Protégez vos serveurs WSUS

Quelques jours après la publication de l'avis de sécurité 2718704, le correctif KB2720211 vient d’être mis à disposition par Microsoft pour protéger vos serveurs équipés du rôle Windows Server Update Service (WSUS) y compris s’ils sont pilotés par Configuration Manager (ConfigMgr).

Le contexte est sérieux et mérite toute votre attention. Je vous laisse imaginer les conséquences si votre serveur WSUS était compromis et pouvait déployer des correctifs contenant du code hostile.

La chaîne de confiance entre les agents Windows Update jusqu’à Microsoft Update est aujourd’hui compromise si vous n’appliquez pas ces correctifs. Il semble que le virus Flame se permette d’utiliser une faille détaillée en anglais sur le blog de la sécurité. Déjà, il y a quelques jours, je vous alertais ici d’une opération à réaliser sur vos serveurs de licence TS/RDP.

À l’heure actuelle, il n’est pas envisagé de distribuer ce correctif pour les serveurs WSUS par le biais de WSUS lui-même. La raison est probablement que cette démarche ne permettrait pas de vérifier l’intégrité du correctif dont les empreintes numériques (hash) SHA1 et SHA2 sont indiquées dans l’article de la base de connaissance.