Microsoft a récemment corrigé une faille critique vieille de 17 ans. Baptisé SigRed par les chercheurs en sécurité de Check Point, qui l’ont découvert, ce bug aurait pu permettre à un attaquant de contrôler plusieurs ordinateurs vulnérables, sans aucune interaction supplémentaire.
Microsoft peut bien remercier les chercheurs en sécurité de Check Point. Ces derniers ont découvert, il y a quelques semaines, un bug dans les serveurs DNS intégrés à Windows 10. Cette faille est tellement critique qu’elle obtient le score maximal de 10 dans le système de notation des vulnérabilités CVSS. Pour donner une idée de la dangerosité de ce bug, les failles ayant permis au rançongiciel WannaCry de prospérer avaient été seulement notées 8,5…
Une menace pour l’infrastructure des entreprises
Cette vulnérabilité a reçu le nom de SIgRed, une allusion à l’envoi d’une réponse DNS avec un enregistrement SIG de plus de 64 Ko (clé publique dans l’enregistrement DNS) pour provoquer « un débordement de tampon contrôlé ». Elle date de 2003 et est qualifiée de « wormable », ce qui signifie qu’elle peut se propager via des logiciels malveillants entre des ordinateurs vulnérables, sans interaction de l’utilisateur. « Si elle est exploitée avec succès, un attaquant peut s’octroyer les droits d’administrateur de domaine, et compromettre l’intégralité de l’infrastructure de l’entreprise », explique l’équipe de Check Point.
« Corrigez-là dès maintenant pour empêcher la prochaine cyberpandémie »
En effet, une fois qu’il a pris possession d’une machine, un attaquant peut la « répliquer » pour prendre le contrôle d’autres ordinateurs vulnérables. Il pourrait ensuite avoir, par exemple, accès à l’intégralité des e-mails des collaborateurs, récupérer et trafiquer des mots de passe, voler des données sensibles, etc. Un scénario catastrophe ! Exploiter cette faille consiste, concrètement, à envoyer au serveur Windows des requêtes DNS bidouillées qui provoquent un « dépassement de tas ».
« Nous pensons que corriger cette faille doit être une priorité absolue. Il ne s’agit pas d’une simple vulnérabilité de plus. Corrigez-là dès maintenant pour empêcher la prochaine cyberpandémie » a averti Check Point. « Si nous l’avons trouvée, il n’est pas impossible de supposer que quelqu’un d’autre l’a également déjà trouvée » indique Omri Herscovici, responsable de l’équipe des chercheurs en vulnérabilités de Check Point, dans un communiqué.
Pas de panique !
Check Point indique toutefois que rien ne sert de paniquer. Pourquoi ? D’une part parce que cette faille ne concerne pas les utilisateurs de Windows 10, étant donné qu’elle se situe au niveau de l’implémentation de Windows DNS Server. D’autre part, parce que la vulnérabilité n’a visiblement jamais été exploitée. À défaut de pouvoir appliquer rapidement la mise à jour correctrice pour les entreprises, Microsoft oriente les administrateurs vers une mesure de contournement dans la base de registre.