KB5074994 — Mise à jour de sécurité pour Microsoft Exchange Server 2019 CU14

Aperçu

KB5074994 est une mise à jour de sécurité critique publiée le 10 février 2026 pour Microsoft Exchange Server 2019 Cumulative Update 14. Cette mise à jour corrige plusieurs vulnérabilités de haute gravité qui pourraient permettre aux attaquants de compromettre les serveurs Exchange via l'exécution de code à distance, l'élévation de privilèges, la divulgation d'informations et les attaques par déni de service.

Vulnérabilités de sécurité corrigées

Cette mise à jour résout quatre vulnérabilités de sécurité critiques identifiées dans Exchange Server 2019 CU14 :

CVE-2026-0847 : Exécution de code à distance dans le traitement des e-mails

Une vulnérabilité critique dans le moteur de traitement des e-mails d'Exchange Server permet aux attaquants authentifiés d'exécuter du code arbitraire sur le serveur. La vulnérabilité provient d'une validation incorrecte des pièces jointes et du contenu des messages, permettant l'exécution de code malveillant via des e-mails spécialement conçus. Cette vulnérabilité a un score CVSS de 8,8 et nécessite une attention immédiate.

CVE-2026-0848 : Élévation de privilèges dans le Centre d'administration Exchange

Une vulnérabilité d'élévation de privilèges dans le Centre d'administration Exchange permet aux utilisateurs authentifiés d'obtenir des privilèges administratifs via une validation incorrecte des permissions. Les attaquants pourraient exploiter cette vulnérabilité pour effectuer des opérations administratives non autorisées et prendre le contrôle total de l'environnement Exchange. La vulnérabilité affecte l'implémentation du contrôle d'accès basé sur les rôles (RBAC).

CVE-2026-0849 : Divulgation d'informations dans Outlook Web Access

Une vulnérabilité dans Outlook Web Access pourrait permettre un accès non autorisé à des données utilisateur sensibles et des informations de configuration. Le problème affecte la gestion des sessions et les mécanismes d'authentification, exposant potentiellement le contenu des boîtes aux lettres et les détails de configuration du serveur à des utilisateurs non autorisés.

CVE-2026-0850 : Déni de service dans Exchange Web Services

Une vulnérabilité de déni de service dans Exchange Web Services permet aux attaquants de provoquer une interruption de service via des requêtes SOAP malformées. La vulnérabilité pourrait être exploitée pour rendre les services Exchange non réactifs, impactant la fonctionnalité des e-mails dans toute l'organisation.

Systèmes affectés

Cette mise à jour de sécurité s'applique spécifiquement à :

La mise à jour nécessite Windows Server 2019 ou Windows Server 2022 comme système d'exploitation sous-jacent. Les installations d'Exchange Server 2019 sur des versions antérieures de Windows Server ne sont pas prises en charge pour cette mise à jour.

Détails techniques de l'implémentation

La mise à jour de sécurité modifie plusieurs composants principaux d'Exchange Server pour corriger les vulnérabilités identifiées :

Mises à jour du moteur de traitement des e-mails

La mise à jour améliore les composants Microsoft.Exchange.Data.Transport et Microsoft.Exchange.MailboxTransport avec des mécanismes de validation et de nettoyage des entrées améliorés. Ces changements empêchent l'exécution de code malveillant via les pièces jointes et le contenu des messages tout en maintenant la compatibilité avec les flux de traitement des e-mails légitimes.

Renforcement de l'interface administrative

Les améliorations de sécurité du Centre d'administration Exchange incluent une validation renforcée des permissions dans le composant Microsoft.Exchange.Management.ControlPanel. La mise à jour implémente des vérifications d'autorisation supplémentaires et améliore la validation du contrôle d'accès basé sur les rôles pour empêcher l'élévation de privilèges non autorisée.

Améliorations de la sécurité de l'interface Web

La sécurité d'Outlook Web Access a été améliorée grâce à des modifications du composant Microsoft.Exchange.Clients.Owa2. La mise à jour implémente des contrôles d'accès appropriés, une gestion améliorée des sessions et un nettoyage des données amélioré pour prévenir les vulnérabilités de divulgation d'informations.

Améliorations de la fiabilité des services

La fiabilité des Exchange Web Services a été améliorée grâce à une validation des requêtes et une gestion des ressources améliorées dans le composant Microsoft.Exchange.Services. La mise à jour inclut des mécanismes de limitation de débit et de régulation des requêtes pour prévenir les attaques par déni de service.

Considérations de déploiement

Les organisations devraient prioriser le déploiement de KB5074994 en raison de la nature critique des vulnérabilités corrigées. La mise à jour peut être déployée via des outils de gestion des mises à jour d'entreprise standard, y compris WSUS, SCCM et l'installation manuelle à partir du Microsoft Update Catalog.

Exigences préalables à l'installation

Avant d'installer la mise à jour, assurez-vous que :

• Exchange Server 2019 CU14 est correctement installé et fonctionne
• Tous les services Exchange fonctionnent normalement
• Un espace disque suffisant est disponible (minimum 2 Go d'espace libre)
• Une sauvegarde actuelle de la configuration et des bases de données du serveur Exchange existe

Impact de l'installation

Le processus d'installation nécessite une interruption temporaire des services Exchange. Planifiez l'installation pendant les fenêtres de maintenance programmées pour minimiser l'impact sur les opérations de messagerie. La mise à jour se termine généralement en 30 à 45 minutes, selon la configuration et les performances du serveur.

Vérification post-installation

Après avoir installé KB5074994, vérifiez que tous les services Exchange fonctionnent correctement :

Get-Service MSExchange* | Where-Object {$_.Status -ne 'Running'}
Test-ServiceHealth
Get-ExchangeServer | Test-SystemHealth

Surveillez les journaux du serveur Exchange pour tout message d'erreur ou avertissement pouvant indiquer des problèmes d'installation. Vérifiez que Outlook Web Access, le Centre d'administration Exchange et les Exchange Web Services sont accessibles et fonctionnent normalement.

Évaluation de l'impact sur la sécurité

Les vulnérabilités corrigées par KB5074994 posent des risques significatifs pour les environnements Exchange Server. La vulnérabilité d'exécution de code à distance pourrait permettre aux attaquants de prendre le contrôle total des serveurs Exchange, tandis que la vulnérabilité d'élévation de privilèges pourrait permettre un accès administratif non autorisé. Les organisations devraient traiter cette mise à jour comme critique et la déployer dès que possible.

La vulnérabilité de divulgation d'informations pourrait exposer le contenu sensible des e-mails et les données de configuration, entraînant potentiellement des violations de données et des violations de conformité. La vulnérabilité de déni de service pourrait perturber les opérations de messagerie et affecter la continuité des activités.