Comment patcher son serveur Exchange (faille Avril 2021)

Microsoft a publié un correctif d'urgence pour les versions Exchange 2010, 2013, 2016 et 2019.
En Avril ne te découvre pas d'un fil comme on dit .. eh bien sachez qu'une nouvelle faille de sécurité importante a été détectée et officiellement annoncée le 13 Avril par la NSA.
Cette faille permet d'exécuter du code puis d'avoir la main sur le serveur en passant par le protocole https (port 443).
Pour aller au plus simple voici un guide pour patcher rapidement son serveur de messagerie Exchange.
Bien évidemment si vous êtes sur Microsoft 365 (Exchange Online) vous n'êtes pas concerné !
Sommaire
Pré-requis pour patcher votre serveur Exchange
Mise à jour 14 Avril 2021
Refonte du tuto avec les dernières KB pour patcher les failles du mois d'Avril.
Il est fortement recommandé de passer sur les derniers Rollups et d''appliquer la KB !
Mise à jour 19 Mars 2021
Microsoft a publié le 16 mars un nouveau rollup pour exchange 2016 et exchange 2019.
Pour Exchange 2016 il s'agit du Rollup 20
Pour Exchange 2019 il s'agit du Rollup 9
Ces correctifs inclus le patch des vulnérabilités critiques de Mars et corrigent un problème de visualisation de fichiers PDF au sein de OUTLOOK !l). Les failles détectées au mois d'Avril ne sont pas patchées. Il faut donc appliquer un correctif (KB5001779).
Pour corriger la faille votre serveur Exchange doit être en version 2013, 2016 ou 2019.
Par ailleurs vous devez avoir installé les derniers Rollups (Cumulatif Update appelée généralement CU).
Voici donc les correctifs minimum nécessaires pour appliquer le patch
- Exchange Server 2013 (CU 23)
- Exchange Server 2016 (CU 20 ou CU 19)
- Exchange Server 2019 (CU 9 ou CU 8)
Voici la liste complète des correctifs Exchange vous y trouverez également les liens pour télécharger les cumulatif update.

Etape 1 - Vérifier la version de son serveur Exchange
Avant de vous lancer vérifiez donc que votre version exchange dispose du correctif minimum nécessaire au patch.
Vous pouvez exécuter cette commande Powershell dans l'Exchange Management Shell
Get-ExchangeServer | Format-List Name,Edition,AdminDisplayVersion
La commande vous renvoie alors la version complète de votre version Exchange (15.X.X) , comparez ce numéro avec la liste des versions exchange disponible sur la page officiel de Microsoft.

Dans le cas ou votre version d'Exchange correspond aux pré-requis minimum alors vous pouvez passer à l'étape 3.
Autrement vous devez installer le dernier cumulatif update disponible. Pour les serveurs Exchange 2016 et Exchange 2019 les derniers cumulatifs corrigent les failles de Mars.
Etape 2 - Installer le dernier cumulatif Update
Les cumulatifs update s'installe plutôt facilement. Il faut télécharger et installer celui correspondant à la version de votre serveur Exchange.
Vous devez les télécharger directement sur le site de Microsoft : https://docs.microsoft.com/fr-fr/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019
Le correctif est un fichier Iso que vous devez monter, ensuite vous devez exécuter le fichier setup.exe
Suivez l'assistant d'installation rien à signaler pour effectuer l'installation.
Une fois redémarré votre cumulatif update est installé !
Etape 3 - Installer le patch Exchange (faille Avril 2021)
Votre serveur respecte les prérequis vous devez donc télécharger la mise à jour nécessaire.
- Pour Exchange 2013, 2016, 2019 il s'agit de la KB5001779
- Exchange 2010 n'est plus supporté, la dernière mise à jour la KB5000978
Un lien rapide pour télécharger le correctif est disponible ici :
https://www.catalog.update.microsoft.com/Search.aspx?q=KB5001779

En fonction de la version de votre serveur Exchange ET du Cumulatif Update installé les liens de téléchargements sont différents. Voici la liste des patchs pour corriger la faille exchange de mars 2021.
Patchs Exchange 2019
- Patch Exchange 2019 Cumulative Update 9 (KB5001779)
- Patch Exchange 2019 Cumulative Update 8 (KB50001779)
Patchs Exchange 2016
- Patch Exchange Server 2016 Cumulative Update 20 (KB5000871)
- Patch Exchange Server 2016 Cumulative Update 19 (KB5000871)
Patch Exchange 2013
Patch Exchange 2010 (uniquement pour faille mars 2021)
Une fois le fichier télécharger laissez-vous guider pour installer le patch. Un redémarrage est nécessaire.

Source complète et Officiel de Microsoft : https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617
Commentaires
Le 19 mars 2021 à 14 h 25 min, Tutos-Info a dit :
Tutoriel mis à jour avec les tout derniers rollup de exchange 2016 et 2019. Ces derniers Rollup corrigent les failles.
Le 16 avril 2021 à 17 h 27 min, CASTELNAU a dit :
Bonjour,
mise a jour du KB sur windows 2013 CU 23.
OK
en revanche, à la suite de ce patchage, gros problème de synchronisation (activeSync) avec les iphones IOS 14
Le 15 mars 2021 à 13 h 44 min, Patrice a dit :
Merci pour le tuto .... Toujours aussi claire les docs de Microsoft , à force de les lire , tu sais plus par ou commencer et la en allant droit au But c'est vraiment plus clair et efficace !!! Merci
Le 15 mars 2021 à 19 h 08 min, Tutos-Info a dit :
bon courage pas de soucis ?
Le 5 mars 2021 à 9 h 15 min, Alex a dit :
Merci pour ce tuto très clair !!!
Concernant le passage des CU, est-il nécessaire de passer l'exchange en mode maintenance au préalable ? Si oui, il serait intéressant de l'ajouter dans votre tuto ;o)
Le 5 mars 2021 à 10 h 35 min, Tutos-Info a dit :
Hello, de mon côté je préviens le responsable informatique pour la maintenance. Je ne l'ai pas passer en maintenance.
Il faut bien penser également à vérifier que les services exchange sont démarrés après la maj :p
Laisser un commentaire