Sécurité : Lors du Patch Tuesday de novembre, Microsoft a corrigé une faille critique signalée par IBM six mois plus tôt et présente dans le code de Windows depuis au moins 19 ans.

Par La rédaction de ZDNet.fr | Mercredi 12 Novembre 2014

Article mis à jour à 15h30

19 ans et toujours vivace. 19 ans, c'est l'âge d'une faille critique identifiée dans Windows et affectant l'ensemble des versions du système d'exploitation de Microsoft. Celle-ci a étédécouverte par un chercheur en sécurité d'IBM, Robert Freeman.

La vulnérabilité, exploitable à distance, est selon lui présente dans le code de Windows depuis au moins Windows 95 - et a donc depuis traversé les années. La faille est liée à la dépendance entre Windows et Internet Explorer et autorise des attaques de type "man in the middle".

Précisément, cette vulnérabilité touche le secure channel ou Schannel de Microsoft, module qui implémente les protocoles de chiffrement SSL et TLS dans Windows. Toutes les versions de Windows sont concernées, qu'il s'agisse de versions client ou serveur qui sont particulièrement vulnérables.

En théorie, il suffirait d'injecter des paquets dédiés qui ne sont pas filtrés par Schannel afin de permettre l'exécution de code à distance.

Critique mais complexe à exploiter

Divulguée auprès de Microsoft il a six mois, le bug de sécurité vient tout juste d'être corrigé par l'éditeur à l'occasion de la diffusion de ses patchs mensuels. Son exploitation n'était pas court-circuitée par le mode protégé d'Internet Explorer.

"Dans ce cas, le code buggé a au moins 19 ans et a été exploitable à distance au cours des 18 dernières années" précise Robert Freeman de la division X-Force d'IBM. Et selon le chercheur, l'intégration de VBScript dans IE fait du navigateur le candidat idéal à des attaques.

L'expert en sécurité précise toutefois que l'exploitation de cette vulnérabilité est complexe à mettre en œuvre. A l'occasion du Patch Tuesday de novembre, Microsoft a publié 14 bulletins de sécurité corrigeant des failles dans différentes applications, dont Office, Windows et .Net.

Retour à l'accueil