Comme nous l’indiquions hier, Microsoft a corrigé en urgence cette nuit une vulnérabilité critique pour Windows. Celle-ci cible le service Serveur de Windows et, comme au bon vieux temps des grandes épidémies, elle permettrait de prendre le contrôle des ordinateurs sous Windows 2000, XP et Server 2003 sans intervention de l’utilisateur (via une connexion RPC). Les éditions Vista et Server 2008 sont mieux lotties, puisqu’elles exigent d’être capable de s’authentifier sur la machine ciblée ou d’appartenir au même Domaine Windows. La menace demeure ainsi toutefois pour les réseaux internes des entreprise.

La vulnérabilité a été découverte en enquêtant sur des attaques ciblées contre des entreprises équipées de Windows XP. Elle est donc déjà exploitée dans un cercle restreint de pirates. Et aujourd’hui de nouveaux codes d’exploitation – publics ceux-là – sont disponibles sur Internet.

Nous avons joint Bernard Ourghanlian, Directeur Technique & Sécurité chez Microsoft France, afin de faire le point sur cette vulnérabilité.

LNN : Les dernières versions de Windows, telles Vista, Server 2008 et Windows 7, sont moins exposées à cette vulnérabilité. Que risquent-elles exactement ?

Windows Vista, Windows Server 2008 et même la dernière build de Windows 7 sont mieux lottis car les scénarios d’attaque sont beaucoup plus difficiles à exploiter. Il est nécessaire d’être en mesure de s’authentifier sur la machine ou être sur le même domaine. On envisage plutôt un déni de service les concernant. Ce n’est pas négligeable mais c’est nettement moins grave qu’en ce qui concerne les versions précédentes de Windows.

LNN : peut-on s’attendre à un ver utilisant cette vulnérabilité prochainement ?

Il y a un certain nombre d’exploits déjà opérationnels mais encore aucun n’a été intégré à un ver. Ceci dit, nous ne sommes fondamentalement pas très loin d’un Zotob ou d’un Blaster, qui sont apparus dans des conditions similaires. Nous sommes cependant aujourd’hui mieux préparés. Depuis Blaster, beaucoup de PC sont protégés par un pare-feu personnel, notamment celui apporté par le Service Pack 2 de Windows XP. Et les machines grand public sont maintenant plus souvent équipées de Windows Vista. Sur ces dernières, le mécanisme d’ASLR (« [randomisation de l’espace d’adressage | http://fr.wikipedia.org/wiki/Address_space_layout_randomization] ») rend en outre le développement d’un exploit plus compliqué.

Attention toutefois : une machine protégée par le pare-feu Windows sera tout de même vulnérable si le partage des fichiers et des imprimantes est activé.

LesNouvelles.net : Pourquoi cette vulnérabilité est-elle passée entre les mailles du programme « Security Development Lifecycle » de Microsoft et des autres procédures de contrôle mises en oeuvre depuis 2001 ?

Bernard Ourghanlian :

Nous aurions clairement du trouver cette vulnérabilité plus tôt, c’est

un loupé. Nous n’allons toutefois pas communiquer tout de suite sur la

raison exacte de ce raté mais nous y reviendrons. Nous n’avons aucune

raison de cacher des choses, l’objectif est que la méthode SDL soit la

plus publique possible. Mais nous voulons d’abord aller à la racine du

problème, afin entre autre de faire évoluer SDL. Cela n’a d’ailleurs rien

d’exceptionnel : la méthode évolue environ tous les six mois, afin

d’intégrer justement les enseignements des erreurs précédentes.