De nouveaux correctifs de sécurité pour Exchange Server, suite à un nouveau rapport de la NSA

Publié le par Poster un commentaire

Microsoft vient une nouvelle fois de publier une série de mises à jour de sécurité pour Exchange Server afin de s’attaquer aux vulnérabilités d’exécution de code à distance (RCE) encore récemment découvertes la l’agence de sécurité américaine (la fameuse NSA).

Souvenez-vous, le mois dernier Exchange Server avait fait la une de l’actualité de la cybersécurité lorsqu’il a été découvert qu’il était attaqué par des groupes parrainés par l’État, disons un état plutôt à l’Est.. Microsoft n’avait pas tardé à publier des mises à jour pour les versions d’Exchange encore supportées et d’autres plus vieilles et non supportées. Un bon point pour l’éditeur qui reste très vigilant sur ces menaces, qui c’est vrai ternissent aussi l’image du produit. Grâce à ses efforts, des centaines de milliers d’instances de serveurs Exchange sur site ont été protégées contre ces vulnérabilités qui ne concernaient pour rappel que les versions sur site (Exchange Online n’a pas été affecté par cet incident).

De nouvelles mises à jour sont donc disponibles depuis cette nuit, mais cette fois-ci, uniquement pour Exchange Server 2013 CU23, Exchange Server 2016 CU19 et CU20, et Exchange Server 2019 CU8 et CU9. Si vous n’êtes pas sur l’une des mises à jour cumulatives (CU), Microsoft vous recommande d’abord de passer à un environnement pris en charge, puis d’appliquer les mises à jour de sécurité. Ces mises à jour de sécurité d’avril 2021 corrigent les vulnérabilités RCE qui ont été signalées en privé à l’entreprise par la National Security Agency (NSA). Bien que l’enquête de Microsoft indique que l’exploit ne serait pas encore utilisé, elle exhorte tout de même les clients à les appliquer le plus rapidement possible.

Il est important de noter que ces dernières étant cumulatifs, les clients qui appliquent les mises à jour d’avril seront également protégés contre les vulnérabilités signalées en mars. Pas de correctifs cette fois pour Exchange Server 2010, car il n’est pas affecté par les dernières vulnérabilités. Vous pouvez en savoir plus sur les mises à jour en vous rendant sur ce lien de Microsoft.

Nous reviendrons sur l’ensemble de l’actualité concernant Exchange lors du prochain Briefing Calipia les 9,10,14 et 15 juin prochain.

Tag(s) associé(s) :

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.