Mises à jour de sécurité de janvier 2022 avec des dommages collatéraux massifs dans Windows

Microsoft a publié des mises à jour de sécurité pour le 11 janvier 2022 pour toutes les versions de Windows prises en charge, qui doivent corriger diverses vulnérabilités et bugs. Entre autres, Microsoft indique avoir résolu un problème Windows Server dans lequel les attributs Active Directory ne sont pas écrits correctement lors d’un processus de modification LDAP (Lightweight Directory Access Protocol) avec plusieurs modifications d’attributs spécifiques. Toutefois, la mise à jour pose également d’importants problèmes.

Dès la nuit du 12 janvier 2022, des administrateurs nous ont contactés pour nous signaler des difficultés rencontrées par les contrôleurs de domaine sous Windows Server 2012 R2 en lien avec la mise à jour KB5009624 (Monthly Rollup for Windows 8.1 and Windows Server 2012 R2) et la mise à jour KB5009595 (Security Only Quality Update for Windows 8.1 and Windows Server 2012 R2).

Le processus lsass.exe (ou wininit.exe) déclenche un redémarrage cyclique du serveur Windows concerné sur les machines affectées car un conflit d’accès génère l’erreur 0xc0000005. L’intervalle dans lequel ces redémarrages sont forcés peut aller jusqu’à 15 minutes. Alors qu’il n’était question au départ que de Windows Server 2012 R2 en relation avec les contrôleurs de domaine, il existe entre-temps également des messages indiquant que les contrôleurs de domaine (DC) sous Windows Server 2016, 2019 et 2022 sont concernés. Le problème ne se produit pas dans tous les scénarios, les conditions exactes qui déclenchent le problème sont pour l’instant inconnues.

Les administrateurs concernés n’ont actuellement que la possibilité de désinstaller les mises à jour respectives du 11 janvier 2022. Cela peut être fait dans une invite de commande administrative avec ces commandes :

wusa /uninstall /kb:5009595 /quiet
wusa /uninstall /kb:5009624 /quiet

Les numéros KB correspondants à la version du serveur doivent être insérés dans la commande ci-dessus. Dans les commentaires du blog de l’auteur (ainsi que sur reddit.com), les administrateurs déconseillent de faire revenir les snapshots en arrière afin de ne pas provoquer de rollbacks USN. Si les redémarrages sont trop rapides, il peut être utile de couper la connexion réseau du contrôleur de domaine. Il devrait alors rester suffisamment de temps pour désinstaller les mises à jour, ont indiqué les personnes concernées.

Un contrôleur de domaine Windows Server 2019 peut rester bloqué à 100 % dans la barre de progression après la désinstallation de la mise à jour, environ 20 minutes après le redémarrage. Dans ce cas, il faut faire preuve de patience jusqu’à ce que la désinstallation soit terminée.

Les administrateurs ont une mauvaise surprise après l’installation de la mise à jour KB5009624 pour Windows Server 2012 R2, lorsque les disques sont formatés dans le système de fichiers ReFS. Sur le blog de l’auteur, un administrateur a indiqué qu’après l’installation de la mise à jour, « tous les disques ReFs sont au format RAW ». La désinstallation de cette mise à jour récupère la prise en charge de ReFS. D’autres administrateurs confirment cette observation.

La mise à jour de sécurité KB5009624 pour Windows Server 2012 R2 a pour effet d’empêcher le démarrage des hôtes Hyper-V sur de nombreux systèmes. Il en va de même pour la mise à jour KB5009586 pour Windows Server 2012. L’hôte Hyper-V déclenche l’erreur suivante au démarrage : « Erreur d’initialisation : L’ordinateur virtuel n’a pas pu être démarré car l’hyperviseur ne s’exécute pas ». La désinstallation des mises à jour concernées résout ce problème, comme le confirment les personnes concernées.

Les mises à jour KB5009566 pour Windows 11 et KB5009543 pour Windows 10 20H2 – 21H2 empêchent l’établissement de connexions VPN avec L2TP over IPSEC via les clients Windows concernés, ont rapporté les personnes concernées. Lors de la tentative de connexion, l’erreur « The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer » s’affiche.

Le problème est désormais confirmé sur reddit.com ainsi que dans le post de la communauté technique Windows 11 Update (KB5009566) inhibits VPN connection. L’erreur a pour conséquence que les connexions VPN aux appliances Cisco Meraki MX, Ubiquiti ou Meraki MX, par exemple, échouent. Les passerelles de Mikrotik et Fortigate ainsi que les instances SonicWall ne peuvent plus être atteintes non plus. Jusqu’à présent, la seule solution dans tous les cas est de désinstaller les mises à jour de sécurité du 11 janvier 2022 mentionnées ci-dessus.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici