Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Dernier patch critique Exchange : dents en bois et jambe en mousse

27 avril 2021 - 12:05,
Tribune - Charles Blanc-Rolin
Ce mois-ci, comme le mois dernier, Microsoft nous avait réservé une bonne séance de patching sur nos serveurs Exchange. Souvenez-vous [1], le 2 mars, Microsoft, après s’être lui-même fait percer, publiait en urgence un correctif pour quatre vulnérabilités permettant d’exécuter du code arbitraire à distance sans authentification sur une interface OWA exposée sur Internet et obtenir un Webshell qui pourrait éventuellement permettre de prendre le contrôle de l’ensemble du SI.

Dans son patch tuesday du 13 avril, Microsoft remet ça, et nous annonce quatre nouvelles vulnérabilités permettant de réaliser quasiment la même chose [2], à corriger rapidement en déployant le correctif KB5001779 [3] sur une version Cumulative Update supportée. Les vulnérabilités remontées par la NSA [4] ne sont apparemment pas encore exploitées, ou la NSA a fini de faire ce qu’elle avait à faire avec… à vous de juger. Mais quand Kevin Beaumont prend la peine de dire qu’il faut patcher [5], il vaut mieux l’écouter.

Il faut patcher, alors patchons !

Pour commencer, le correctif n’est pas disponible via Windows Update.

Celui-ci n’a pas été publié dans l’urgence pourtant, mais bien dans le cycle classique, ça commence bien.
Qu’à cela ne tienne, allons le chercher sur le site de Microsoft [3].
Passage en mode maintenance pour ceux qui ont le privilège d’avoir une batterie de serveurs Exchange, application des correctifs de sécurité Windows, redémarrage, vérification à l’aide du script HealthChecker [6] de la version de CU et de l’application du correctif du mois dernier si la dernière CU n’est pas installée et c’est parti pour le déploiement du correctif KB5001779, redémarrage et sortie du mode maintenance.
Nouvelle surprise, l’index de recherche est cassé. Là on commence à se dire que contrairement au sketch de Pierre Palmade [7], on n’a pas le choix, c’est « dents et bois ET jambe en mousse ».
Après quelques investigations, on s’aperçoit rapidement que le service « HostControllerService » a été désactivé dans la bataille.

 

Très bien, réactivons le service, et si nécessaire nous pourrons récupérer le catalogue depuis un autre serveur.
L’index réparé, il n’y a plus qu’à redistribuer ses bases de données au serveur à jour.

Nouvelle surprise, certains utilisateurs, dont les boîtes aux lettres sont hébergées sur le serveur n’accèdent plus à l’interface OWA.

Une partie des fichiers n’ont pas été copiés pour la dernière version de l’interface.
Ils sont quand même sympas chez Microsoft, ils nous ont laissé un script avec l’installation pour y remédier.
Exécutons le script.

 [PS] C:\Windows\system32>cd $exbin

[PS] C:\Program Files\Microsoft\Exchange Server\V15\Bin>.\UpdateCas.ps1

Les utilisateurs accèdent de nouveau à leur messagerie, nous voilà sauvés !
Le répit aura été de courte durée, voilà que les administrateurs de boîtes aux lettres n’accèdent plus à l’interface ECP !

Apparemment, ce sera donc aussi, « tête de veau ET bras de neuf mètres » !

Là encore, peut-être que personne ne vous l’a dit, mais Microsoft nous a encore laissé un script pour remédier à ce problème en rétablissant les fichiers de configuration, vraiment, sympa !

[PS] C:\Windows\system32>cd $exbin

[PS] C:\Program Files\Microsoft\Exchange Server\V15\bin>.\UpdateConfigFiles.ps1

Vérification de l’application du patch avec HealthChecker [6], tout fonctionne ? Allez, maintenant que votre premier serveur est enfin patché et opérationnel, passons aux autres, maintenant que l’on connaît le menu…

Si vous n’avez pas encore patché, vous savez ce qu’il vous attend…
Prenez votre mal en patience, vous n’avez pas le choix… [7] 


[1] /article/4144/vulnerabilites-0-day-a-la-chaine-rssi-sous-antidepresseurs-et-dsi-sous-amphetamines.html

[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28480

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28481

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28482

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28483

[3] https://support.microsoft.com/fr-fr/topic/description-de-la-mise-%C3%A0-jour-de-s%C3%A9curit%C3%A9-pour-microsoft-exchange-server-2019-2016-et-2013-dat%C3%A9e-du-13-avril-2021-kb5001779-8e08f3b3-fc7b-466c-bbb7-5d5aa16ef064

[4] https://www.cbsnews.com/news/nsa-microsoft-vulnerabilities-microsoft-exchange-email-app/

[5] https://twitter.com/GossiTheDog/status/1382016434289704960

[6] https://github.com/dpaulson45/HealthChecker

[7] https://www.dailymotion.com/video/x1f1n7

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Vu à SantExpo 2025 : le CHU d’Amiens obtient l’accord officiel des archives départementales pour son Système d’Archivage Electronique avec la solution HYDMedia de Dedalus

Vu à SantExpo 2025 : le CHU d’Amiens obtient l’accord officiel des archives départementales pour son Système d’Archivage Electronique avec la solution HYDMedia de Dedalus

26 mai 2025 - 15:41,

Actualité

- Pauline Nicolas, DSIH

Lors d’une session au sein de l’auditorium Dedalus, Jacques Delamarre, Responsable Parcours Patient au CHU d’Amiens a témoigné de la genèse qui a conduit à l’adoption de la solution SAE HYDMedia de Dedalus dans son établissement et des principaux apports de cette solution. Un SAE doit intégrer un l...

Illustration Vu à SantExpo 2025 | Pour une sortie d’hospitalisation coordonnée et sécurisée : la promesse de Careside, la plateforme d'orchestration des parcours de santé

Vu à SantExpo 2025 | Pour une sortie d’hospitalisation coordonnée et sécurisée : la promesse de Careside, la plateforme d'orchestration des parcours de santé

22 mai 2025 - 18:09,

Actualité

- Pauline Nicolas, DSIH

Plateforme d’orchestration de services humains et digitaux pour les parcours de santé, Careside démontre sa capacité à répondre à un enjeu crucial pour les établissements de santé : la sécurisation des sorties d’hospitalisation. Autre point fort à relever dans cette agora, Careside s’inscrit dans la...

Illustration Les avantages de lier les rétrocessions au Dossier Pharmaceutique

Les avantages de lier les rétrocessions au Dossier Pharmaceutique

22 mai 2025 - 10:30,

Communiqué

- Computer Engineering

En développant un lien direct entre son logiciel Rétro et le Dossier Pharmaceutique du patient, l’éditeur Computer Engineering améliore la sécurisation de la dispensation des médicaments rétrocédés. Et les équipes hospitalières gagnent du temps…

Illustration Vu à SantExpo 2025 | De l’international à la France : comment la donnée peut réinventer les systèmes d’information de santé – la vision de La Poste Santé & Autonomie et de ses partenaires

Vu à SantExpo 2025 | De l’international à la France : comment la donnée peut réinventer les systèmes d’information de santé – la vision de La Poste Santé & Autonomie et de ses partenaires

21 mai 2025 - 22:50,

Actualité

- Pauline Nicolas, DSIH

Dédiée à la transformation du système de santé à travers la data et comment la data peut réinventer le système d’information hospitalier, cette nouvelle agora se présente sous la forme d’un panorama en deux langues car tournée vers l’international. Entre exemple catalan et vision française d’un écos...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.