Microsoft a annoncé aujourd’hui que la protection étendue de Windows sera activée par défaut sur les serveurs exécutant Exchange Server 2019 à partir de cet automne après l’installation de la mise à jour cumulative H2 2023 (CU14).
La protection étendue (EP) est une fonctionnalité qui renforce la fonctionnalité d’authentification de Windows Server pour atténuer les attaques de relais d’authentification ou de « l’homme du milieu » (MitM).
« Aujourd’hui, nous voulions vous informer qu’à partir de la mise à jour cumulative (CU) H2 2023 pour Exchange Server 2019 (alias CU14), EP sera activé par défaut lorsque CU14 (ou version ultérieure) est installé », a déclaré aujourd’hui l’équipe Exchange. .
« Exchange Server 2019 est actuellement dans le support grand public et est la seule version qui bénéficie encore de CU. »
Bien que CU14 activera EP sur tous les serveurs Exchange après le déploiement, les administrateurs pourront toujours se désinscrire à l’aide du programme d’installation de CU en ligne de commande (la version GUI s’active automatiquement, tandis que les installateurs sans assistance nécessitent une personnalisation pour la désinscription).
Microsoft recommande de procéder comme suit, en fonction de la mise à jour de sécurité que vous avez installée :
- Août 2022 SU ou version ultérieure et EP activés : installez CU14 (aucune étape particulière n’est requise).
- Août 2022 SU ou version ultérieure, mais EP pas encore activé : installez CU14 avec la valeur par défaut « Activer EP » activée.
- Version d’Exchange Server antérieure à la SU d’août 2022 : « Nous vous envoyons des pensées et des prières, ainsi que des conseils très forts mais doux pour mettre à jour immédiatement vos serveurs vers la dernière SU. »
Redmond a ajouté la prise en charge EP à Exchange Server avec les mises à jour de sécurité d’août de l’année dernière, en avertissant également les administrateurs que certaines vulnérabilités les obligeraient à activer la fonctionnalité sur les serveurs concernés pour bloquer complètement les attaques.
Depuis lors, la société a fourni un script dédié pour automatiser l’activation ou la désactivation d’EP sur les serveurs Exchange de l’ensemble d’une organisation, un script qui se mettra automatiquement à jour avec les derniers correctifs sur les systèmes connectés à Internet.
« Nous recommandons à tous les clients d’activer EP dans leur environnement. Si vos serveurs exécutent la SU d’août 2022 ou une SU ultérieure, ils prennent déjà en charge EP », a déclaré Microsoft.
« Si vous disposez de serveurs plus anciens que la SU d’août 2022, vos serveurs sont considérés comme constamment vulnérables et doivent être mis à jour immédiatement.
« De plus, si vous disposez de serveurs Exchange plus anciens que la SU d’août 2022, vous interromprez la communication de serveur à serveur avec les serveurs sur lesquels EP est activé. »
Microsoft a également exhorté ses clients en janvier à maintenir leurs serveurs Exchange sur site à jour en installant les dernières mises à jour cumulatives (CU) prises en charge afin d’être toujours prêts à déployer des correctifs de sécurité d’urgence.
Les serveurs Exchange sont des cibles précieuses, comme le montrent des groupes de cybercriminalité motivés par des raisons financières, comme FIN7, qui ont développé une plate-forme d’attaque spécialement conçue pour pirater les serveurs Exchange.
Selon la société de renseignement sur les menaces Prodaft, la plateforme Checkmarks de FIN7 a déjà été utilisée pour pirater les réseaux de plus de 8 000 entreprises, principalement aux États-Unis, après avoir analysé plus de 1,8 million de cibles.