Microsoft publie en urgence un correctif pour Windows
L’éditeur vient de publier en urgence un correctif visant une vulnérabilité affectant Windows et Windows Server déjà exploitée par des pirates.
Microsoft vient de reconnaître qu’une vulnérabilité dans son implémentation du système d’authentification Kerberos permet à un utilisateur d’obtenir de manière illégitime des droits d’administration de domaine : « en se faisant passer pour l’administrateur de domaine, l’attaquant pourrait installer des logiciels, consulter, modifier ou effacer des données, ou créer de nouveaux comptes sur n’importe système connecté au domaine ».
Le bulletin MS14-068 fait partie des deux qui n’ont pas l’objet de correctifs la semaine dernière, à l’occasion de la vague de mises à jour de sécurité de novembre, laquelle a concerné près de 40 vulnérabilités.
Microsoft avait alors choisi de retarder la sortie d’un correctif pour MS14-068 parce que ce dernier avait manifesté, à la dernière minute, des problèmes de stabilité, selon Wolfgang Kandek, directeur technique de Qualys : « c’est une vulnérabilité qui n’a été évoquée qu’en privé, cela ne devrait donc pas avoir d’impact majeur sur la posture de sécurité d’une entreprise. Mais nous savons qu’il y aura au moins un correctif critique pour Windows en décembre. »
Selon Microsoft, un logiciel malveillant peut exploiter cette vulnérabilité pour compromettre l’intégralité du réseau.
Des attaques limitées et ciblées
Microsoft a indiqué que le composant vulnérable est présent dans toutes les versions de Windows, jusqu’à la 8.1, et de Windows Server, jusqu’à 2012 R2. Le correctif pour Windows Server est présenté comme critique.
Bien que les systèmes clients ne soient pas considérés comme des cibles pour une attaque exploitant cette vulnérabilité, l’éditeur conseille les utilisateurs d’ordinateurs de bureau, de portables et de tablettes, d’installer la mise à jour à titre préventif. Il indique par ailleurs avoir reçu des rapports faisant état « d’attaques limitées et ciblées » exploitant la vulnérabilité.
De fait, un attaquant doit au moins disposer d’identifiants valides sur le domaine visé afin de pouvoir exploiter la vulnérabilité. « Le composant affecté est accessible au distance aux utilisateurs disposant de comptes standard avec accès au domaine. Mais ce n’est pas le cas pour les utilisateurs ne disposant d’une identifiant que pour un compte local », précise Microsoft qui a remercié Qualcomm pour lui avoir fait part de la vulnérabilité.
Adapté de l’anglais.