Le coup de la panne ce n'est parfois pas toujours agréable. C'est ce qui est arrivé aux utilisateurs d'Exchange Server mi-novembre qui n'ont pu accéder aux services du serveur de messagerie de Microsoft suite à une mise à jour qui a mal tournée. Après installation de l'update Nov 2024 SUv1 lancée le 12 novembre, a en effet débouché sur un "problème de règles de transport dans Exchange Server qui s'arrêtaient après un certain temps dans certains environnements", a expliqué Microsoft. 

Pour revenir à une situation nominale, l'éditeur a fourni différents scénarios de résolution d'incident en fonction de la réaction des entreprises suite à la publication de son patch défectueux. Si Nov 2024 SUv1 a été installé manuellement et que l'entreprise n'utilise pas de règles de transport ou de DLP il est recommandé d'installer le patch Nov 2024 SUv2 pour obtenir un contrôle plus granulaire sur l'en-tête X-MS-Exchange-P2FromRegexMatch. Dans le cas où le premier correctif a été installé à l'aide de la mise à jour Microsoft / Windows et que l'entreprise n'a toujours pas utilisé de règles de transport ou de DLP, alors le serveur téléchargera et installera en décembre le patch SUv2 de novembre 2024. L'update Nov 2024 SUv1 a été installé (manuellement ou automatiquement) puis désinstallé pour résoudre le problème des règles de transport, ou bien ne l'a jamais été ? Alors il faut déployer le correctif Nov 2024 SUv2. Pour pallier la situation, Microsoft a donné la marche à suivre.

Un correctif à l'origine pour enrayer un risque d'usurpation d'identité

Microsoft a, à l'origine, lancé le correctif Nov 2024 SUv1 pour combler une vulnérabilité (CVE-2024-49040) qui faisait partie du dernier patch tuesday permettant à des pirates d’exécuter des attaques d’usurpation d’identité (spoofing) dans Microsoft Exchange Server. "La vulnérabilité est due à l’implémentation actuelle de la vérification de l’en-tête P2 FROM qui se produit dans le transport. Elle permet à certaines en-têtes P2 FROM non conformes À RFC 5322 de passer, ce qui peut conduire le client de messagerie (par exemple, Microsoft Outlook) à afficher un expéditeur falsifié comme s’il était légitime", expliquait le fournisseur le 13 novembre.