A l’occasion du premier Patch Tuesday de l’année 2021, Microsoft a publié une mise à jour de sécurité Windows 7, KB4598279. Ce système d’exploitation est abandonné depuis le mois de janvier 2020.
Cette maintenance ne s’adresse pas à tous les utilisateurs. Elle vise uniquement les PC inscrits au programme payant de mise à jour de sécurité étendue (ESU). Il concerne les entreprises.
La mise à jour en question est KB4598279. Elle colmate des failles affectant Windows App Platform and Frameworks, Windows Graphics, Windows Media, Windows Fundamentals, Windows Cryptography, Windows Virtualization and Windows Hybrid Storage Services. En parallèle nous avons un correctif pour une vulnérabilité autour de la liaison RPC (Printer Remote Procedure Call) et l’authentification pour l’interface Winspool distante.
A tout ceci s’ajoute la résolution d’un souci affectant un domaine MIT . A ce sujet le géant explique
“le souci empêche une domaine MIT (Managed Identily for Application de confiance d’obtenir un ticket du service Kerberos auprès d’un DCs actif (Directory domain controllers ) . Ce problème survient après l’installation des mises à jour Windows qui contiennent les protections CVE-2020-17049 publiées entre le 10 Novembre et le 8 Décembre 2020 et la configuration sur 1 ou plus de PerfromTicketSignature.”
Tous les détails sur l’ensemble de ces correctifs est disponible en fin d’article. Cette mise à jour n’est par contre pas parfaite. Elle s’accompagne de deux problèmes. Le premier est connu, il est issu de précédentes mises à jour. Il est à l’origine d’une erreur lors de l’installation de la mise à jour sur un appareil qui n’est pas inscrit aux programme ESU. Microsoft précise
“Après avoir installé cette mise à jour et redémarré votre appareil, vous pouvez recevoir l’erreur, « Échec de la configuration des mises à jour Windows. Annulation des modifications. N’éteignez pas votre ordinateur », et la mise à jour peut s’afficher comme échoué dans l’historique de mise à jour. “
Windows 7 et KB4598279, note de version
- Addresses a security bypass vulnerability that exists in the way the Printer Remote Procedure Call (RPC) binding handles authentication for the remote Winspool interface. For more information, see KB4599464.
- Addresses a security vulnerability issue with HTTPS-based intranet servers. After you install this update, HTTPS-based intranet servers cannot leverage a user proxy to detect updates by default. Scans that use these servers will fail if the clients do not have a configured system proxy.
If you must leverage a user proxy, you must configure the behavior by using the Windows Update policy Allow user proxy to be used as a fallback if detection using system proxy fails. To make sure that the highest levels of security, additionally leverage Windows Server Update Services (WSUS) Transport Layer Security (TLS) certificate pinning on all devices. For more information, see Changes to scans, improved security for Windows devices.
Note This change does not affect customers who use HTTP WSUS servers.
- Addresses an issue in which a principal in a trusted Managed Identity for Application (MIT) realm does not obtain a Kerberos Service ticket from Active Directory domain controllers (DCs). This issue occurs after Windows Updates that contains CVE-2020-17049 protections released between November 10 and December 8, 2020 are installed and PerfromTicketSignature is configured to 1 or higher. Ticket acquisition fails with KRB_GENERIC_ERROR if callers submit a PAC-less Ticket Granting Ticket (TGT) as an evidence ticket without providing the USER_NO_AUTH_DATA_REQUIRED flag.
- Security updates to Windows App Platform and Frameworks, Windows Graphics, Windows Media, Windows Fundamentals, Windows Cryptography, Windows Virtualization, and Windows Hybrid Storage Services.
Après avoir installé cette mise à jour et redémarré votre appareil, vous pouvez recevoir l’erreur, « Échec de ………… peut s’afficher comme échoué dans l’historique de mise à jour. “
Toujours au Top leur KB de mise à jour