Microsoft sort un patch pour résoudre un bug vieux de quinze ans, qui permet dans des circonstances bien précises de prendre le contrôle d’ordinateurs professionnels.
Le problème, entre-temps connu sous l’appellation Jasbug, concerne les machines (et serveurs) Windows gérés par un certain domaine (tel le réseau d’entreprise) et cherchant à s’y connecter. Si le PC établit une liaison avec un réseau abusé par un agresseur, cela peut engendrer une prise de contrôle complète du système, en ce compris l’installation de logiciels et la consultation ou le traitement de fichiers.
Le bug, qualifié de ‘critique’ par Microsoft, touche quasiment toutes les versions actives de Windows: Server 2003, Vista, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Windows 7, Windows 8, 8.1, RT et RT 8.1. Il est possible que des versions plus anciennes encore (telles Windows XP) soient également concernées car le problème existe depuis 2000 déjà, mais n’a été découvert qu’il y a à peine un an.
Active Directory
Le coeur du problème se trouve dans Active Directory côté utilisateur. Dans la pratique, cela revient à dire qu’un ordinateur n’exerce pas un contrôle suffisant lors de l’établissement d’une connexion avec un réseau. Il en résulte un abus possible du système de noms de domaine (DNS). Ensuite, si l’utilisateur veut surfer sur un site web, un pirate peut, suite à l’abus du DNS, l’orienter vers un autre site, ce qui permet la propagation de malware et d’autres virus.
Ce genre d’attaque où l’agresseur se trouve entre l’utilisateur et l’internet proprement dit est appelée ‘man-in-the-middle’. C’est pourquoi l’abus est surtout possible, lorsqu’on établit avec un ordinateur professionnel une liaison avec le réseau de l’entreprise via une connexion internet ordinaire (en dehors de l’entreprise), comme par exemple à partir d’un hôtel ou d’une station-service.
Depuis un an déjà
Jasbug a été découvert en janvier 2014, lorsque les entreprises JAS Global Advisors et simMachines ont examiné de près certains éléments techniques pour l’ICANN (le gestionnaire des noms de domaine de haut niveau) et ce, dans le cadre du déploiement de TLD génériques comme .brussels, .travel, etc. En appliquant ce qu’on appelle une analytique ‘big data’ sur un certain nombre de gisements de données, les deux firmes ont décelé des modèles inhabituels, ce qui a amené des experts techniques à découvrir la faille.
Peu après, elles en informèrent Microsoft qui a donc mis douze mois pour résoudre ce bug datant de 15 ans. Cela est dû au fait qu’il s’agit d’une erreur de conception et pas d’un problème d’implémentation. L’entreprise a en outre été forcée de rendre sa solution compatible avec différents systèmes, ce qui fait que des éléments cruciaux ont dû être reconçus, puis être soumis à une batterie de tests, afin d’éviter qu’une mise à jour provoque plus de mal que de bien.
Un abus toujours possible?
Même si tous les PC professionnels, du moins ceux qui établissent une connexion avec un domaine spécifique, sont vulnérables, un abus… fructueux du problème nécessite cependant une erreur de configuration spécifique du système. Mais celle-ci se présente suffisamment souvent, selon JAS Global, que pour prendre la chose très au sérieux.
Pour résoudre le problème, Microsoft a sorti un article KB. La solution comprend un nouveau composant dans Active Directory (tant clients que serveur) que les gestionnaires de réseaux doivent configurer correctement.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici