Microsoft active automatiquement la protection étendue de Windows sur les serveurs Exchange après l’installation de la mise à jour cumulative H1 2024 de ce mois-ci (alias CU14).
La protection étendue (EP) sera automatiquement activée par défaut lors de l’installation d’Exchange Server 2019 CU14 (ou version ultérieure) pour renforcer la fonctionnalité d’authentification de Windows Server afin d’atténuer le relais d’authentification et les attaques de l’homme du milieu (MitM).
« Cela se produira lors de l’exécution de la version graphique de l’installation et lors de l’exécution de la version en ligne de commande de l’installation sans utiliser le commutateur d’installation /DoNotEnableEP ou /DoNotEnableEPFEEWS pour se désinscrire », a déclaré l’équipe Exchange.
« Si vos serveurs ne sont pas prêts à utiliser EP (par exemple, ils utilisent un pont SSL ou s’il existe des incompatibilités entre la configuration TLS du client et du serveur) et que vous ne désactivez pas l’activation d’EP lors de la configuration, il est possible que certaines fonctionnalités se cassent après l’installation de CU14. »
Il est conseillé aux administrateurs d’évaluer leurs environnements et d’examiner les problèmes mentionnés dans la documentation du script PowerShell ExchangeExtendedProtectionManagement fourni par Microsoft avant de basculer EP sur leurs serveurs Exchange (ce script se met automatiquement à jour sur les systèmes connectés à Internet).
Si vous rencontrez des problèmes après l’activation d’EP, les administrateurs peuvent s’assurer que toutes les conditions préalables d’EP sont remplies ou utiliser le script pour désactiver la fonctionnalité.
Ils peuvent également activer EP sur les anciennes versions d’Exchange Server (c’est-à-dire Exchange Server 2016) à l’aide du même script PowerShell sur les serveurs en ligne.
Redmond a également publié le graphique de flux de décision simple à suivre intégré ci-dessous pour aider ceux qui ont encore besoin de l’activer à sécuriser davantage leur environnement d’échange.
Microsoft a introduit pour la première fois la prise en charge d’Exchange Server EP en août 2022, avec des mises à jour cumulatives publiées dans le cadre du Patch Tuesday d’août 2022 lorsqu’il a corrigé plusieurs vulnérabilités Exchange de gravité critique (CVE-2022-21980, CVE-2022-24477 et CVE-2022-24516), permettant une élévation de privilèges.
Redmond a déclaré qu’en plus de corriger ces bogues, les administrateurs devraient également activer une protection étendue pour s’assurer que les attaquants ne pourront pas violer les serveurs vulnérables.
La même demande a été faite ce mardi pour remédier pleinement à la vulnérabilité CVE-2024-21410 permettant aux acteurs de la menace distants d’augmenter les privilèges dans les attaques de relais NTLM.
Un an plus tard, la société a annoncé que la protection étendue Exchange serait activée par défaut sur tous les serveurs Exchange après le déploiement de CU14.
Les recommandations de Microsoft partagées en août 2023 et en fonction de la mise à jour de sécurité installée incluent:
- Août 2022 SU ou version ultérieure et EP activé: Installez CU14 (aucune étape spéciale requise).
- Août 2022 SU ou plus tard, mais EP n’est pas encore activé: Installez CU14 avec la valeur par défaut « Activer EP » activée.
- Version du serveur Exchange antérieure au SU d’août 2022: « Nous vous envoyons des pensées et des prières, ainsi que des conseils très forts mais doux pour mettre à jour vos serveurs vers le dernier SU immédiatement. »
« Nous recommandons à tous les clients d’activer EP dans leur environnement. Si vos serveurs exécutent la SU d’août 2022 ou une SU ultérieure, ils prennent déjà en charge EP », a déclaré l’équipe d’échange en août 2023.
« Si vous avez des serveurs plus anciens que le SU d’août 2022, vos serveurs sont considérés comme vulnérables de manière persistante et doivent être mis à jour immédiatement. De plus, si vous avez des serveurs Exchange antérieurs à la SU d’août 2022, vous interromprez la communication serveur à serveur avec les serveurs sur lesquels EP est activé. »
Il y a un an, Microsoft a également exhorté ses clients à toujours maintenir leurs serveurs Exchange locaux à jour afin qu’ils soient prêts à déployer des correctifs de sécurité d’urgence.