De manière discrète Microsoft a corrigé un bug affectant Windows Security de Windows 11. Depuis plusieurs mois l’application de sécurité indique à tort un souci avec le service LSA (Local Security Authority).
Ce problème est apparu en mars dernier après la publication de la mise à jour KB5007651. A l’époque tout ne s’est pas déroulé comme prévu puisque rapidement de nombreux rapports sont apparus indiquant un souci de sécurité. Une fausse alerte est apparue. Le système d’exploitation (Windows 11 22H2 et 21H2) indiquait à tort que « La protection de l’autorité de sécurité locale est désactivée. Votre appareil peut être vulnérable ». Cette protection LSA empêche l’injection de code et réduit la possibilité de compromettre les informations d’identification.
LSA ou l’autorité de sécurité locale ou encore Local Security Authority Process (LSASS) est une fonction très importante pour ne pas dire critiques du système de sécurité de Windows. Elle fait partie d’un ensemble œuvrant à authentifier l’identité d’un utilisateur au cours du processus d’ouverture de session. Ses tâches sont multiples allant de la création de jetons d’accès pour des sessions de connexion unique à la surveillance des changements de mot de passe en passant par un regard sur les tentatives de connexion. Vous pouvez facilement vérifier, via le gestionnaire des tâches, qu’elle fonctionne en permanence en tâche de fond (processus Isass.exe). Avec Windows 11 Microsoft a introduit la protection du sous-système de l’autorité de sécurité. L’idée est d’utiliser la virtualisation matérielle pour isoler le processus LSA dans un conteneur empêchant ainsi l’accès à de possibles acteurs ou applications malveillants.
Il a fallu attendre plusieurs jours pour que la défaillance soit officiellement reconnue. Dans une mise à jour du document de support Microsoft a indiqué
Des ingénieurs travaillent avec diligence pour trouver une solution. Après avoir installé […] KB5007651 vous pouvez recevoir une notification de sécurité ou un avertissement indiquant : « La protection de l’autorité de sécurité locale est désactivée. Votre appareil peut être vulnérable », et une fois la protection activée, votre appareil Windows peut constamment indiquer qu’un redémarrage est nécessaire.
A l’origine KB5007651 était censés améliorer la sécurité. Il s’agit d’une mise à jour cumulative publiée dans le cadre d’un Patch Tuesday.
Désormais tout ceci est de l’histoire ancienne puisque la situation a enfin trouvé une solution officiellement et surtout définitive. Le correctif est proposé au travers de la mise à jour de la plateforme antimalware Windows Security KB5007651 (Version 1.0.2306.10002).