La diffusion du Patch Tuesday de Microsoft ne s’est pas déroulée comme prévu le 12 août. Il était initialement prévu la livraison de 9 bulletins de sécurité IT, permettant de colmater 41 brèches dans les produits et solutions Windows.
Mais il y a eu un accroc : de nombreux utilisateurs ont observé un plantage de PC après update. L’impact est global mais dans quelle mesure il affecte les entreprises et les PC installés dans les foyers. Difficile d’évaluer le préjudice : à 90%, les ordinateurs dans le monde tournent sous Windows (presque 50% sous Windows, 13% pour Windows 8 et déclinaison Windows 8.1 et 27% sous Windows XP), selon un relevé de NetApplications.com du mois d’avril.
En urgence, Microsoft modifie le bulletin MS14-045 pour Windows malgré son caractère « important » puis l’exclut du Patch Tuesday en raison des « vulnérabilités dans les pilotes en mode noyau qui pourraient permettre une élévation de privilèges ».
Cette mise à jour de sécurité avait pour objectif de modifier la façon dont Windows traite les objets possédés par le thread, la façon dont les fichiers de police spécialement conçus sont traités en mémoire par Windows et la façon dont la mémoire est allouée. L’alerte concerne plusieurs générations Windows (Vista à Windows 8.1) et Windows Server (2003, 2008, 2012).
« Cette mise à jour de sécurité corrige trois vulnérabilités signalées confidentiellement dans Microsoft Windows », précise Microsoft dans la version 2.0 de ce bulletin de sécurité (initialement publié le 12 août et mis à jour le 15 août).
« La plus grave de ces vulnérabilités pourrait permettre une élévation de privilèges si un attaquant se connectait au système et exécutait une application spécialement conçue. Pour exploiter ces vulnérabilités, l’attaquant doit disposer d’informations d’identification valides afin d’ouvrir une session en local. »
Les administrateurs réseaux n’ont pas de temps à perdre. « Ces questions sont importantes », estime Wolfgang Kandek, Chief Technical Officer de Qualys (gestion automatique des vulnérabilités), dans une contribution blog pour réagir. « Surtout lorsque vous considérez la disponibilité d’exploits ‘1-day’ (1) : les pirates sont en mesure de pratiquer du reverse engineering (2) à partir des patches diffusés et de concevoir de nouveaux vecteurs d’attaque. »
Nous remercions les quelques lecteurs d’ITespresso.fr qui ont apporté leurs témoignages après avoir constaté le crash à leurs dépens (voir les commentaires sous l’article). « Mon PC à redémarrer pour installer ces mises à jour et impossible de le rallumer, Windows bootait plus, tiret blanc clignotant, obligé de tout réinstaller ! », estime Maoxu. « J’avais eu le même soucis avec ces correctifs défectueux. En gros ça rends corrompu le fichier MBR nécessaire pour le boot », observe Poney33.
Sur l’espace communauté de Microsoft France, on trouve quelques contributions post-Patch Tuesday qui semblent associées à ces perturbations qui ont dérouté les utilisateurs finaux.
Ainsi, JeanVaux raconte ses mésaventures dans un post du 16 août. « J’ai un portable Asus N76VZ avec windows pro 8.1 x64. Hier j’ai installé toutes les mises à jour disponibles depuis le mercredi 13 août 2014. L’installation s’est bien passée. Mais lors de l’arrêt, l’ordinateur représente la demande du mot de passe utilisateur du bios. Ceci en boucle. A chaque fois que je rentre le mot de passe, il le redemande. Pour Arrêter, j’ai été obligé d’utiliser le bouton de mis sous tension. »
Tout en poursuivant : « Mais au démarrage suivant, windows m’a présenté l’écran de récupération. Après un essai de démarrage normal, sans succès, j’ai fait une récupération à l’état précédant la mise à jour. L’ordinateur a bien redémarré plusieurs fois. J’ai refait une mise à jour en ne sélectionnant que les mises à jour recommandées. Et je suis tombé sur les mêmes symptômes. »
Dans ce bulletin MS14-045 fâcheux, Microsoft émet deux recommandations pour s’en sortir. Pour le grand public, il vaut mieux recourir aux mises à jour automatiques quand elles sont activées (via Windows Update, la mise à jour de sécurité sera téléchargée et installée automatiquement).
Pour les administrateurs réseaux et systèmes d’information en entreprise, il faut adopter une procédure manuelle : un logiciel de gestion des mises à jour ou procéder aux mises à jour adéquates via le service Microsoft Update.
C’est le genre de désagrément que veut éviter Microsoft : un Patch Tuesday mal ficelé qui tombe juste après la session Black Hat à Las Vegas réunissant les pros de la sécurité IT. Au-delà de son image ternie, l’éditeur est conscient des enjeux associés à la livraison mensuelle du Patch Tuesday au regard du poids de Windows sur le marché informatique et de sa place centrale dans les infrastructures IT en entreprise.
Régulièrement, des chercheurs viennent aider Microsoft pour dénicher des failles dans ses produits phares. Et l’éditeur se montre parfois généreux avec des « chasseurs de bugs ». Ainsi, fin 2013, en révélant une faille critique dans ce qui allait devenir Windows 8.1, le chercheur en sécurité informatique James Forshaw s’est vu attribuer une récompense de 100 000 dollars de la part de la firme de Redmond.
Difficile de se rappeler dans les archives ITespresso d’un tel ramdam associé à la diffusion d’un Patch Tuesday. Jadis, on a évoqué des soucis d’incompatibilités entre des correctifs de sécurité de Microsoft et des logiciels tiers (conflit avec des outils antivirus ou Skype en 2007).
Dans les générations OS Windows, la mise à jour de Windows XP vers le Service Pack 3 avait laissé aussi un mauvais souvenir en mai 2008 : reboot intempestifs, disque dur non reconnu, incompatibilité…
En se tournant vers l’avenir, cette dernière péripétie Patch Tuesday sonne comme un avertissement alors qu’une version préliminaire de Windows 9 (nom de code : Threshold) est escomptée à la fin du mois de septembre.
(1) Exploitation de failles juste après que l’éditeur ait livré une nouvelle version d’une application mal colmatée
(2) Le fait d’étudier un programme pour en déterminer le fonctionnement
Credit photo : Shutterstock.com – Droit d’auteur : GlebStock
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…