Un correctif de sécurité paralyse le service MSQM de Microsoft

Un patch modifie les permissions du gestionnaire de file de messages (MSMQ) et provoque des dysfonctionnements sur plusieurs équipements critiques. Microsoft recommande d'appliquer une méthode de contournement mais uniquement disponible via son support client.

Le "Patch Tuesday" de décembre a entraîné des perturbations dans le gestionnaire de files de messages (MSMQ), un protocole critique pour de nombreuses entreprises. Créé en 1997, il coordonne le transfert de messages entre les applications au sein de Windows. Le bug a provoqué plusieurs dysfonctionnements dans différents équipements comme les caisses (PoS) des magasins ou des alarmes incendie dans des bâtiments.

Si Microsoft indique dans un avis que le grand public a « très peu de chances » d’être concerné, les environnements professionnels sont en première ligne. Les versions de l’OS les plus touchées incluent Windows Server 2016 et 2019, ainsi que Windows 10 22H2, 21H2, 1809 et 1607

Un problème de permissions

Dan son rapport, la firme de Redmond souligne que la mise à jour KB5071546 entraîne une modification des permissions NTFS dans le dossier C:\Windows\System32\MSMQ\storage. Dans ce cadre, les utilisateurs de MSMQ ont désormais besoin d’un accès en écriture à ce dossier, qui est normalement réservé aux administrateurs. N’ayant pas ce privilège, ils voient « les tentatives d’envoi de messages via les API MSMQ échouer en raison d’erreurs de ressources », précise l’éditeur.

Les dysfonctionnements constatés incluent l’inactivité du service MSMQ, l’échec de serveurs web IIS (Internet Information Services), l’impossibilité pour certaines applications d’écrire dans les files de messages, et des erreurs lors de la création de fichiers dans le répertoire storage*.mq. Ces incidents s’accompagnent souvent de messages trompeurs signalant un manque d’espace disque ou de mémoire, alors que les ressources sont suffisantes. Microsoft indique qu’un contournement est disponible, mais renvoie les entreprises vers son support sans plus de détails.

Une solution de contournement accessible via le support client

En attendant la livraison d’un autre correctif, Microsoft indique qu’une méthode de contournement est possible sans donner de détails. Il invite les entreprises à contacter son support client. Certains experts comme Jack Bicer, directeur de la recherche sur les vulnérabilités chez Action1, préconise une solution temporaire : accorder des droits d’écriture sur le répertoire MSMQ, puis restaurer les permissions initiales dès la publication du correctif. Sur le forum Microsoft Learn, Danny Nguyen, de Wicloud, recommande soit de désinstaller la mise à jour KB5071546, soit d’ajuster les permissions du dossier concerné, tout en appelant à une validation préalable par les équipes de sécurité.

Pour Robert Beggs, responsable de la réponse aux incidents chez DigitalDefence, bien que le problème soit lié à un correctif de sécurité, son impact et son contournement relèvent davantage du support classique que du support sécurité. Il avance que Microsoft pourrait chercher à répartir la charge entre ses équipes pour éviter de saturer le support. Au-delà du correctif lui-même, David Shipley, RSSI chez Beauceron Security s’inquiète des conséquences à long terme. Une mise à jour qui provoque l’arrêt d’applications métiers critiques peut inciter les administrateurs à retarder l’application des correctifs. « Décembre est le mois le plus important pour la grande distribution », rappelle-t-il. « Ce n’est clairement pas le moment de voir des systèmes de point de vente tomber en panne à cause d’un patch. »