Microsoft propose le Patch Tuesday de septembre 2021 : KB5005565 pour les PC sous Windows 10 20H1, 20H2 ou 21H1.
Son installation permet au système d’exploitation d’évoluer en version 19041.1237, 19042.1237 et 19043.1237. Ces numéros sont importants. Ils
permettent de s’assurer que le processus s’est déroulé sans problèmes.
Pour les dénicher il suffit de lancer winver.exe dans Exécuter (WIN+R).
QUOI DE NEUF ?
Microsoft corrige 60 failles (86 en intégrant Chromium pour Edge) dans plusieurs produits : Azure, Edge (Android, Chromium et iOS), Office,
SharePoint Server, Windows, Windows DNS et le sous-système Windows pour Linux.
Il y a 32 vulnérabilités dont 30 sont jugées importantes et deux critiques. Il s’agit de vulnérabilités affectant le moteur de script
Windows et le service Windows WLAN AutoConfig.
Dans le premier car elle permet une corruption de mémoire et dans le second cas il est possible d’exécuter du code à distances. Elles sont identifiées sous les références
CVE-2021-26435
https://msrc.microsoft.com/update-guide ... 2021-26435
et
CVE-2021-36965
https://msrc.microsoft.com/update-guide ... 2021-36965
Les administrateurs devront en priorité colmater deux vulnérabilités zero day. La première est connue sous le nom CVE-2021-40444.
https://msrc.microsoft.com/update-guide ... 2021-40444
Elle a un niveau de gravité de 8,8 sur échelle de 10 et affecte Windows Server 2008 à 2019 et Windows 8.1 à 10.
La faille tire parti du moteur de rendu MSHTML (Trident) utilisé par Internet Explorer pour ouvrir et lire les documents Office.
Un pirate peut créer un fichier bureautique malveillant, l’envoyer par e-mail, et si l’utilisateur clique sur le document, la faille permet à l’attaquant de prendre le contrôle du PC. «
Un pirate pourrait créer un contrôle ActiveX malveillant utilisé dans un document Office hébergeant le moteur de rendu du navigateur »,
précise Microsoft. Exploitée activement, la brèche est donc à combler rapidement.
Lire également
https://www.kaspersky.fr/blog/cve-2021- ... tml/17575/
L’autre trou de sécurité connu sous le classement CVE-2021-36968
https://msrc.microsoft.com/update-guide ... 2021-36968 était la dernière des vulnérabilités de type PrintNightmare qui restait encore béante.
Print nightmare.png
Il s’agissait là d’une petite dizaine de bugs dans les spouleurs d’impression de Windows que des pirates pouvaient utiliser pour des élévations de privilèges ou des exécutions de code à distance. Ce qui a été notamment fait au mois d’août par différents groupes de hackers, tels que Magniber, Vice Society, Bazar Loader ou Purple Fox.
Le chercheur français Benjamin Delpy, qui avait révélé cette dernière faille, a d’ailleurs confirmé le bon fonctionnement de ce patch.
Le cauchemar est donc bel et bien terminé, à condition bien sûr d’installer ces mises à jour.
En plus de corriger la vulnérabilité, Delpy a déclaré à BleepingComputer que Microsoft avait désactivé la fonctionnalité CopyFiles par défaut
et ajouté une stratégie de groupe non documentée qui permet aux administrateurs de la réactiver.
Cette stratégie peut être configurée dans le Registre Windows sous la clé
et en ajoutant une valeur nommée CopyFilesPolicy .
Lorsqu'il est défini sur « 1 », CopyFiles sera à nouveau activé.
Cependant, même lorsqu'il est activé, Delpy a déclaré à BleepingComputer qu'il autoriserait uniquement l'utilisation de C:\Windows
\System32\mscms.dll avec cette fonctionnalité.
Comme ce changement affectera le comportement par défaut de Windows, on ne sait pas quels problèmes cela entraînera lors de l'impression sous
Windows.
Microsoft n'a publié aucune information sur cette nouvelle stratégie de groupe pour le moment et elle n'est pas disponible dans l'éditeur de
stratégie de groupe.
Dans le lot se trouvent des correctifs pour les vulnérabilités CVE-2021-38647, CVE-2021-38648, CVE-2021-38645 et CVE-2021-38649. Elles
constituent ce que Wiz.io a découvert et baptisé Omigod.
Sur Twitter, Ami Luttwak, directeur technique de Wiz.io, souligne la simplicité d’exploitation : une simple requête http suffit pour réussir
à exécuter à distance du code arbitraire sur un hôte affecté.
En fait, Omigod concerne un agent d’administration déployé sur certaines machines virtuelles Linux instanciées sur Azure, explique Wiz.io,
dans un billet de blog : l’agent OMI, pour Open Management Infrastructure.
Cet agent est notamment déployé sans fanfare ni trompette lorsque les services suivants sont utilisés : Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management, Azure Diagnostics.
