icetray - Fotolia
Badlock : beaucoup de communication pour pas grand chose
Le lot de correctifs de Microsoft pour avril couvre Badlock, une vulnérabilité annoncée en fanfare fin mars, qui s’avère moins importantes que d’autres, également ouvertes par l’éditeur.
Microsoft vient de présenter son lot de correctifs d’avril, couvrant un total de 13 vulnérabilités, dont six classées critiques. L’une d’entre elles s’appelle Badlock et affecte Samba. Mais si elle a fait l’objet d’un important effort de publicité par l’Allemand SerNet, à l’origine de sa découverte, elle ne s’avère par critique, selon Microsoft, et plusieurs experts estiment qu’elle n’a pas sa place en tête des priorités des entreprises.
Pour plusieurs expert, les vulnérabilités les plus critiques pour les entreprises sont celles décrites dans le bulletin MS16-039. Elles touchent au Microsoft Graphics Component et affectent Windows, le framework .Net, Office, Skype for Business, et Lync. Ces vulnérabilités permettent notamment de forcer l’exécution à distance de code illégitime.
Selon Lane Thames, chercheur en sécurité chez Tripwire, il s’agit là que « l’un des bulletins de sécurité les plus complexes ce mois-ci. Ces vulnérabilités existent au niveau du système d’exploitation ainsi que dans diverses applications. Elles affectent Windows depuis Vista jusqu’à la version 10, ainsi que Windows Server 2008 jusqu’à 2012 R2. Et encore faut-il rappeler aux utilisateurs et aux organisations que l’on ne parle là que de versions supportées. Des versions non supportées de Windows sont également susceptibles d’être affectées ».
Et de souligner que l’application de ce correctif peut se heurter à des prérequis. Dès lors, pour Lane Thames, « il y beaucoup à comprendre pour ce bulletin, et les administrateurs devraient prendre quelques minutes de plus pour en étudier les détails ».
De nouvelles vulnérabilités inédites
Chez Qualys, Wolfgang Kandek estime également que ce bulletin mérite de figurer en tête de liste des priorités des DSI : « deux failles inédites concernent là Windows, et toutes deux permettent une élévation de privilèges ».
Kandek évoque ensuite le bulletin de sécurité MS16-042 qui concerne quatre failles dans Microsoft Office. L’une d’entre elles est classée critique « ce qui est uniquement le cas lorsqu’une vulnérabilité peut être directement attaquée sans interaction de l'utilisateur ». Et d’expliquer que celle-ci, référencée CVE-2016-0127, « est une vulnérabilité basée sur l'exécution de code à distance dans le format de fichier RTF. Ce dernier est automatiquement visualisé dans le volet d'aperçu d'Outlook et facilite une exécution de code à distance pour l'attaquant via un simple courrier électronique. Renforcez si possible votre configuration en bannissant les emails contenant des formats de fichier RTF. Vous pouvez également désactiver ces emails via la politique de blocage de fichiers d'Office qui fonctionne aussi bien sur 2007/2010 que sur 2013 ».
Le bulletin MS16-049 retient également l’attention de Craig Young, chez Tripwire, « parce qu’il implique une requête sur le protocole http/2. C’est la première révélation d’une vulnérabilité côté serveur affectant http/2. Et si Microsoft estime qu’elle est peu susceptible d’être exploitées dans un futur proche, le fait que beaucoup d’administrateurs puissent ignorer qu’IIS supporte http/2 illustre l’importance de scans réseau réguliers pour savoir quels protocoles et services les attaquants cherchent à exploiter sur son réseau ».
Badlock, plus de bruit que de mal
Le bulletin MS16-047 est celui qui concerne la vulnérabilité Badlock. Elle permet d’obtenir une élévation de privilèges après lancement d’une attaque de type man-in-the-middle visant à forcer un affaiblissement des contrôles d’authentification basés sur SAMR et la LSAD, pour se faire passer par un utilisateur authentifié.
Pour Young, « les administrateurs devraient certainement installer ce correctif et déployer des mécanismes de défense sur leur réseau pour limiter les chances d’attaque de type man-in-the-middle sur leur réseau local. Mais on est loin du niveau de sévérité de Shellshock ou Heartbleed ».
Même son de cloche chez Kandek qui souligne que le protocole SMB n’est pas, en lui-même affecté, et estime que « cette vulnérabilité ne figure pas parmi les priorités absolues ».
Le bulletin MS16-050 couvre une vulnérabilité critique dans le lecteur Flash d’Adobe, et corrigée par la mise à jour des librairies correspondantes contenues dans IE10/11 et Edge. Les navigateurs Web de Microsoft sont également concernés par les bulletins critiques MS16-037 et MS16-038. Un dernier bulletin critique, MS16-040, concerne une vulnérabilité du sous-système de traitement XML et permettant de forcer l’exécution de code arbitraire à distance.
Avec nos confrères de SearchSecurity.com.