Après les mésaventures d'écrans bleus de la mort de plusieurs utilisateurs Windows XP, Microsoft a ajouté une couche de sécurité à ses mises à jour du noyau Windows afin d'éviter qu'un rootkit ne sème à nouveau le trouble.

bsod (Small)L'affaire avait été largement relayée sur la Toile, donnant lieu à de nombreuses interprétations pas toujours à l'avantage de Microsoft. Dans le cadre de son Patch Tuesday de février 2010, Microsoft avait livré une mise à jour MS10-015 suspectée d'être la cause d'un BSoD ( Blue Screen of Death ) sous Windows XP. Cette mise à jour avait ainsi été temporairement retirée et les critiques envers Microsoft étaient devenues de plus en plus vives.

Microsoft avait fini par identifier la cause du problème, rejetant la faute sur un rootkit dénommé Alueron et préalablement présent sur des ordinateurs. En modifiant l'emplacement du code Windows, la mise à jour MS10-015 n'avait fait que révéler la présence de ce rootkit. " Au redémarrage le code du malware a provoqué un plantage en tentant d'appeler une adresse précise dans le code Windows qui n'était plus celle de la fonction OS ciblée ", avait expliqué Microsoft.

La mise à jour faussement litigieuse qui comblait une vulnérabilité dans le noyau Windows ( dans la machine virtuelle DOS utilisée pour la prise en charge d'applications 16 bits ) avait donc pu effectuer son retour avec toutefois une mesure de précaution notable. Un mécanisme d'analyse permettait de s'assurer d'un contexte sain.

Ce mécanisme d'analyse a été généralisé à toutes les mises à jour du kernel. C'est ainsi le cas pour la mise à jour MS010-021 qui a été livrée dans le cadre du Patch Tuesday de mars en début de semaine :

" Pour toutes nos mises à jour du noyau Windows à venir, nous avons inclus une détection de conditions inhabituelles ou de modifications dans les binaires du kernel. Si de telles conditions sont détectées, la mise à jour retourne une erreur et n'est pas installée "

, précise Microsoft. Gage alors à l'utilisateur de faire le nécessaire pour se débarrasser du nuisible.

Il est sûr que cette analyse anti-rootkit aura une incidence sur le temps d'installation d'une mise à jour. Reste qu'elle ne concerne que les mises jour du noyau qui ne sont pas les plus fréquentes. Il y en a déjà eu certes deux en 2010, mais en 2009 elles ont été au nombre de quatre et deux en 2008.

http://www.generation-nt.com/microsoft-mise-jour-rootkit-noyau-windows-analyse-actualite-998921.html