Microsoft annonce un bug critique dans Windows DNS Server

© MvdV

Des chercheurs ont découvert un bug datant de dix-sept ans dans Windows DNS Server. Il s’agit d’un bug qualifié de ‘wormable’ et qui s’est vu attribuer le plus haut degré de risque. Microsoft a entre-temps sorti un patch.

La brèche se situe dans Microsoft DNS, un système crucial destiné à guider les utilisateurs vers l’information correcte. Le bug permettrait de pénétrer à distance dans le système et de prendre ainsi le contrôle de tous les ordinateurs d’une entreprise, mais aussi d’intercepter les courriels, de dérober les données de login, etc.

Microsoft signale en outre que ce bug est de type ‘wormable’ et peut donc être utilisé pour répandre du malware entre ordinateurs à l’insu des utilisateurs. Un correctif pour Windows Server a été lancé mardi soir. Le géant technologique exhorte les administrateurs à l’installer dans les plus brefs délais. Pour les utilisateurs ‘normaux’, rien ne change. Comme le bug se situe dans le système DNS, il n’impacte par exemple ni Windows 10 ni tout autre logiciel client d’une entreprise.

Ce qui est intéressant à savoir, c’est que le bug en question existe depuis dix-sept ans déjà. Il n’a pourtant été découvert que récemment par la firme israélienne de cyber-sécurité Check Point. Celle-ci en a averti Microsoft en mai, pour permettre à l’entreprise de développer un correctif.

Check Point a baptisé le bug SigRed et a publié sur son site un rapport à son sujet. “Toute entreprise, petite ou grande, qui utilise l’infrastructure de Microsoft, court un haut risque pour sa sécurité”, aussi longtemps que la brèche n’est pas colmatée, selon Omri Herscovici de Check Point dans un communiqué de presse. L’entreprise ne partage cependant pas tous les détails de la faille, en partie à la demande de Microsoft, afin de ne pas donner trop de renseignements aux personnes mal intentionnées.

Chez le géant technologique, on déclare que le bug n’a pas encore été abusé, pour autant que l’on sache. Dans sa documentation, l’entreprise a affublé le bug de l’appellation CVE-2020-1350. Pour souligner combien la situation est sérieuse, le bug a obtenu le score de risque maximal (10) sur l’échelle Common Vulnerability Scoring System (CVSS). En guise de comparaison, WannaCry, une attaque qui ces trois dernières années a fait des centaines de milliers de victimes, s’est vu attribuer un score de 8,5 sur l’échelle CVSS.

Contenu partenaire