Selon Wiz.io, plusieurs milliers de clients Azure et plusieurs millions d’hôtes pourraient être concernés : « sur un petit échantillon de
tenants Azure que nous avons analysés, plus de 65 % étaient concernés ». Qui plus est, OMI est utilisé par System Center pour Linux : les
environnements Azure ne sont donc pas les seuls concernés.
PROBLEMES CONNUS
Des problèmes commencent à surgir pour des cas particuliers (Il y a des solutions provisoires)
"Désormais, aucun de nos ordinateurs ne peut imprimer sur le réseau, ils ne peuvent imprimer que sur des imprimantes locales. Tenter de
réinstaller les imprimantes génère l'erreur « Windows ne peut pas se connecter à l'imprimante » et la file d'attente d'impression affiche un
état « Accès refusé » pour les travaux en attente".
Voir les solutions ici
https://www.reddit.com/r/windows/commen ... r_2012_r2/
https://www.reddit.com/r/sysadmin/comme ... nightmare/
Autres, décrites par des utilisateurs
- "Ce patch empêche le fonctionnement des imprimantes partagées en usb erreur 0x0000011b"
Là c'est en lien avec le pilote :
https://docs.microsoft.com/fr-be/window ... ancel-lock
- Lors de l'installation j'ai l’erreur 0x800f0922
Cette erreur est connue et est valable aussi sous Win11
https://www.malekal.com/impossible-inst ... solutions/
- Sous Windows 10 « toutes versions » nous avons la résolution d’un problème affectant PowerShell. Il engendre la création d’un nombre infini
de répertoires enfants. La défaillance apparait si la commande Move-Item est utilisée pour déplacer un répertoire vers l’un de ses enfants.
Le volume se met alors à se remplir et le système cesse de répondre.
Deux problèmes connus depuis juin et sans correctif sont de la partie.
Après avec installé la mise à jour cumulative KB003690 du 21 juin 2021, certains PC peuvent ne plus être en mesure d’installer de nouvelles mises à jour. L’opération se solde par l’erreur « PSFX_E_MATCHING_BINARY_MISSING
». Ensuite l’utilisation d’une image ISO personnalisée pour installer Windows 10 peut supprimer Microsoft Edge Legacy, mais sans le remplacer
par Microsoft Edge basé sur Chromium. Dans ce cas il faut procéder manuellement à son installation.
KB5005565 est normalement distribuée automatiquement par les services Windows Update et WSUS. Vous pouvez aussi procéder à son téléchargement manuel pour une installation « hors ligne ».
Elle est disponible sur le service en ligne Microsoft Update Catalog
https://www.catalog.update.microsoft.co ... =KB5005565
_____________
Edit : En Complément
Ces problèmes n'affectent que les utilisateurs utilisant la fonction Microsoft Exploit Protection Export Address Filtering (EAF), qui est utilisée pour détecter les opérations dangereuses utilisées par le code malveillant ou les modules d'exploitation.
Le problème a été constaté également pour imprimer à partir d'un serveur d'impression sous Windows Server 2012 R2 et Windows Server 2016. Cela ne veut pas dire que le problème n'existe pas avec Windows Server 2019.
- Suite à l'installation de la mise à jour, les machines Windows 10 ne peuvent plus imprimer sur les imprimantes réseau à partir d'un serveur d'impression.
- L'impression sur une imprimante connectée en USB continue de fonctionner même après l'installation du patch.
- Le problème a été constaté sur des imprimantes HP, Canon, Konica Minolta, SHARP et des imprimantes à étiquettes, que ce soit pour les pilotes de type 3 ou de type 4.
- La seule solution pour le moment serait de désinstaller la mise à jour sur vos machines, en attendant d'avoir une réaction de la part de Microsoft.
soit les KB5005565 et KB5005101
CORRECTIF PROVISOIRE
Windows Server 2022
https://download.microsoft.com/download ... %2001.msi
Windows 10, version 2004, Windows 10, version 20H2 et Windows 10, version 21H1
https://download.microsoft.com/download ... 1%2001.msi
Windows 10, version 1909
https://download.microsoft.com/download ... 1%2001.msi
Windows 10, version 1809, Windows Server 2019
https://download.microsoft.com/download ... %2001.msi
En invite de commande (CMD) en mode admin
Windows Sever 2022:
Code : Tout sélectionner
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides /v 2801335948 /t REG_DWORD /d 0 /f
Windows 10, version 2004, Windows 10, version 20H2 and Windows 10, version 21H1:
Code : Tout sélectionner
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides /v 2767781516 /t REG_DWORD /d 0 /f
Windows 10, version 1909:
Code : Tout sélectionner
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides /v 928713355 /t REG_DWORD /d 0 /f
Windows 10, version 1809, Windows Server 2019:
Code : Tout sélectionner
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides /v 2371422858 /t REG_DWORD /d 0 /f
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.