Microsoft indique que la mise à jour de l’antivirus Microsoft Defender KB5007651 déclenche des avertissements de sécurité Windows sur les systèmes Windows 11 indiquant que la protection de l’autorité de sécurité locale (LSA) est désactivée.
La protection LSA est une fonctionnalité de sécurité qui protège les informations sensibles telles que les informations d’identification contre le vol en bloquant l’injection de code LSA non fiable et le vidage de la mémoire du processus.
De nombreux rapports d’utilisateurs indiquent que « la protection de l’autorité de sécurité locale est désactivée. Votre appareil peut être vulnérable ». des avertissements s’affichent même lorsque la protection LSA est activée, comme l’a rapporté lundi breachtrace.
Aujourd’hui, Microsoft a reconnu qu’il s’agissait d’un nouveau problème connu qui amenait les appareils Windows concernés à avertir de manière persistante qu’ils étaient vulnérables et qu’un redémarrage était nécessaire après avoir basculé sur la protection LSA.
Redmond indique que les alertes de redémarrage persistantes ne s’afficheront que sur les systèmes exécutant Windows 11 21H2 et 22H2.
« Après avoir installé ‘Mise à jour pour la plate-forme antimalware Microsoft Defender Antivirus – KB5007651 (Version 1.0.2302.21002)’, vous pouvez recevoir une notification de sécurité ou un avertissement indiquant que ‘La protection de sécurité locale est désactivée. Votre appareil peut être vulnérable.’ et une fois les protections activées, votre appareil Windows peut constamment demander qu’un redémarrage soit nécessaire », explique Redmond.
« Ce problème affecte uniquement la ‘Mise à jour pour la plate-forme antimalware Microsoft Defender Antivirus – KB5007651 (Version 1.0.2302.21002).’ Toutes les autres mises à jour Windows publiées le 14 mars 2023 pour les plateformes concernées (KB5023706 et KB5023698) ne causent pas ce problème. »
Solution de contournement disponible
Microsoft indique qu’il travaille sur un correctif pour les problèmes d’avertissement persistants de la protection LSA et fournira plus d’informations dès qu’elles seront disponibles.
La société propose également une solution de contournement pour les clients concernés jusqu’à ce qu’une résolution soit disponible, leur demandant d’ignorer les notifications de redémarrage.
« Si vous avez activé la protection de l’autorité de sécurité locale (LSA) et que vous avez redémarré votre appareil au moins une fois, vous pouvez ignorer les notifications d’avertissement et ignorer toute notification supplémentaire demandant un redémarrage », indique la société.
Pour vérifier si LSA a effectivement démarré en mode protégé sur votre ordinateur au démarrage de Windows, vous pouvez rechercher l’événement WinInit suivant dans les journaux système sous Journaux Windows : « 12 : LSASS.exe a été démarré en tant que processus protégé avec le niveau : 4 »
Bien que breachtrace ait signalé que les avertissements peuvent être ignorés en ajoutant deux entrées de registre, Microsoft indique qu’il « ne recommande aucune autre solution de contournement pour ce problème ».
Redmond a également annoncé plus tôt ce mois-ci qu’il activerait la protection de l’autorité de sécurité locale (LSA) par défaut pour les initiés de Windows 11 dans le canal Canary si leurs systèmes réussissent une vérification d’audit d’incompatibilité (Microsoft n’a pas encore expliqué les problèmes de compatibilité qu’il vérifie).