Serveurs & Infrastructure

Comment patcher son serveur Exchange (faille Avril 2021)

Par Tutos-Info , le 14 avril 2021 , 6 commentaires - 5 minutes de lecture
logo exchange 660*330
5/5 - (5 votes)

Microsoft a publié un correctif d'urgence pour les versions Exchange 2010, 2013, 2016 et 2019.

En Avril ne te découvre pas d'un fil comme on dit .. eh bien sachez  qu'une nouvelle faille de sécurité importante a été détectée et officiellement annoncée le 13 Avril par la NSA.

Cette faille permet d'exécuter du code puis d'avoir la main sur le serveur en passant par le protocole https (port 443).

Pour aller au plus simple voici un guide pour patcher rapidement son serveur de messagerie Exchange.

Bien évidemment si vous êtes sur Microsoft 365 (Exchange Online) vous n'êtes pas concerné !

Pré-requis pour patcher votre serveur Exchange

Mise à jour 14 Avril 2021

Refonte du tuto avec les dernières KB pour patcher les failles du mois d'Avril.

Il est fortement recommandé de passer sur les derniers Rollups et d''appliquer la KB !

Mise à jour 19 Mars 2021

Microsoft a publié  le 16 mars un nouveau rollup pour exchange 2016 et exchange 2019.

Pour Exchange 2016 il s'agit du Rollup 20

Pour Exchange 2019 il s'agit du Rollup 9

Ces correctifs inclus le patch des vulnérabilités critiques de Mars et corrigent un problème de visualisation de fichiers PDF au sein de OUTLOOK !l). Les failles détectées au mois d'Avril ne sont pas patchées. Il faut donc appliquer un correctif (KB5001779).

Pour corriger la faille votre serveur Exchange doit être en version 2013, 2016 ou 2019.

Par ailleurs vous devez avoir installé les derniers Rollups (Cumulatif Update appelée généralement CU).

Voici donc les correctifs minimum nécessaires pour appliquer le patch

  • Exchange Server 2013 (CU 23)
  • Exchange Server 2016 (CU 20 ou CU 19)
  • Exchange Server 2019 (CU 9 ou CU 8)

 

Voici la liste complète des correctifs Exchange vous y trouverez également les liens pour télécharger les cumulatif update.

exchange cumulatif update
Le tableau officiel des correctifs Exchange

Etape 1 - Vérifier la version de son serveur Exchange

Avant de vous lancer vérifiez donc que votre version exchange dispose du correctif minimum nécessaire au patch.

Vous pouvez exécuter cette commande Powershell dans l'Exchange Management Shell

exchange management shell

Get-ExchangeServer | Format-List Name,Edition,AdminDisplayVersion

La commande vous renvoie alors la version complète de votre version Exchange (15.X.X) , comparez ce numéro avec la liste des versions exchange disponible sur la page officiel de Microsoft.

build exchange
voici le résultat de la commande pour mon serveur Exchange 2016.

Dans le cas ou votre version d'Exchange correspond aux pré-requis minimum alors vous pouvez passer à l'étape 3.

Autrement vous devez installer le dernier cumulatif update disponible. Pour les serveurs Exchange 2016 et Exchange 2019 les derniers cumulatifs corrigent les failles de Mars.

Etape 2 - Installer le dernier cumulatif Update

Les cumulatifs update s'installe plutôt facilement. Il faut télécharger et installer celui correspondant à la version de votre serveur Exchange.

Vous devez les télécharger directement sur le site de Microsoft : https://docs.microsoft.com/fr-fr/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019

Attention les correctifs sont volumineux car ils contiennent l’ensemble des fichiers pour une installation complète d’un serveur Exchange ! 

Le correctif est un fichier Iso que vous devez monter, ensuite vous devez exécuter le fichier setup.exe 

contenu iso exchange

Suivez l'assistant d'installation rien à signaler pour effectuer l'installation.

Attention lors de l’installation les services Exchange seront arrêtés, votre serveur de messagerie sera indisponible. Enfin un redémarrage est nécessaire.

Une fois redémarré votre cumulatif update est installé !

Etape 3 - Installer le patch Exchange (faille Avril 2021)

Attention si votre serveur Exchange bénéficie du rollup 20 pour exchange 2016 ou du rollup 9 pour exchange 2019 le correctif est nécessaire !

Votre serveur respecte les prérequis vous devez donc télécharger la mise à jour nécessaire.

  • Pour Exchange 2013, 2016, 2019 il s'agit de la KB5001779
  • Exchange 2010 n'est plus supporté, la dernière mise à jour  la KB5000978

Un lien rapide pour télécharger le correctif est disponible ici :

https://www.catalog.update.microsoft.com/Search.aspx?q=KB5001779

schéma de mise à jour exchange Avril 2021
Schématisation de la mise à jour Exchange pour Avril 2021 (source Microsoft)

En fonction de la version de votre serveur Exchange ET du Cumulatif Update installé les liens de téléchargements sont différents. Voici la liste des patchs pour corriger la faille exchange de mars 2021.

Patchs Exchange 2019

Patchs Exchange 2016

Patch Exchange 2013

Patch Exchange 2010 (uniquement pour faille mars 2021)

Une fois le fichier télécharger laissez-vous guider pour installer le patch. Un redémarrage est nécessaire.

patch exchange kb5001779
Début d'installation du correctif d'Avril 2021 pour Exchange
Bravo vous avez patché votre serveur Exchange !

Source complète et Officiel de Microsoft : https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617

Tutos-Info

Commentaires

Le 19 mars 2021 à 14 h 25 min, Tutos-Info a dit :


Tutoriel mis à jour avec les tout derniers rollup de exchange 2016 et 2019. Ces derniers Rollup corrigent les failles.


Votre réponse sera révisée par les administrateurs si besoin.

Le 16 avril 2021 à 17 h 27 min, CASTELNAU a dit :


Bonjour,

mise a jour du KB sur windows 2013 CU 23.
OK
en revanche, à la suite de ce patchage, gros problème de synchronisation (activeSync) avec les iphones IOS 14


Votre réponse sera révisée par les administrateurs si besoin.

Le 15 mars 2021 à 13 h 44 min, Patrice a dit :


Merci pour le tuto .... Toujours aussi claire les docs de Microsoft , à force de les lire , tu sais plus par ou commencer et la en allant droit au But c'est vraiment plus clair et efficace !!! Merci


Votre réponse sera révisée par les administrateurs si besoin.

Le 15 mars 2021 à 19 h 08 min, Tutos-Info a dit :


bon courage pas de soucis ?


Votre réponse sera révisée par les administrateurs si besoin.

Le 5 mars 2021 à 9 h 15 min, Alex a dit :


Merci pour ce tuto très clair !!!
Concernant le passage des CU, est-il nécessaire de passer l'exchange en mode maintenance au préalable ? Si oui, il serait intéressant de l'ajouter dans votre tuto ;o)


Votre réponse sera révisée par les administrateurs si besoin.

Le 5 mars 2021 à 10 h 35 min, Tutos-Info a dit :


Hello, de mon côté je préviens le responsable informatique pour la maintenance. Je ne l'ai pas passer en maintenance.
Il faut bien penser également à vérifier que les services exchange sont démarrés après la maj :p


Votre réponse sera révisée par les administrateurs si besoin.

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.