Faille critique de sécurité : Windows renoue avec le trou RPC

LeMagIT s'en faisait l'écho ce jeudi matin, Microsoft a annoncé la découverte d'une faille critique dans l'ensemble des versions de Windows depuis Windows 2000. Notre confrère de CNIS Mag, Marc Olanié fait le point sur la nature de la menace que Microsoft a finalement dévoilé ce jeudi soir à 22h et invite les entreprises à patcher leurs installations de toute urgence

cnis logo

L’annonce a retenti comme un petit coup de tonnerre, dans la nuit du 22 octobre :  « rustine « hors calendrier» à prévoir dans la nuit de jeudi 23 à vendredi 24. Faille kernel variant d’importante à critique, RSSI, restez à l’écoute, tous les éclaircissements vous seront donnés ce jeudi soir à 10 H, par le biais d’un Webcast spécial. Inscription préalable obligatoire ». Bien entendu, mutisme de rigueur dans les rangs Microsoft France en attendant l’heure fatidique. 


mururoaA l’heure dite, le bulletin Français de Microsoft révélait les dessous de l’affaire : vulnérabilité RPC dans les « server services », de Windows 2000 à Vista et 2008, exploitable à distance sans authentification nécessaire. Le trou de sécurité est jugé critique de 2000 à la génération XP/2003, important sur les systèmes Vista/2008. Tous les détails dans l’alerte MS 08-067. Le défaut, précise Bernard Ourghanlian (Directeur technologie & sécurité chez MS France), était connu des chercheurs du MSRC depuis un certain temps déjà. Mais, depuis peu, des preuves d’exploitation « underground » laissaient clairement entendre que le problème avait manifestement été découvert par d’autres.

Le mélange « faille RPC/exploitation à distance/Pre-auth » a déjà prouvé son instabilité. Souvenons-nous. C’était avec cette même formule chimique qu’est né, en 2003, Blaster (rpc), Sasser (lsass) et ses cousins. Et une simple requête Google « faille RPC » ou « requête RPC forgée » dresse en quelques secondes un petit musée des horreurs et pas mal de mauvais souvenirs. « Il n’y a pas, à l’heure actuelle, précise Bernard Ourghanlian, de ver connu exploitant ce défaut. Ce n’était pas non plus le cas lorsque la faille ayant donné naissance à Blaster a été découverte, puis corrigée ». Le message est clair : correctif à déployer de toute urgence, compte-tenu de la rapidité des black hats en matière d’ingénierie inverse.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)