Dans un billet publié lundi, Google a dévoilé en partie les détails d’une faille critique dans Windows. Problème, cette publication s’est fait dix jours seulement après que Microsoft a été averti. L’éditeur de Windows a d’ailleurs critiqué le calendrier.
Google ne masque pas le fait que le temps de réaction laissé à Microsoft est assez court. Le billet indique que le père de Windows a été averti le 21 octobre, en même temps qu’Adobe. La faille du système ne peut être exploitée en effet qu’en utilisant une autre vulnérabilité, cette fois dans Flash. Cette dernière est bouchée et le correctif est disponible dans l’outil de mise à jour intégré dans le lecteur, ou via Chrome, qui a lui aussi reçu une nouvelle version.
La faille dans Windows n’est cependant pas corrigée, le délai de dix jours semblant assez court, surtout au vu de l’absence de détails supplémentaires. Google a d’ailleurs été obligé de rappeler la politique mise en place il y a trois ans, selon laquelle toute faille critique signalée depuis sept jours verrait ses informations publiées. Cependant, Google se justifie : non seulement Microsoft n’a pas publié de bulletin d’information à ce sujet, mais la faille est en fait déjà exploitée.
Une faille qui permet de s'extirper de la sandbox
Elle permet une escalade locale des privilèges au sein du noyau de Windows (toutes les versions sont touchées), avec pour principal intérêt de pouvoir s’échapper de la sandbox du système. Pour rappel, une sandbox – littéralement « bac à sable » - est un espace mémoire isolé au sein duquel un programme ou une page web est lancé. Ses accès sont limités et soigneusement contrôlés, permettant notamment de bloquer toute tentative de s’en prendre à un autre programme ou composant système. Pouvoir s’en échapper représente donc un vrai problème.
Plus précisément, la faille peut être appelée via la fonction NtSetWindowLongPtr() de win32k.sys. Dans le cas de Chrome, les appels système de win32k.sys sont bloqués en utilisant une technique disponible dans Windows 10, « win32 lockdown ». Cela, ajouté à la faille corrigée dans Flash, rend normalement toute exploitation impossible pour les utilisateurs de Chrome. Raison sans doute qui permet à Google d’évoquer la faille en « toute sécurité ».
Microsoft accuse Google de mettre les utilisateurs en danger
Microsoft, de son côté, n’est clairement pas ravi de la situation. L’éditeur a d’abord indiqué à VentureBeat que « la divulgation d’aujourd’hui met les utilisateurs en danger ». Ce qui est effectivement le cas : même si la faille est activement exploitée, les pirates qui ne connaissaient pas la brèche risquent fort de s’y pencher. D’un autre côté, tant que la faille dans Flash est bien colmatée, celle de Windows est en théorie inexploitable.
En outre, le responsable Terry Myerson, de chez Microsoft, a publié hier un billet donnant des informations sur la manière dont la faille Windows est actuellement utilisée. C’est à un groupe russe nommé Strontium (également appelé Fancy Bear) que l’on doit la campagne d’attaques qui l’accompagne. Cette dernière aboutit à l’installation d’une porte dérobée ouvrant alors de nombreuses possibilités.
On apprend également qu’une enquête a été ouverte conjointement avec Adobe et Google pour cerner de plus près l’exploitation et ses conséquences. Le correctif existe en fait déjà, mais est actuellement en cours de test chez les partenaires pour vérifier son fonctionnement. Voilà pourquoi il ne sera pas disponible avant le 8 novembre, date du prochain Patch Tuesday. Enfin, et c’est un point important, Myerson précise que si les utilisateurs ont activé l’Advanced Threat Protection dans Windows Defender (« Protection dans le cloud »), l’attaque sera détectée et bloquée, mais uniquement sous Windows 10.
Divulgation discrète ou de motivation
La publication du billet de Google relance cependant le débat sur les divulgations des détails sur les failles de sécurité. Ceux pointés par Google ne sont pas suffisants pour représenter une vraie marche à suivre, mais sont tout de même un indice clair sur la direction à suivre.
Microsoft a rappelé préférer les divulgations responsables d’informations, surtout quand ils ont trait à des failles jugées critiques puisque exploitables à distance. Par « responsables », l’éditeur entend tout simplement que ces informations resteront masquées tant que le correctif idoine n’aura pas été publié.