Attention aux attaques Exchange, si vous sautez le Patch Tuesday de mars

La disponibilité du Patch Tuesday du mois de mars offre une bonne occasion de faire le point sur la façon de gérer les mises à jour de Microsoft et de se donner un peu de temps avant d'installer quoi que ce soit. En général, une semaine ou deux suffissent à identifier les effets secondaires les plus graves et à trouver des solutions de contournement. (C’est ce que je conseille aussi pour les mises à jour de fonctionnalités. J'attends que la prochaine version soit prête avant d'installer la version actuelle. La méthode m'a été bien utile pour éviter les effets secondaires des mises à jour problématiques). Donc, avant l’arrivée des correctifs de Microsoft, voici ce qu'il faut faire : cliquez sur « Démarrer », allez dans « Paramètres », puis « Mise à jour et sécurité », « Windows update », et cherchez les « Options avancées ». Faites défiler la liste jusqu'à la section « Suspendre les mises à jour » et sélectionnez une date spécifique. Au minimum, le système propose une suspension automatique de 7 jours après la livraison du Patch Tuesday en cours pour laisser le temps de traiter les problèmes éventuels. La sélection de date permet de suspendre le processus pendant 5 semaines au plus. Pour ma part, j’applique toujours le patch pendant un week-end, quand j'ai plus de temps pour traiter les effets secondaires. Pour cette fois, la date du 27 mars me parait un bon choix. D'ici là, nous aurons identifié les problèmes éventuels.

Alors que la plupart des entreprises sautent des mises à jour et ne les appliquent qu'une fois par an (ou plus), je trouve que mes propres machines réagissent bien aux correctifs - et que les problèmes sont moins nombreux - si je m'en tiens à ce processus d'installation différé, sans ignorer complètement une version. L'installation d'une version de fonctionnalités permet également de rafraîchir les composants de mise à jour de Windows, ce qui peut aussi contribuer à corriger un certain nombre de problèmes de mise à jour. Par exemple, un de mes postes de travail fonctionnait mal et provoquait une erreur de mise à jour de Windows, et aucune commande sfc/scannow ou DISM ne parvenait à corriger la corruption sous-jacente à l'origine du problème. J'avais deux choix : soit faire une mise à jour sur site, soit utiliser la page de téléchargement du logiciel Windows 10 pour corriger le problème, puisque j’étais en retard d'une version sur la mise à jour de fonctionnalités. J'ai cliqué sur « Mettre à jour maintenant » et le système s'est mis à niveau vers Windows 10 20H2, ce qui a permis de résoudre le problème. Une de mes machines a aussi reçu de nouveaux composants de mise à jour de Windows pour la prise en charge des futurs updates. Au début, l'installation de ces mises à jour de fonctionnalités réinitialisait les imprimantes, affectait la vidéo et rendait le processus stressant. Apparemment, il semble que Microsoft a entendu le message des entreprises qui déclaraient que « ce n’était pas acceptable de les obliger à changer pour changer ». Et l’éditeur a fait en sorte que ces mises à jour soient relativement indolores.

Mises à jour délicates 

Cela dit, si vous utilisez toujours Windows 10 1909 sur un PC équipé d'un pilote audio Conexant, Microsoft est toujours incapable de fournir une correction automatique qui permette de passer à la version Windows 10 2004, également dénommée 20H2. Si vous êtes dans ce cas, cliquez sur la boîte de recherche et tapez « device manager ». Allez à la section du pilote audio et cliquez sur la flèche > pour développer les rubriques. Trouvez ensuite le pilote audio Conexant et cliquez sur le bouton droit de la souris pour le désinstaller. Pas de panique : quand la version de fonctionnalité sera installée, elle remettra le bon pilote pour votre système. Une fois le pilote supprimé, allez à la page de téléchargement du logiciel Windows 10 et cliquez sur le bouton « Mettre à jour maintenant » pour installer la version 20H2. Si vous êtes en version 1909, le processus peut prendre un certain temps, surtout si vous n'avez pas de lecteur SSD. Mais une fois l'installation terminée, votre système prendra automatiquement en charge le pilote audio Conexant et sera prêt à fonctionner correctement.

Maintenant que j’ai incité tout le monde à passer en 20H2, je vous recommande de fixer la version cible sur 20H2. Pour cela, je vous conseille d'utiliser la méthode de la clé de registre pour conserver la version Windows 10 20H2 sur votre machine jusqu'à ce que vous soyez prêt à passer à la 21H1. Même si cette version 21H1 ne modifie pas grand-chose, il est préférable d'éviter tout événement qui pourrait perturber le fonctionnement de votre ordinateur. Dès sa sortie, je rendrais compte de tout problème éventuel.

Attention aux attaques ciblant Exchange

Si la suspension d’une mise à jour est toujours une bonne chose pour les utilisateurs, la situation des entreprises est un peu différente. Surtout quand, comme la semaine dernière, le serveur de messagerie électronique de Microsoft, Exchange, est victime d'attaques. Si votre petite entreprise utilise encore un serveur de messagerie électronique sur site, l’exposition à ces attaques n’est pas à prendre à la légère. En premier lieu, si vous utilisez toujours un serveur Small Business Server 2011, obsolète et incluant Exchange 2010, la bonne nouvelle, c’est que cette ancienne plateforme n’est pas affectée par les vulnérabilités découvertes dans Exchange 2013, 2016 et 2019. Le 2 mars dernier, Microsoft a publié une mise à jour hors bande pour cette plateforme, alors que les attaquants ciblaient activement les nouvelles plateformes Exchange. Toutes souffrent d'une vulnérabilité permettant à des attaquants de prendre le contrôle du système - sans s'authentifier sur la machine - et éventuellement obtenir un accès total. Comme la plupart des serveurs de messagerie de Microsoft configurent Outlook Web Access sur un port web (port 443), de nombreux serveurs étaient exposés à ces attaques.

Dans un premier temps, l’éditeur a déclaré que les attaques étaient ciblées, et non généralisées. Chaque fois que je lis ce genre de commentaire, je traduis par : « seules les grandes entreprises sont victimes d'attaques ciblées et j'ai le temps de surveiller les effets secondaires avant d'installer les mises à jour ». Sauf que, les attaquants sont rapidement passés d'attaques ciblées à des attaques généralisées visant toute personne utilisant un serveur Exchange.

Les attaques se multiplient contre les outils Microsoft

En conclusion, si votre petite entreprise utilise le courrier électronique et que vous avez externalisé vos opérations IT, faites-en sorte de les contacter et de leur demander s'ils doivent examiner votre serveur de messagerie pour détecter une éventuelle intrusion. Vous devrez peut-être autoriser votre consultant à reconstruire votre serveur de messagerie et à changer tous les mots de passe utilisés sur vos systèmes afin de garantir que les attaquants ne puissent pas y accéder. Pour être clair, cela ne concerne que les entreprises qui hébergent encore leur courrier électronique sur un serveur autonome, et non le courrier électronique hébergé sur le cloud avec Microsoft 365. Si vous avez un doute, vérifiez que vous n'avez pas été touché. Entre l’attaque SolarWinds et ces attaques Exchange, les entreprises utilisant les produits Microsoft n’ont pas été gâtées cette année en matière de sécurité.