La semaine dernière, nous vous indiquions qu’une faille de sécurité affectait le protocole Remote Desktop de Windows et qu’elle était critique. Bien qu’un correctif ait été publié lors des bulletins mensuels de ce mois-ci, l’éditeur enjoignait les utilisateurs à l’installer le plus rapidement possible. Il craignait une exploitation rapide et ne croyait pas si bien dire : un proof-of-concept se balade déjà dans la nature.
Microsoft indiquait la semaine dernière que la faille avait un profil particulièrement séduisant pour les pirates. De fait, la firme estimait qu’une exploitation verrait le jour dans le mois à venir. Mais Luigi Auriemma, le chercheur en sécurité italien qui a fait la découverte, a averti que les détails de sa trouvaille, ainsi que le code du proof-of-concept qu’il avait rédigé, ont tous deux fuité. En clair, la procédure d’exploitation de la faille est sur la toile, et n’importe quel pirate peut désormais s’en servir.
Auriemma comptait attendre quelques jours avant de publier les explications complètes mais a eu la surprise de découvrir qu’un exécutable bien spécifique trainait sur un site chinois. Après avoir fouillé dans cet exécutable, il a découvert que le code, compilé en novembre, était basé sur des paquets préconstruits qui ne lui étaient pas inconnus : les siens. Il décrit le code de l’exécutable comme « basique et mal écrit », mais fonctionnel, et la présence de ces paquets ne pouvait signifier qu’une fuite.
En définitive, Microsoft a confirmé vendredi que la fuite est venue de l’un des partenaires du MAPP. La firme rappelle que ces partenaires reçoivent des informations sensibles sur les failles avant que les bulletins ne soient publiés. On y trouve en effet bon nombre d’éditeurs de solutions de sécurité tels que McAfee, Symantec ou encore Kaspersky, le but étant que les antivirus soient prêts.
Microsoft indique donc qu’une enquête va être menée car si une fuite existe dans le réseau des partenaires MAPP, la situation est particulièrement dangereuse. Cela ne répond pas cependant à toutes les questions pour Luigi Auriemma. Le chercheur sait que les failles sont révélées plus tôt aux partenaires mais il doute que ce soit plusieurs mois à l’avance, puisque le fameux exécutable avait été compilé en novembre.
Une question restera finalement en suspens : l'avertissement de Microsoft sur la dangerosité particulière de la faille aurait-il pris racine dans la connaissance d'une exploitation déjà existante ?
La faille séduisante... qui a déjà séduit
La faille du protocole Remote Desktop est critique car elle permet une attaque automatisée et distante. La création d’un ver peut suffire et, une fois en place, la bestiole peut se répliquer tant qu’elle trouve des machines laissant la brèche de sécurité exposée. Le seul constat temporisant la situation est que le RDP n’est pas actif par défaut dans Windows. Par contre, toutes les versions de ce dernier le possèdent, de Windows XP à la Consumer Preview de Windows 8.Microsoft indiquait la semaine dernière que la faille avait un profil particulièrement séduisant pour les pirates. De fait, la firme estimait qu’une exploitation verrait le jour dans le mois à venir. Mais Luigi Auriemma, le chercheur en sécurité italien qui a fait la découverte, a averti que les détails de sa trouvaille, ainsi que le code du proof-of-concept qu’il avait rédigé, ont tous deux fuité. En clair, la procédure d’exploitation de la faille est sur la toile, et n’importe quel pirate peut désormais s’en servir.
Une faille découverte en mai 2011
Luigi Auriemma explique sur son blog qu’il a trouvé cette faille en mai 2011, soit il y a presque un an. Les détails ont été envoyés à Microsoft au mois d’août, via ZDI (Zero Day Initiative) de la société Tipping Point (appartenant à HP). Tout allait bien jusqu’à la publication le 13 mars des derniers bulletins de sécurité. Le chercheur s’est alors « amusé » à observer les évènements pour voir si un pirate arrivait à trouver une manière d’exploiter la faille maintenant qu’elle était révélée au grand jour.Auriemma comptait attendre quelques jours avant de publier les explications complètes mais a eu la surprise de découvrir qu’un exécutable bien spécifique trainait sur un site chinois. Après avoir fouillé dans cet exécutable, il a découvert que le code, compilé en novembre, était basé sur des paquets préconstruits qui ne lui étaient pas inconnus : les siens. Il décrit le code de l’exécutable comme « basique et mal écrit », mais fonctionnel, et la présence de ces paquets ne pouvait signifier qu’une fuite.
La faute à un partenaire de Microsoft ?
Plusieurs signes prouvent que le paquet était le sien, y compris un numéro d’identification unique dont Microsoft se sert pour le suivi des failles de sécurité. Il s’est donc penché sur la question de l’origine de la fuite. Elle pouvait venir de Microsoft, ou des dizaines de partenaires travaillant avec Redmond au sein du programme MAPP (Microsoft Active Protections Program) qui permet de diffuser des informations de sécurité sur les failles en avance. La fuite pouvait provenir également de la ZDI, puisque c’est elle qui avait transmis les détails à Microsoft en août 2011.En définitive, Microsoft a confirmé vendredi que la fuite est venue de l’un des partenaires du MAPP. La firme rappelle que ces partenaires reçoivent des informations sensibles sur les failles avant que les bulletins ne soient publiés. On y trouve en effet bon nombre d’éditeurs de solutions de sécurité tels que McAfee, Symantec ou encore Kaspersky, le but étant que les antivirus soient prêts.
Microsoft indique donc qu’une enquête va être menée car si une fuite existe dans le réseau des partenaires MAPP, la situation est particulièrement dangereuse. Cela ne répond pas cependant à toutes les questions pour Luigi Auriemma. Le chercheur sait que les failles sont révélées plus tôt aux partenaires mais il doute que ce soit plusieurs mois à l’avance, puisque le fameux exécutable avait été compilé en novembre.
Une question restera finalement en suspens : l'avertissement de Microsoft sur la dangerosité particulière de la faille aurait-il pris racine dans la connaissance d'une exploitation déjà existante ?
