Microsoft indique que les serveurs Exchange obsolètes ne peuvent pas recevoir de nouvelles définitions d’atténuation des urgences car un type de certificat de service de configuration Office est obsolète.

Les mesures d’atténuation d’urgence (également appelées mesures d’atténuation du SMEE) sont fournies via le Exchange Emergency Mitigation Service(EEMS), introduit il y a trois ans en septembre 2021.

EEMS applique automatiquement des mesures d’atténuation provisoires pour les failles de sécurité à haut risque (et probablement activement exploitées) afin de sécuriser les serveurs Exchange sur site contre les attaques. Il détecte les serveurs Exchange vulnérables aux menaces connues et applique des mesures d’atténuation provisoires jusqu’à la publication des mises à jour de sécurité.

EEMS s’exécute en tant que service Windows sur les serveurs de boîtes aux lettres Exchange et est automatiquement installé sur les serveurs dotés du rôle de boîte aux lettres après le déploiement des mises à jour cumulatives de septembre 2021 (ou version ultérieure) sur Exchange Server 2016 ou Exchange Server 2019.

Cependant, selon l’équipe Exchange, EEMS « n’est pas en mesure de contacter » le Service de configuration d’Office (OCS) et de télécharger de nouvelles atténuations de sécurité intérimaires sur des serveurs obsolètes exécutant des versions Exchange antérieures à mars 2023, déclenchant à la place « Erreur, Service d’atténuation MSExchange » événements.

« L’un des anciens types de certificats dans OCS devient obsolète. Un nouveau certificat a déjà été déployé dans OCS, et tout serveur mis à jour vers une mise à jour cumulative Exchange Server (CU) ou une mise à jour de sécurité (SU) plus récente que mars 2023 continuera à pouvoir vérifier les nouvelles atténuations EEMS », l’équipe Exchange a déclaré aujourd’hui.

« Si vos serveurs sont tellement obsolètes, veuillez les mettre à jour dès que POSSIBLE pour sécuriser votre charge de travail de messagerie et réactiver votre serveur Exchange pour vérifier les règles EEMS. Il est important de toujours garder vos serveurs à jour. L’exécution du vérificateur d’intégrité du serveur Exchange vous indiquera toujours ce que vous devez faire! »

La fonctionnalité a été ajoutée après que des pirates parrainés par l’État et motivés financièrement ont exploité ProxyLogon et ProxyShellzero-days, qui manquaient de correctifs ou d’informations d’atténuation, pour violer les serveurs Exchange.

En mars 2021, au moins dix groupes de piratage ont exploité ProxyLogon, y compris un groupe de menaces parrainé par la Chine connu par Microsoft sous le nom de Hafnium.

Microsoft a également exhorté les clients il y a deux ans, en janvier 2023, à appliquer la dernière mise à jour cumulative (CU) prise en charge et à maintenir leurs serveurs Exchange locaux corrigés pour s’assurer qu’ils sont toujours prêts à déployer des mises à jour de sécurité d’urgence.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *