Microsoft a intégré un nouveau module à Exchange qui mettra en place automatiquement les mesures d'atténuation lorsqu'une nouvelle faille de sécurité est dévoilée. Ce nouveau composant se nomme "Microsoft Exchange Emergency Mitigation (EM)"
Les CU22 and CU11 pour Exchange 2016 et 2019 contiennent cette nouvelle fonctionnalité de sécurité supplémentaire :
- L'idée n'est pas de vous protéger définitivement, mais temporairement, en attendant que vous ayez le temps d'installer le correctif de sécurité. Cela est valable aussi quand Microsoft n'a pas encore sorti le correctif, afin de vous protéger. Retenez que cela ne remplace pas les patchs de sécurité.
- Cela installe un service Windows Exchange qui vérifie une fois par heure si une atténuation contre une vulnérabilité est disponible et l’installe le cas échéant,
- Cette fonctionnalité est optionnelle et peut être désactivée
- Seules les vulnérabilités jugées critiques auront une atténuation.
Le composant EM peut appliquer trois types d'atténuation :
- Règle de réécriture d'URL dans IIS : Créer une règle pour bloquer les requêtes HTTP sur une URL spécifique
- Gestion des services Exchange : Désactiver un service Exchange vulnérable
- Gestion des pools d'applications : Désactiver un pool d'applications vulnérable
La mise en place de cette nouvelle fonctionnalité nécessite :
- l'installation du module IIS URL Rewrite, qui s’ajoute désormais aux prérequis systèmes à l’installation/mise à jour d’Exchange.
- Le serveur doit accéder à l’url https://officeclient.microsoft.com/getexchangemitigations
- Si Windows Server 2012 R2 est utilisé pour Exchange 2016, il faut installer la KB2999226.
Lors de l'installation/upgrade, il y a un changement d’accord de licence selon si vous souhaitez partager des données de diagnostics avec Microsoft ou non: Le switch /IAcceptExchangeServerLicenseTerms a été remplacé par:
- /IAcceptExchangeServerLicenseTerms_DiagnosticDataON
- /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF
Vous pouvez activer/désactiver le partage de des données de diagnostics unitairement par serveur avec la commande :
Set-ExchangeServer -Identity <ServerName> -DataCollectionEnabled $false
Vous pouvez activer/désactiver la fonctionnalité EM au niveau de l’organisation, ou au niveau serveur.
Set-OrganizationConfig -MitigationsEnabled $false
Set-ExchangeServer -Identity <ServerName> -MitigationsEnabled $false
Après l’application d’un Security Update (SU), la mitigation associée est conservée, il faut retirer la mitigation manuellement
- Les activités des mitigations sont logés dans le journal des évènements des serveurs : (source MSExchange Mitigation Service) et dans le répertoire V15\Logging\MitigationService