Faille Windows : à peine révélée, déjà exploitée
Quelques heures à peine après la divulgation de la faille de sécurité critique de Windows, une société spécialiste de la sécurité dévoile un logiciel permettant d'exploiter le défaut. Microsoft, au courant depuis quelque temps, a-t-il réagi trop tard ?
La polémique risque d'enfler assez vite autour de la faille RPC (Remote Procedure Call) révélée hier. En effet, à peine quelques heures après que Microsoft ait émis son alerte de sécurité MS 08-067 (critique de Windows 2000 à XP et de Windows Server 2000 à 2003), les équipes du spécialiste des tests de pénétration Immunity disposait d'un "exploit", une procédure simple pour exploiter la faille de sécurité de Microsoft. Le logiciel développé par Immunity est disponible uniquement pour les clients de la société. Mais les experts en sécurité s'attendent à ce que le code circulent assez vite en dehors de cette sphère.
Cette exploitation ultra-rapide d'une faille critique risque de mettre la pression sur Microsoft. En effet, si ce dernier a mis à disposition des entreprises un patch et les a incitées à l'appliquer rapidement, le défaut était connu des chercheurs du MSRC (Microsoft Security Response Team) depuis un certain temps déjà, comme l'a précisé hier dans nos colonnes Bernard Ourghanlian, directeur technologie et sécurité de la filiale française du premier éditeur mondial. Ce dernier ne s'étant décidé à mettre en branle la machine à alerter et à patcher que parce que des preuves d’exploitation « underground » laissaient clairement entendre que le problème avait été découvert par d’autres.
Procédure de tests : l'insuffisance des outils
Rappelons que la faille, localisée dans les "server service" de Windows (servant à collecter des ressources réseau comme des imprimantes, des serveurs de fichiers, etc.), permet de prendre le contrôle d'une machine à distance. D'après Immunity, écrire un logiciel exploitant cette faiblesse de l'OS s'avère relativement simple.
Sur son blog, le directeur du programme de sécurité de Microsoft, Michael Howard, estime que les outils exploitant la logique floue mis en place par l'éditeur pour tester ses logiciels - notamment contre les failles par débordement de la mémoire (comme dans le cas présent) - auraient du détecter le défaut en question plus vite.
En 2003, une faille du même type (RPC) avait donné naissance au dévastateur ver Blaster.