Les dernières mises à jour d’Exchange Server améliorent la sécurité des charges utiles PowerShell et ajoutent un problème connu

Avec les dernières mises à jour du Patch Tuesday déployées sur les appareils Windows, Microsoft a également publié les mises à jour de janvier 2023 pour Exchange Server. Exchange Server 2013, 2016 et 2019 sont couverts par ce déploiement, avec des améliorations et des correctifs de sécurité disponibles à tous les niveaux.

Les dernières mises à jour de sécurité (SU) résolvent plusieurs problèmes de sécurité qui ont été découverts par Microsoft lui-même ou qui lui ont été signalés en privé par des partenaires. Le géant de la technologie de Redmond affirme n’avoir trouvé aucune preuve suggérant que ces vulnérabilités étaient exploitées à l’état sauvage. Vous pouvez télécharger les SU à partir du catalogue de mise à jour ou via les liens ci-dessous :

• Exchange Server 2013 CU23 (la prise en charge et les mises à jour se terminent le 11 avril 2023)
• Serveur Exchange 2016 CU23
• Exchange Server 2019 CU11 et CU12

Microsoft a également mis en évidence une amélioration majeure apportée à son périmètre défensif en permettant la signature basée sur des certificats des charges utiles de sérialisation PowerShell. L’entreprise explique que :

La sérialisation est le processus de conversion de l’état d’un objet en une forme (flux d’octets) qui peut être conservée ou transmise à la mémoire, à une base de données ou à un fichier. PowerShell, par exemple, utilise la sérialisation (et sa désérialisation équivalente) lors du passage d’objets entre les sessions. Pour défendre les serveurs Exchange contre les attaques sur les données sérialisées, nous avons ajouté la signature basée sur certificat des charges utiles de sérialisation PowerShell dans les SU de janvier 2023. Dans la première étape du déploiement, cette nouvelle fonctionnalité doit être activée manuellement par un administrateur Exchange Server en raison des dépendances des fonctionnalités. Cet article détaille les étapes pour activer la signature basée sur certificat des données de sérialisation dans Exchange Server. Nous avons également publié un scriptvous pouvez utiliser pour valider/créer le certificat d’authentification requis dans votre organisation ou vous pouvez le faire manuellement .

Microsoft a souligné que vous ne devez activer la signature basée sur des certificats qu’après avoir installé les SU de janvier 2023 sur toutes vos instances Exchange Server. Si vous l’activez avant cela, vous risquez de rencontrer des échecs dans vos flux de travail. Pour l’instant, cette fonctionnalité doit être activée manuellement, mais Microsoft l’activera par défaut dans une future mise à jour.

Fait intéressant, il existe également un problème connu introduit dans ces mises à jour. Fondamentalement, les aperçus de page Web pour les URL partagées dans Outlook Web App (OWA) ne s’afficheront pas correctement. Microsoft dit qu’il résoudra le problème dans une « future mise à jour », mais ne précise pas exactement quand.