Correctif de sécurité (SU) Exchange 2016 et 2019

A installer sans trop tarder sur vos environnements Exchange 2019 & 2016

Article original: https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2023-exchange-server-security-updates/ba-p/3980209

Microsoft a publié des mises à jour de sécurité (SU) pour les vulnérabilités trouvées dans :

• Exchange Server 2019
• Exchange Server 2016
  
  Les SU sont disponibles pour les versions spécifiques suivantes d’Exchange Server :

• Exchange Server 2019 CU12 et CU13
• Exchange Server 2016 CU23

Les SU de novembre 2023 traitent les vulnérabilités signalées de manière responsable à Microsoft par les partenaires de sécurité et trouvées par le biais des processus internes de Microsoft. Bien que nous n’ayons pas connaissance d’exploits actifs dans la nature, nous recommandons d’installer immédiatement ces mises à jour pour protéger votre environnement.

Ces vulnérabilités affectent Exchange Server. Les clients d’Exchange Online sont déjà protégés contre les vulnérabilités traitées par ces SU et n’ont pas besoin de prendre d’autres mesures que la mise à jour des serveurs Exchange ou des postes de travail utilisant les outils de gestion Exchange dans leur environnement.

Plus de détails sur les CVE spécifiques peuvent être trouvés dans le Guide des mises à jour de sécurité (filtre sur Exchange Server sous Famille de produits).

La signature de certificat de la charge utile de sérialisation PowerShell est maintenant activée par défaut

À partir de Novembre 2023 SU, nous activons par défaut la signature de certificat pour la charge utile de sérialisation PowerShell (pour rappel, il s’agit d’une fonctionnalité que nous avons publiée en janvier 2023 en tant que fonctionnalité optionnelle à l’époque). Une fois que Novembre 2023 (ou plus tard) SU est installé sur un serveur, la signature de certificat sera automatiquement activée (pour ce serveur spécifique uniquement).

Pour plus d’informations à ce sujet, veuillez consulter la documentation de la fonctionnalité.

Assurez-vous que le certificat Auth d’Exchange est valide avant d’installer la mise à jour de sécurité. Vous pouvez utiliser le script MonitorExchangeAuthCertificate.ps1 pour effectuer une vérification rapide.

La sortie du script MonitorExchangeAuthCertificate.ps1 ressemblera à ceci si aucune action n’est requise :

• Installez la dernière UC. Utilisez l‘assistant de mise à jour Exchange pour choisir l’UC actuelle et l’UC cible afin d’obtenir des instructions.
• Faites l’inventaire de vos serveurs Exchange pour déterminer les mises à jour nécessaires à l’aide du script Exchange Server Health Checker. L’exécution de ce script vous indiquera si l’un de vos serveurs Exchange est en retard sur les mises à jour (CU, SU ou actions manuelles).
• Exécutez à nouveau le Health Checker après l’installation d’un SU pour voir si d’autres actions sont nécessaires.
• Si vous rencontrez des erreurs pendant ou après l’installation d’Exchange Server, exécutez le script SetupAssist. Si quelque chose ne fonctionne pas correctement après les mises à jour, voir Réparer les installations échouées des mises à jour cumulatives et de sécurité d’Exchange.

Problèmes connus avec cette version

• Certains cmdlets pipés (par exemple, Get-MailboxDatabase | Get-Mailbox) peuvent échouer sur les machines équipées d’outils de gestion uniquement. Plus de détails et une solution possible peuvent être trouvés dans la documentation de la fonctionnalité Serialized Data Signing (signature des données sérialisées).

• L’exécution des scripts RedistributeActiveDatabases.ps1 ou StartDagServerMaintenance.ps1 peut échouer avec une erreur de désérialisation après l’installation de Nov SU si le script est exécuté sur un serveur qui n’est pas une boîte aux lettres. Nous corrigerons ce problème dans la prochaine mise à jour. Comme solution de contournement, veuillez exécuter le script sur un serveur de boîtes aux lettres.

FAQ
Notre organisation est en mode hybride avec Exchange Online. Devons-nous faire quelque chose ?
Exchange Online est déjà protégé, mais ce SU doit être installé sur vos serveurs Exchange, même s’ils ne sont utilisés qu’à des fins de gestion. Si vous changez le certificat d’authentification après avoir installé un SU, vous devez réexécuter l’Assistant de configuration hybride.

Le dernier SU que nous avons installé date de quelques mois. Devons-nous installer toutes les unités de service afin d’installer la dernière ?
Les SU sont cumulatives. Si vous exécutez une CU prise en charge par la SU, vous n’avez pas besoin d’installer toutes les SU dans l’ordre séquentiel ; installez simplement la dernière SU. Veuillez consulter cet article de blog pour plus d’informations.

Devons-nous installer les SU sur tous les serveurs Exchange de notre organisation ? Qu’en est-il des machines « outils de gestion uniquement » ?
Nous recommandons d’installer les SU sur tous les serveurs Exchange et sur tous les serveurs et postes de travail utilisant les outils de gestion Exchange afin d’assurer la compatibilité entre les clients et les serveurs des outils de gestion. Si vous essayez de mettre à jour les outils de gestion Exchange dans un environnement où il n’y a pas de serveurs Exchange en cours d’exécution, veuillez consulter ceci.

Est-il sécuritaire de désactiver la fonction de signature des données sérialisées si nous installons November 2023 SU ?
Désactiver la signature de certificat des charges utiles de sérialisation PowerShell rendra votre serveur vulnérable aux vulnérabilités connues d’Exchange et affaiblira la protection contre les menaces inconnues. Nous recommandons de laisser cette fonctionnalité activée.