Microsoft a annoncé avoir procédé à des « améliorations de la sécurité des périphériques Windows qui analysent WSUS » lors du patch Tuesday de septembre. Seulement ces améliorations pourraient empêcher les postes sous Windows 10 d’obtenir la prochaine cumulative Update.
Avec la mise à jour cumulative de septembre 2020 de Windows 10, l’éditeur a introduit des modifications obligeant une communication sécurisée entre le WSUS et l’OS client.
Explications
Pour garantir que vos périphériques restent intrinsèquement sécurisés, Microsoft n’autorise plus les serveurs intranet basés sur HTTP à tirer parti par défaut du proxy utilisateur pour détecter les mises à jour. Si vous disposez d’un environnement WSUS non sécurisé avec le protocole TLS/HTTPS et qu’un périphérique nécessite un proxy pour se connecter aux serveurs WSUS intranet et que ce proxy n’est configuré que pour les utilisateurs (et non pour les périphériques), l’analyse des mises à jour WSUS ne fonctionnera plus après la mise à jour cumulative de septembre 2020.
Lorsqu’un périphérique reçoit des mises à jour directement de Microsoft Update, celui-là reçoit des métadonnées de mise à jour directement des serveurs Microsoft. Ces métadonnées sont toujours transmises via HTTPS pour prévenir la falsification. Lorsque vous utilisez WSUS ou Configuration Manager pour gérer les mises à jour de votre organisation, les métadonnées de mise à jour se déplacent des serveurs Microsoft vers vos appareils via une chaîne de connexions. Chacune de ces connexions doit être protégée contre les attaques malveillantes.
Votre serveur WSUS se connecte aux serveurs Windows Update et reçoit des métadonnées de mise à jour. Cette connexion utilise toujours HTTPS, et les fonctionnalités de sécurité HTTPS protègent les métadonnées contre la falsification. Si plusieurs serveurs WSUS sont organisés dans une hiérarchie, les serveurs en aval reçoivent des métadonnées des serveurs en amont. Vous avez le choix ici soit d’utiliser HTTP soit d’utiliser HTTPS pour ces connexions de métadonnées. L’utilisation de http cependant, peut être très dangereuse car elle brise la chaîne de confiance et peut vous laisser vulnérable aux attaques. L’utilisation de HTTPS permet au serveur WSUS de prouver qu’il fait confiance aux métadonnées qu’il reçoit du serveur WSUS en amont.
Comment faire ?
Afin de maintenir la chaîne de confiance et de prévenir les attaques sur vos ordinateurs clients, vous devez vous assurer que toutes les connexions de métadonnées au sein de vos organisations (les connexions entre les serveurs WSUS en amont et en aval, et les connexions entre les serveurs WSUS et vos ordinateurs clients) sont protégées contre les attaques. Pour ce faire, il est fortement recommandé de configurer votre infrastructure WSUS à l’aide de HTTPS.
Pour en savoir plus, consultez-le post Security de Michael Cureton pour Windows Server Update Services (WSUS). https://techcommunity.microsoft.com/t5/windows-it-pro-blog/security-best-practices-for-windows-server-update-services-wsus/ba-p/1587536
Mais même avec HTTPS configuré, il est toujours très important que vous utilisiez un proxy basé sur le système plutôt qu’un proxy basé sur l’utilisateur si un proxy est nécessaire, bien entendu.
Car lors de l’utilisation d’un proxy basé sur l’utilisateur, un utilisateur, même sans privilèges élevés, peut intercepter et manipuler les données échangées entre le client de mise à jour et le serveur de mise à jour.
Si vous devez utiliser un proxy basé sur l’utilisateur pour détecter les mises à jour lors de l’utilisation d’un serveur intranet basé sur HTTP, malgré les vulnérabilités qu’il présente, assurez-vous de configurer le comportement proxy pour « Allow user proxy to be used as a fallback if detection using system proxy fails.»
Vous pouvez le paramétrer par GPO :
- Chemin d’accès à la stratégie de groupe : Windows Components>Windows Update>Specify intranet Microsoft update service location
Ou MDM
- Chemin d’accès du fournisseur de services de configuration : Update/SetProxyBehaviorForUpdateDetection
Si vous êtes un administrateur qui gère actuellement un environnement WSUS configuré par HTTP et qui s’appuie sur un proxy basé sur l’utilisateur pour les analyses de clients, il vous faut envisager de prendre l’une des actions suivantes. Si aucune de ces actions n’est effectuée, vos appareils cesseront de rechercher les mises à jour logicielles après la mise à jour de septembre 2020.
- Sécurisez votre environnement WSUS avec le protocole TLS/SSL (configurez les serveurs avec HTTPS).
- Configurer un proxy basé sur le système pour détecter les mises à jour si nécessaire.
- Activez la stratégie « Allow user proxy to be used as a fallback if detection using system proxy fails».
Pour lire l’annonce : https://techcommunity.microsoft.com/t5/windows-it-pro-blog/changes-to-improve-security-for-windows-devices-scanning-wsus/ba-p/1645547