KB5074992 — Mise à jour de sécurité pour Microsoft Exchange Server Subscription Edition RTM

Aperçu

KB5074992 est une mise à jour de sécurité critique publiée le 10 février 2026 pour Microsoft Exchange Server Subscription Edition RTM. Cette mise à jour corrige plusieurs vulnérabilités de haute gravité qui pourraient permettre aux attaquants de compromettre les environnements Exchange Server par l'exécution de code à distance, l'élévation de privilèges et les attaques de contournement d'authentification.

Systèmes concernés

Cette mise à jour de sécurité s'applique spécifiquement à :

Les organisations utilisant d'autres versions d'Exchange Server doivent consulter les bulletins de sécurité séparés pour les mises à jour applicables.

Vulnérabilités de sécurité corrigées

La mise à jour résout plusieurs vulnérabilités de sécurité critiques :

Exécution de code à distance dans Exchange Web Services

Une vulnérabilité critique dans Exchange Web Services pourrait permettre à des attaquants authentifiés d'exécuter du code arbitraire sur le serveur Exchange. Ce défaut provient d'une validation incorrecte des entrées utilisateur dans les requêtes EWS, pouvant potentiellement conduire à une compromission complète du serveur.

Élévation de privilèges dans Exchange Management Shell

Une vulnérabilité d'élévation de privilèges dans Exchange Management Shell pourrait permettre à des utilisateurs peu privilégiés d'obtenir un accès administratif à Exchange Server. La vulnérabilité affecte l'exécution des cmdlets PowerShell et les contrôles d'accès basés sur les rôles.

Falsification de requête côté serveur dans Outlook Web App

Une vulnérabilité de falsification de requête côté serveur dans Outlook Web App pourrait permettre aux attaquants de faire des requêtes non autorisées vers des ressources réseau internes, exposant potentiellement des informations sensibles ou accédant à des services restreints.

Contournement d'authentification dans Exchange ActiveSync

Une vulnérabilité de contournement d'authentification dans Exchange ActiveSync pourrait permettre un accès non autorisé aux données de boîte aux lettres sans les informations d'identification appropriées, affectant la sécurité de la synchronisation des appareils mobiles.

Détails techniques

La mise à jour de sécurité modifie plusieurs composants principaux d'Exchange Server :

Composants Exchange Web Services

Les mises à jour de Microsoft.Exchange.WebServices.dll et des bibliothèques associées mettent en œuvre une validation d'entrée améliorée et un encodage de sortie pour prévenir les attaques par injection de code. La mise à jour renforce également les mécanismes d'authentification pour les points de terminaison EWS.

Sécurité du Management Shell

Les modifications de Microsoft.Exchange.Management.dll et des modules PowerShell mettent en œuvre des vérifications de permission plus strictes et améliorent l'application des contrôles d'accès basés sur les rôles. Les cmdlets et scripts personnalisés peuvent nécessiter des mises à jour pour maintenir la compatibilité.

Sécurité d'Outlook Web App

Les mises à jour de Microsoft.Exchange.Clients.Owa2.dll incluent une validation d'URL améliorée, une sécurité de proxy renforcée et des politiques de sécurité de contenu plus strictes pour prévenir les attaques SSRF et de script intersite.

Authentification ActiveSync

Les modifications de Microsoft.Exchange.AirSync.dll renforcent l'authentification des appareils mobiles et mettent en œuvre des vérifications de sécurité supplémentaires pour les politiques d'accès aux appareils.

Exigences d'installation

Avant d'installer KB5074992, assurez-vous que les exigences suivantes sont remplies :

• Exigences système : Exchange Server Subscription Edition RTM installé et en cours d'exécution
• Espace disque : Minimum 1 Go d'espace libre sur le lecteur système
• Mémoire : Au moins 2 Go de RAM disponible pendant l'installation
• Services : Tous les services Exchange doivent être en cours d'exécution
• Permissions : Droits d'administrateur local requis

Considérations de déploiement

Pour les environnements d'entreprise avec plusieurs serveurs Exchange :

Déploiements à haute disponibilité

Dans les configurations de groupe de disponibilité de base de données (DAG), installez la mise à jour sur un serveur à la fois pour maintenir la disponibilité du service. Laissez suffisamment de temps entre les installations pour que la réplication de la base de données soit terminée.

Configuration du répartiteur de charge

Retirez temporairement les serveurs des pools de répartiteur de charge pendant l'installation de la mise à jour pour éviter les interruptions de service. Remettez les serveurs dans le pool après avoir vérifié l'installation réussie et le bon fonctionnement du service.

Surveillance et validation

Surveillez les services Exchange et les indicateurs de performance après l'installation. Vérifiez que toutes les fonctionnalités d'Exchange fonctionnent correctement avant de passer à d'autres serveurs.

Vérification post-installation

Après avoir installé KB5074992, effectuez les étapes de vérification suivantes :

Vérification de l'état des services

Get-Service MSExchange* | Where-Object {$_.Status -ne 'Running'}

Vérification de l'installation de la mise à jour

Get-ExchangeServer | Get-WmiObject -Class Win32_QuickFixEngineering | Where-Object {$_.HotFixID -eq 'KB5074992'}

Test de fonctionnalité

• Testez l'accès et la fonctionnalité d'Outlook Web App
• Vérifiez la connectivité de la console de gestion Exchange
• Confirmez la synchronisation des appareils ActiveSync
• Testez l'exécution des cmdlets PowerShell