Faille critique de sécurité : Windows renoue avec le trou RPC

L’annonce a retenti comme un petit coup de tonnerre, dans la nuit du 22 octobre :  « rustine « hors calendrier» à prévoir dans la nuit de jeudi 23 à vendredi 24. Faille kernel variant d’importante à critique, RSSI, restez à l’écoute, tous les éclaircissements vous seront donnés ce jeudi soir à 10 H, par le biais d’un Webcast spécial. Inscription préalable obligatoire ». Bien entendu, mutisme de rigueur dans les rangs Microsoft France en attendant l’heure fatidique. 

A l’heure dite, le bulletin Français de Microsoft révélait les dessous de l’affaire : vulnérabilité RPC dans les « server services », de Windows 2000 à Vista et 2008, exploitable à distance sans authentification nécessaire. Le trou de sécurité est jugé critique de 2000 à la génération XP/2003, important sur les systèmes Vista/2008. Tous les détails dans l’alerte MS 08-067. Le défaut, précise Bernard Ourghanlian (Directeur technologie & sécurité chez MS France), était connu des chercheurs du MSRC depuis un certain temps déjà. Mais, depuis peu, des preuves d’exploitation « underground » laissaient clairement entendre que le problème avait manifestement été découvert par d’autres.

Le mélange « faille RPC/exploitation à distance/Pre-auth » a déjà prouvé son instabilité. Souvenons-nous. C’était avec cette même formule chimique qu’est né, en 2003, Blaster (rpc), Sasser (lsass) et ses cousins. Et une simple requête Google « faille RPC » ou « requête RPC forgée » dresse en quelques secondes un petit musée des horreurs et pas mal de mauvais souvenirs. « Il n’y a pas, à l’heure actuelle, précise Bernard Ourghanlian, de ver connu exploitant ce défaut. Ce n’était pas non plus le cas lorsque la faille ayant donné naissance à Blaster a été découverte, puis corrigée ». Le message est clair : correctif à déployer de toute urgence, compte-tenu de la rapidité des black hats en matière d’ingénierie inverse.