Après avoir appliqué la mise à jour hors bande KB5039705, devez‑vous encore installer la mise à jour cumulative de mai 2024 KB5037765 ? La réponse courte est : non. KB5039705 remplace KB5037765, incorpore tous ses correctifs de sécurité et y ajoute un correctif critique supplémentaire.
Vue d’ensemble
Depuis Windows 10 1607 / Server 2016, Microsoft utilise un modèle de mises à jour cumulatives : chaque paquet contient l’ensemble des correctifs publiés auparavant pour la même ligne de produit. Lorsqu’un bogue critique se glisse dans une CU (« Patch Tuesday »), l’éditeur publie parfois une mise à jour hors bande (Out‑of‑Band, OOB) pour corriger rapidement la situation sans attendre le mois suivant. Ces OOB restent cumulatives. C’est exactement le cas de KB5039705 pour Windows Server 2019.
Pourquoi une mise à jour OOB ?
KB5037765, publiée le 14 mai 2024, a introduit un problème provoquant un redémarrage inattendu du processus lsass.exe lors de sous‑authentifications Kerberos dans certains scénarios. Comme l’impact était élevé (interruptions de service AD DS, clusters NV‑SQL, etc.), Microsoft a émis le 30 mai 2024 une mise à jour OOB, KB5039705, qui :
- corrige le bogue
lsass.exe; - conserve intégralement les correctifs de sécurité et de fiabilité de KB5037765 ;
- marque KB5037765 comme « superseded » (« remplacée »).
Comparaison détaillée
| Attribut | KB5037765 (14 mai 2024) | KB5039705 (30 mai 2024, OOB) |
|---|---|---|
| Type de publication | Mise à jour cumulative mensuelle (Patch Tuesday) | Hors bande (OOB), cumulative |
| Correctifs de sécurité | Oui – CVE 2024‑XXXXX à CVE 2024‑YYYYY | Identiques (reprise intégrale) |
| Correctifs non‑sécurité | Améliorations diverses (TCP, WinRM, SMB) | Identiques + correctif lsass.exe |
| Statut dans WSUS/MECM | Superseded après installation de KB5039705 | Current / Superseding |
| Redémarrage requis | Oui | Oui (si processeur LSASS affecté en mémoire) |
Conséquence pratique
Dès que KB5039705 est déployée, le moteur de détection des mises à jour (CBS, WUAgent, WSUS ou MECM) considère KB5037765 comme déjà incluse ; toute tentative d’installation manuelle échoue logiquement avec :
0x800F081E – The update is not applicable to your computer.Comment Windows décide qu’une mise à jour est « not applicable » ?
Chaque paquet contient un Package_Identity et une liste SupersededPackages. Lors de la phase EvaluateApplicablePackages, le composant CBS (Component Based Servicing) examine les chaînes SxS :
Pkg: KB5037765
Superseded by: KB5039705
State: Obsolete (4)Si un package obsolète est présenté, CBS renvoie immédiatement 0x800F081E sans tenter la phase ResolveSource. D’où le message observé par les administrateurs MECM.
Workflow recommandé
- Déployer KB5039705 sur tous les hôtes Windows Server 2019, en priorité sur ceux exerçant un rôle AD DS ou nécessitant Kerberos délégué.
- Redémarrer dès que possible pour purger le cache de LSASS et charger les bibliothèques corrigées.
- Vérifier via
Get-HotFixouDISM /Online /Get-PackagesqueKB5039705apparaît dans la liste et queKB5037765est marquée « Superseded ». - Dans MECM/WSUS, décliner KB5037765 ou laisser le statut « Superseded = Yes » afin d’éviter un déploiement inutile.
