Microsoft colmate une brèche critique dans le protocole Remote Desktop
Le compte à rebours de l'exploitation a commencé
Microsoft vient de publier ses bulletins de sécurité mensuels. On y trouve notamment une mise à jour pour une faille critique (seule parmi les failles colmatées) dans Windows qui se situe au niveau du Remote Desktop Protocol, utilisé dans les environnements professionnels essentiellement. Le véritable danger selon l’éditeur est qu’une exploitation active de la faille devrait apparaître dans les 30 jours à venir.
Le protocole RDP est présent dans Windows depuis longtemps et est au centre de certains produits ou fonctionnalités. Traditionnellement autorisé dans les pare-feux, il permet à un administrateur de se connecter notamment à des machines distantes pour opérer par exemple une maintenance quelconque. Comme le rappelle en outre Ars Technica, RDP est régulièrement utilisé par les machines Windows qui accèdent à différentes offres de cloud computing, telles qu’EC2 d’ Amazon.
La vulnérabilité est considérée comme critique car l’attaque peut être menée à distance sans que l’utilisateur final n’ait besoin d’interagir. En outre, le code malveillant peut se répliquer et donc automatiser entièrement l’attaque par la suite, via un ver. Toutes les versions de Windows depuis XP sont concernées, y compris la Consumer Preview de Windows 8. Le seul facteur réduisant la dangerosité de la faille est le fait que le RDP n’est pas actif par défaut sur les machines.
Microsoft considère que l’exploitation active de la faille n’aura rien de « triviale » mais estime cependant que les premières attaques auront lieu d’ici un mois au plus tard. En effet, la faille est jugée comme « très attractive » pour les pirates.
Il existe en fait deux cas selon l’éditeur. Sur les machines classiques n’obéissant à aucune règle particulière de gestion des mises à jour, le correctif sera installé par Windows Update. Dans le cas cependant où la mise à jour ne pourrait pas être installée tout de suite, Microsoft propose une modification de la base de registre rendant obligatoire la Network Level Authentication (NLA). Cette dernière, qui n’est disponible qu’à partir de Vista, réclame les identifiants avant toute utilisation du RDP, court-circuitant ainsi l’automatisation de l’attaque.
Le protocole RDP est présent dans Windows depuis longtemps et est au centre de certains produits ou fonctionnalités. Traditionnellement autorisé dans les pare-feux, il permet à un administrateur de se connecter notamment à des machines distantes pour opérer par exemple une maintenance quelconque. Comme le rappelle en outre Ars Technica, RDP est régulièrement utilisé par les machines Windows qui accèdent à différentes offres de cloud computing, telles qu’EC2 d’ Amazon.
La vulnérabilité est considérée comme critique car l’attaque peut être menée à distance sans que l’utilisateur final n’ait besoin d’interagir. En outre, le code malveillant peut se répliquer et donc automatiser entièrement l’attaque par la suite, via un ver. Toutes les versions de Windows depuis XP sont concernées, y compris la Consumer Preview de Windows 8. Le seul facteur réduisant la dangerosité de la faille est le fait que le RDP n’est pas actif par défaut sur les machines.
Microsoft considère que l’exploitation active de la faille n’aura rien de « triviale » mais estime cependant que les premières attaques auront lieu d’ici un mois au plus tard. En effet, la faille est jugée comme « très attractive » pour les pirates.
Il existe en fait deux cas selon l’éditeur. Sur les machines classiques n’obéissant à aucune règle particulière de gestion des mises à jour, le correctif sera installé par Windows Update. Dans le cas cependant où la mise à jour ne pourrait pas être installée tout de suite, Microsoft propose une modification de la base de registre rendant obligatoire la Network Level Authentication (NLA). Cette dernière, qui n’est disponible qu’à partir de Vista, réclame les identifiants avant toute utilisation du RDP, court-circuitant ainsi l’automatisation de l’attaque.
Source :
Microsoft
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 14 mars 2012 à 11:23
(15 173
lectures)
Il y a 33 commentaires
INpactien
seb2411
Le mercredi 14 mars 2012 à 11:37:27
#1
Inscrit
le vendredi 24 octobre 08
-
2627
commentaires
RDP, ça me rappel mes veilles histoires de virus qui me redémarrait mon PC à cause de l'arrêt d'RDP. 
INpactien
Microsoft considère que l’exploitation active de la faille n’aura rien de « triviale » mais estime cependant que les premières attaques auront lieu d’ici un mois au plus tard. En effet, la faille est jugée comme « très attractive » pour les pirates.
L'exploitation active ne concerne que ceux qui n'ont pas mis à jour leur Windows, c'est bien ça?
Patcher puis dire que dans un mois, les pirates utiliseront activement cette faille, ça n'a rien de rassurant concernant le patch.
Mauvaise communication?
INpactien
L'exploitation active ne concerne que ceux qui n'ont pas mis à jour leur Windows, c'est bien ça?
Patcher puis dire que dans un mois, les pirates utiliseront activement cette faille, ça n'a rien de rassurant concernant le patch.
Mauvaise communication?
C'est plutôt : mettez bien à jour, ou dans moins d'un mois ça va faire très mal.
Equipe
Vincent_H
Le mercredi 14 mars 2012 à 11:42:13
#4
Inscrit
le jeudi 30 janvier 03
-
14907
commentaires
L'exploitation active ne concerne que ceux qui n'ont pas mis à jour leur Windows, c'est bien ça?
Patcher puis dire que dans un mois, les pirates utiliseront activement cette faille, ça n'a rien de rassurant concernant le patch.
Mauvaise communication?
Ta manière de raisonner est un poil étrange
Ca veut dire tout simplement : ne retardez pas l'installation du patch, sinon vous en subirez les conséquences.
Edit : Grilled by Khalev
Edité par vincent_h le mercredi 14 mars 2012 à 11:42
INpactien
Edit : Grilled by Khalev
Le plus beau moment de ma vie d'Inpactien, je suis tout ému...
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
Il y a 33 commentaires
-
![[MàJ] The Pirate Bay de retour](data:image/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==)
[MàJ] The Pirate Bay de retour
(16)
Le bateau coule ? -
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer -
Nouveau Google Maps : demandez votre invitation
(12)
Moi, moi, moi !!!
![[MàJ] The Pirate Bay de retour](http://static.pcinpact.com/images/bd/dedicated/79905.jpg)
-
7 % de remise sur les produits Synology, Zavio et Tenda
Valable pendant 4 heures -
Un portable Toshiba de 17,3" avec un Core I7 3630QM pour 509 €
Valable jusqu'au 25 mai -
Un SSD Samsung 840 Pro de 128 Go et un HDD de 3 To pour 199,90 €
Valable jusqu'au 27 mai -
Une alimentation modulaire Enermax Naxn de 750 W pour 99,90 €
Valable jusqu'au 26 mai
