/en-us/kb/3115033

Skype for Business 2016

Title: June 7, 2016, update for Skype for Business 2016 (KB3115087)
URL: https://support.microsoft.com/en-us/kb/3115087

 

– クイック実行 (C2R) 形式

Lync 2013 / Skype for Business 2015

Office 2013 のバージョン: 15.0.4833.1001 またはそれ以上
Lync 2013 / Skype for Business 2015 のバージョン : 15.0.4833.1000 またはそれ以上

(参考)

Title: Office 2013 または Office 365 の更新プログラ
URL: https://support.microsoft.com/ja-jp/gp/office-2013-365-update

Skype for Business 2016

Deferred Channel :

Office 2016 のバージョン : 16.0.6741.2048 またはそれ以上
Skype for Business 2016 のバージョン : 16.0.6701.1029 またはそれ以上

Current Channel / First Release for Deferred Channel :

Office 2016 のバージョン : 16.0.6965.2058 またはそれ以上
Skype for Business 2016 のバージョン : 16.0.6925.1018 またはそれ以上

(参考)

Title: Office 365 クライアントの更新プログラム チャネル リリースのバージョン番号およびビルド番号 (KB3115087)
URL: https://technet.microsoft.com/ja-jp/library/mt592918.aspx

 

– 回避策で対応する必要のあるクライアント

以下のクライアントについては、現時点では修正がリリースされていません。

  • Lync Room System
  • Lync for Mac 2011 (調査の結果、Lync for Mac 2011 は本事象の影響を受けないことを確認いたしました)
  • Lync Web App (Lync Server 2010 環境のみ)

これらのクライアントをご利用の場合は、引き続き以下の [回避策] を実施くださいますようお願いいたします。

 

[回避策]

フロント エンド サーバーにおいて、レジストリ設定を行うことで本事象の回避が可能です。
また、

なお、本回避策を実施することで、.NET Framework 用のセキュリティ更新プログラム (MS16-065) で対処がなされた脆弱への変更が無効化されます。
したがいまして、脆弱性を悪用する攻撃者により、暗号化された SSL/TLS トラフィックを解読されるリスクが発生します。

回避策の実施に当たっては、脆弱性に対するリスクをご評価のうえ、実施くださいますようお願いいたします。

– 手順

すべてのフロント エンド サーバーおよび Standard Edition サーバーにおいて、以下のレジストリ設定を行ってください。

  1. DataMcuSvc.exe の配置されたフォルダーのパスを確認します。
    エクスプローラーを起動し、以下の既定のパスに DataMcuSvc.exe が存在することを確認します。

    • Skype for Business Server 2015 : C:\Program Files\Skype for Business Server 2015\Web Conferencing
    • Lync Server 2013 : C:\Program Files\Microsoft Lync Server 2013\Web Conferencing
    • Lync Server 2010 : C:\Program Files\Microsoft Lync Server 2010\Web Conferencing
      ※ 既定のパス以外にインストールしている場合は、実環境における DataMcuSvc.exe の配置されたフォルダーのパスをご確認ください。
  2. コマンド プロンプトを管理者権限で起動し、以下のコマンドを実行します。
    • Skype for Business Server 2015 :
      > reg add HKLM\Software\Microsoft\.NETFramework\v4.0.30319\System.Net.ServicePointManager.SchSendAuxRecord /v “<手順 1 で確認したパス>\DATAMCUSVC.exe” /t REG_DWORD /d 0 /f
      例:
      > reg add HKLM\Software\Microsoft\.NETFramework\v4.0.30319\System.Net.ServicePointManager.SchSendAuxRecord /v “C:\Program Files\Skype for Business Server 2015\Web Conferencing\DATAMCUSVC.exe” /t REG_DWORD /d 0 /f
    • Lync Server 2013 :
      > reg add HKLM\Software\Microsoft\.NETFramework\v4.0.30319\System.Net.ServicePointManager.SchSendAuxRecord /v “<手順 1 で確認したパス>\DATAMCUSVC.exe” /t REG_DWORD /d 0 /f
      例:
      > reg add HKLM\Software\Microsoft\.NETFramework\v4.0.30319\System.Net.ServicePointManager.SchSendAuxRecord /v “C:\Program Files\Microsoft Lync Server 2013\Web Conferencing\DATAMCUSVC.exe” /t REG_DWORD /d 0 /f
    • Lync Server 2010 :
      > reg add HKLM\Software\Microsoft\.NETFramework\v2.0.50727\System.Net.ServicePointManager.SchSendAuxRecord /v “<手順 1 で確認したパス>\DATAMCUSVC.exe” /t REG_DWORD /d 0 /f
      > reg add HKLM\Software\Microsoft\.NETFramework\v2.0.50727\System.Net.ServicePointManager.SchSendAuxRecord /v “<手順 1 で確認したパス>\MeetingMCUSvc.exe” /t REG_DWORD /d 0 /f
      > reg add HKLM\Software\Microsoft\.NETFramework\v2.0.50727\System.Net.ServicePointManager.SchSendAuxRecord /v “C:\Windows\System32\inetsrv\w3wp.exe” /t REG_DWORD /d 0 /f
      例:
      > reg add HKLM\Software\Microsoft\.NETFramework\v2.0.50727\System.Net.ServicePointManager.SchSendAuxRecord /v “C:\Program Files\Microsoft Lync Server 2010\Web Conferencing\DATAMCUSVC.exe” /t REG_DWORD /d 0 /f
      > reg add HKLM\Software\Microsoft\.NETFramework\v2.0.50727\System.Net.ServicePointManager.SchSendAuxRecord /v “C:\Program Files\Microsoft Lync Server 2010\Web Conferencing\MeetingMCUSvc.exe” /t REG_DWORD /d 0 /f
      > reg add HKLM\Software\Microsoft\.NETFramework\v2.0.50727\System.Net.ServicePointManager.SchSendAuxRecord /v ” C:\Windows\System32\inetsrv\w3wp.exe” /t REG_DWORD /d 0 /f
  3. Lync Server 管理シェル、または Skype for Business 管理シェルを管理者権限で起動し、以下のコマンドを実行します。
    Web 会議サービス (DataMcu サービス) が再起動され、手順 2 の設定変更が反映されます。
    > Stop-CsWindowsService -Name RTCDATAMCU -Verbose
    > Start-CsWindowsService -Name RTCDATAMCU -Verboseすでに本事象が発生している場合、Web 会議サービスで提供されるすべての機能が利用できない状況であるため、本サービスの再起動によるユーザーへの影響はありません。

以上の手順を実施のうえ、クライアント端末で動作をご確認ください。
なお、設定変更前からサインインしていた場合は、動作確認前に一度サインアウトのうえ、再度サインインしてご確認ください。

 

[今後の対応]

上記回避策については既知の脆弱性のリスクがあるため、現在修正がリリースされていないクライアントについては、引き続き、弊社開発部門にて対応の検討がなされています。

この度は弊社製品の問題により、ご迷惑をお掛けして大変申し訳ございません。
本件に関する情報が入り次第、本 Blog でも情報をアップデートさせていただきます。

本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。