Scripts de vérification PowerShell
# Liste des mises à jour installées liées à 5039****
Get-HotFix | Where-Object {$_.HotFixID -match '5039'} |
Select-Object HotFixID, InstalledOn
# Vérification de la chaîne supersedence via DISM
dism.exe /online /get-packages /format\:table | findstr 5039
# Rapport HTML rapide
Get-HotFix |
Where {\$*.Description -eq 'Update' -and \$*.InstalledOn -gt (Get-Date).AddMonths(-6)} |
ConvertTo-Html -Property HotFixID, InstalledOn |
Out-File C:\Temp\HotfixReport.htmlImpact sur MECM et WSUS
Les consoles SCCM/MECM s’appuient sur la métadonnée <Superseded>True</Superseded>. Après synchronisation :
- KB5039705 apparaît comme « Latest Cumulative Update ».
- KB5037765 passe en « Superseded = Yes ; Expired = No ». Il est conseillé de la refuser ou de la laisser expirer selon votre politique.
Attention : si vos règles ADR (Automatic Deployment Rules) filtrent sur « IsLatest = True », vérifiez qu’elles capturent bien les OOB ; certaines organisations réservent les OOB au canal pilote.
Questions fréquentes
Q : Puis‑je ignorer KB5039705 si mes serveurs ne rencontrent pas le bug ? Oui, mais uniquement si KB5037765 est déjà déployée et si l’environnement n’utilise pas la sous‑authentification Kerberos concernée. La prochaine CU mensuelle inclura le correctif « lsass ». Q : Dois‑je désinstaller KB5037765 avant d’installer KB5039705 ? Non. La CU OOB écrase automatiquement les fichiers issus de KB5037765. Inutile de revenir en arrière. Q : Pourquoi le Centre de conformité Microsoft Defender ATP ne reflète‑t‑il pas immédiatement l’installation ? Les signaux MDE se basent sur l’ID de Build. Le service peut nécessiter jusqu’à 24 h pour corréler une build intermédiaire « OOB » avec le correctif de sécurité précédent.
Bonnes pratiques de gestion des CU & OOB
- Surveiller les bulletins MSRC : les OOB sont annoncées via le portail de santé (Windows Release Health) et MySecurityNotifications.
- Piloter avant généralisation : déployer d’abord sur un anneau restreint (contrôleurs de test ou DR).
- Documenter les exclusivités : noter dans les runbooks qu’une OOB peut bloquer l’installation d’une CU plus ancienne.
- Séparer l’infrastructure de patch : assurez‑vous que vos serveurs WSUS et MECM reçoivent eux‑mêmes les OOB afin de propager la logique de supersedence.
- Automatiser les contrôles post‑patch : scripts PowerShell, dashboards Log Analytics ou Grafana avec l’API WMI
Win32_QuickFixEngineering.
Étude de cas : domaine Active Directory multi‑sites
Dans une forêt à 20 contrôleurs de domaine répartis sur quatre régions, le redémarrage de lsass.exe a provoqué trois coupures Kerberos de 20 min. Après identification, l’équipe a :
- déployé KB5039705 sur deux DC tests (ring 0) ;
- vérifié l’absence de crashs et la ré‑synchronisation NTDS dans
repadmin /showrepl; - étendu au reste des DC (ring 1) pendant la fenêtre de maintenance hebdomadaire ;
- constaté une baisse de 80 % des tickets « KDC_ERR_S_SERVICE_NOTYET » dans le SIEM.
Morale : même si l’impact initial semblait limité, corriger pro‑activement a réduit le risque latent.
Vérifier la conformité dans Intune
Pour les machines Windows Server inscrites dans Microsoft Intune :
- Créer une Update Ring avec la politique « Allow Optional updates = Enable – Allow KB5039705 ».
- Définir Deadline à 3 jours.
- Utiliser
Device Compliance > Reports > Update Compliancepour filtrer « InstallState ≠ Installed & PackageId = 5039705 ».
Conclusion
KB5039705 est techniquement et fonctionnellement un superset de KB5037765. En l’installant, vous restez couvert pour toutes les vulnérabilités CVE publiées le 14 mai 2024 tout en éliminant le risque de redémarrages lsass.exe. L’erreur « The update is not applicable to your computer » est non seulement normale, mais souhaitable : elle prouve que la logique de remplacement fonctionne. Déployez KB5039705, redémarrez, et surveillez simplement l’arrivée de la CU mensuelle suivante, qui prendra elle‑même le relais.