Microsoft : les systèmes qui ne sont plus supportés sont fortement menacés par la NSA

Microsoft a corrigé la plupart des vulnérabilités de Windows qu’exploitaient les outils de la NSA récemment divulgués par le groupe Shadow Brokers. L’éditeur en a identifié 12 et assure que neuf d’entre eux ont été corrigés entre 2008 et son lot de rustines de mars dernier - qui faisait suite à celui, annulé, de février.  

« Parmi les trois exploits restants, 'EnglishmanDentist', 'EsteemAudit' et 'ExplodingCan', aucun n’est reproductible sur les plates-formes supportées, ce qui signifie que les clients exécutant Windows 7 et plus récent, ou Exchange 2010 et plus récent, ne sont pas menacés », écrit Microsoft dans un billet de blog. Et de préciser que « les clients qui exécutent encore des versions antérieures de ces produits sont encouragés à passer à une version supportée ».

Kevin Beaumont, un architecte de sécurité basé à Liverpool, outre-Manche, a quant lui identifié 13 exploits concernant les produits Microsoft. L'exploit supplémentaire non recensé par l’éditeur, appelé Zippybeer, visait le contrôleur de domaine ; il a été corrigé en 2014. Sur les 12 exploits énumérés par Microsoft et Beaumont, neuf visaient la première version du protocole SMB. Les autres concernaient IIS 6, RDP et Outlook Web Access. Mais selon Beaumont, certains outils dérobés à la NSA fonctionnent contre Windows 8 et Windows Server 2008 - tous deux étant encore admissibles à un support étendu de Microsoft.

Quoi qu’il en soit plusieurs experts estiment que le risque que font peser ces exploits ne devrait pas être sous-estimé par les entreprises car l'utilisation de systèmes hérités et non supportés reste répandue : « les organisations ont souvent des systèmes qui ne sont plus supportés, et c'est ici ce qui est préoccupant », relève  Amol Sarwate, directeur de l'ingénierie chez Qualys. « Comme il n'y a pas de correctifs de sécurité publiés pour les systèmes non supportés, les organisations qui en utilisent pour lesquels des exploits sont publiquement disponibles sont très exposées ».

Tom Kellermann, PDG de Strategic Cyber ​​Ventures, basé à Washington, DC, relève que ces vulnérabilités peuvent être particulièrement dangereuses pour les systèmes utilisés pour des infrastructures critiques, car ils exécutent fréquemment des versions anciennes de Windows. Et cela commence par les sectgeurs des transports ou encore de l’énergie. Pour Kellermann, c’est bien simple, « Shadow Brokers a fourni des munitions aux hordes de cybercriminels - c'est presque comme si quelqu'un distribuait les armes à feu dans une armurerie où Il n'y a pas assez de gilets pare-balles pour se protéger ».

Le parallèle peut paraître excessif, mais force est de constater que des cyber-délinquants ne se privent pas d’utiliser les outils de la NSA rendus publics par Shadow Brokers pour compromettre des systèmes connectés à Internet. 

Selon le prestataire de services Below0Day, il faudrait aujourd’hui compter avec plus de 30 000 instances compromises par l’un de ces outils, DoublePulsar. Si la grande majorité des systèmes affectés se trouve aux Etats-Unis, il faudrait compter avec près de 400 d’entre eux en France. 

30,626 instances of #DOUBLEPULSAR implant detected! #shadowbrokers #infosec pic.twitter.com/pDKnsOB2Vv

— Below0Day (@belowzeroday) April 20, 2017