Avec une mise à jour du Patch Tuesday de juin, Microsoft échoue

Jul 13, 2023

Par Susan Bradley, rédactrice collaboratrice, Computerworld |

J'ai suivi les correctifs Windows de Microsoft pendant des années et j'ai observé de près tous les changements apportés par l'entreprise. Je me souviens de l’époque où il fallait installer les mises à jour dans un certain ordre – et surveiller laquelle devait être installée en premier. Je me souviens de l'arrivée des correctifs automatisés utilisant Software Update Services (plus tard appelés Windows Server Update Services). J'ai vu comment nous sommes passés d'un système dans lequel chaque vulnérabilité était corrigée individuellement à ce que nous avons maintenant : des correctifs cumulatifs.

Le patch idéal est autonome. Installez, redémarrez, revenez à votre travail. Cela ne provoque aucun effet secondaire. Il protège le système d'exploitation. Et vous l'oubliez parce qu'il fait ce qu'il est censé faire.

De nombreux acteurs du secteur de la sécurité se souviennent d’incidents de sécurité spécifiques et en parlent de manière poétique. J'ai tendance à me souvenir de patchs particuliers et de leurs effets secondaires. Ma préférée était une mise à jour d’il y a longtemps qui déclenchait un écran bleu de la mort. Cette mise à jour particulière, MS10-015, a résolu un problème d'élévation de privilèges en apportant des modifications aux registres du noyau. Le problème : dans certains endroits en dehors des États-Unis, les utilisateurs utilisaient un logiciel qui contournait le besoin d'une clé de licence de produit – et utilisait exactement les mêmes registres pour se connecter au noyau Windows.

Ainsi, lorsque ce correctif a été installé, il a immédiatement déclenché un BSOD et l'ordinateur n'a pas pu être récupéré. Pour identifier la cause profonde, Microsoft est même allé jusqu'à acheter un ordinateur portable auprès d'un client concerné. (L'histoire est racontée dans cette vidéo par Dustin Childs, responsable du Microsoft Security Response Center.)

Avance rapide vers la sortie du Patch Tuesday de ce mois-ci. Il comprenait une mise à jour qui ne protège pas complètement le système d'exploitation jusqu'à ce que quelqu'un déploie des ruches et des clés de registre – des détails qui sont presque enfouis dans l'article de la base de connaissances. Pour le trouver, vous deviez développer la section Windows 10 21H2 pour accéder à un petit lien vers un article supplémentaire de la base de connaissances. Attention, 21H2 a reçu sa dernière mise à jour ce mois-ci. Ainsi, même si Microsoft présente souvent les modifications qui affectent à la fois 21H2 et 22H2 de cette manière dans le même bulletin, il semble étrange d'enfouir ces informations si loin dans l'historique des mises à jour.

Les détails sur l'un des correctifs de juin de Microsoft nécessitent de fouiller dans un article supplémentaire de la base de connaissances.

Les instructions pour prendre des mesures supplémentaires se trouvent dans la section « pour en savoir plus » et il n'est même pas clair que nous devons ajouter manuellement la ruche de registre. Pourquoi cela ne faisait-il pas simplement partie de la mise à jour ? (Le correctif n'inclut même pas les clés de registre dans un paramètre désactivé, les utilisateurs doivent ajouter la ruche entière eux-mêmes.) Puis, jeudi dernier, Microsoft a noté que les étapes manuelles pourraient introduire un « changement potentiel », mais n'a donné aucun un indice sur ce que ce changement pourrait affecter ou même sur ce qu'il faut rechercher.

Microsoft a ajouté à la confusion concernant le correctif avec une note de suivi le 15 juin.

La clé de registre nécessaire est unique à chaque version de Windows 10 et 11 ainsi qu'à Server 2022. Maintenant, il y a de bonnes nouvelles ici. La vulnérabilité est décrite ainsi :

Un utilisateur authentifié (attaquant) pourrait provoquer une vulnérabilité de divulgation d'informations dans le noyau Windows. Cette vulnérabilité ne nécessite pas de privilèges d'administrateur ou d'autres privilèges élevés.

L'attaquant qui parviendrait à exploiter cette vulnérabilité pourrait visualiser la mémoire tas d'un processus privilégié exécuté sur le serveur.

L'exploitation réussie de cette vulnérabilité nécessite qu'un attaquant coordonne l'attaque avec un autre processus privilégié exécuté par un autre utilisateur du système.

En d’autres termes, il s’agirait d’un attaquant s’attaquant à une cible de grande valeur, et non aux consommateurs ou même à de nombreuses entreprises. Et ce ne serait pas une attaque triviale à réaliser, étant donné qu’il faudrait une attaque mixte qui nécessiterait plus de temps et d’efforts. Cela ne minimise toujours pas mes inquiétudes quant à la mauvaise communication concernant cette version particulière, en particulier le manque d'informations sur les effets secondaires qui pourraient survenir. J'ai ajouté manuellement la ruche de registre à un ordinateur Windows 10 22H2 au bureau et à un PC Windows 11 22H2 à la maison et je ne vois aucun impact direct.