Connexion
Abonnez-vous

Microsoft colmate une importante faille affectant tous les Windows

Aucune méthode pour atténuer les risques

Microsoft colmate une importante faille affectant tous les Windows

Le 12 novembre 2014 à 11h12

Microsoft a publié hier soir ses mises à jour mensuelles de sécurité pour ses différents produits. On compte un total de quatorze bulletins, dont quatre critiques, huit importants et deux modérés. Parmi les bulletins critiques se cache d’ailleurs une faille particulièrement grave et les utilisateurs sont encouragés à installer le correctif le plus vite possible.

Comme chaque deuxième mardi du mois, Microsoft a publié ses correctifs de sécurité pour Windows, Office et plusieurs autres produits, en plus de mises à jour pour Windows Defender et son outil de suppression des malwares, visant les principales menaces. On trouve notamment de nombreux patchs pour Office ainsi qu’une mise à jour cumulative pour Internet Explorer, considérée comme critique.

 

Mais parmi les bulletins se trouve une faille en particulier qui se distingue par son niveau de dangerosité. Les détails en ont été révélés de manière privée à Microsoft et l’éditeur précise qu’à sa connaissance, aucune attaque ne l’utilise encore. Son aspect particulier vient du fait qu’un attaquant n’aurait besoin que d’envoyer certains paquets conçus spécialement par une connexion pour permettre l’exécution d’une commande arbitraire à distance, ce qui est évidemment le pire scénario.

 

bulletins novembre 2014

 

La faille se trouve dans la bibliothèque Schannel, qui s’occupe au sein de Windows de tout ce qui touche à l’authentification et au chiffrement des données. Autrement dit, un élément crucial du système. Ce qui rend la faille si dangereuse est, qu’en dehors de l’installation du correctif, il n’existe aucune méthode pour atténuer les risques. En général, la plupart des brèches sont accompagnées de conseils sur l’utilisation de comptes utilisateurs classiques et sur les mesures à prendre, comme l’installation d’un « hotfix » ou la mise en place d’EMET (Enhanced Mitigation Experience Toolkit). Ici, rien de tout ça n’est efficace.

 

Enfin, la faille concerne toutes les versions de Windows actuellement supportées, Microsoft ne donnant aucun détail pour les autres moutures : Windows Server 2003/2008/2012, Vista, 7, 8, 8.1 et Windows RT (8 et 8.1). Autrement dit tout le monde, puisque Windows XP ne bénéficie plus de support technique depuis avril dernier. Les entreprises devront en particulier installer le correctif rapidement, ce qui devrait causer quelques soucis car ce genre de déploiement est en général planifié à l’avance.

Commentaires (47)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

C’est qu’idéalement il faut mettre à jour avant que l’exploit soit disponible. Donc se dépêcher ce que la procédure classique ne permet pas automatiquement de faire. Le nombre d’éléments utilisant schannel est fort important, pas automatiquement très cool pour la procédure de test.

votre avatar

Personne ne dit le contraire mais je voudrais savoir quelle est la différence entre cette faille et les autres tous systèmes confondus…

Pourquoi réagir sur celle-ci particulièrement?

votre avatar

Comme toutes les failles critiques….

Et aucune exploit n’a encore été détectée, même en analysant les différence, il faut encore faire l’exploit et la diffuser.

Et dans toutes les procédures de patching, on prévoit les cas :





  • Critiques

  • Important

  • Moyen



    La procédure de patching est adapté à la situation…donc rien de neuf au soleil

votre avatar

Ca va calmer tous ceux qui raillaient Linux et autres utilisateurs d’OpenSSL… Là c’est le SSL de windows qui est touché et, pire encore comme ils font les choses bien niveau architecture, c’est la bibiolthèque qui gère l’authentification en plus du chiffrement?!!!



Oups… Ceux qui n’ont pas mis XP mis en mode POS (Point Of Sales) après avril pour tirer au moins les correctifs du système de base devraient s’y attacher!



Là, pour le coup, la catastrophe annoncée et nullement réalisée pourrait bien se produire!

votre avatar

Peut être que celle ci a plus de vecteurs d’attaque que les autres, qu’il est possible de l’exploiter sans intervention de l’utilisateur en surfant simplement sur une page web… Il est très facile de spéculer sans avoir de détail ! 

votre avatar

Ce qui ne te garantie pas pour autant d’être à jour avant l’apparition de l’exploit, et il n’y a pas de solution pour minimiser les risques en attendant que la mise à jour soit en place, ce qui n’est pas toujours le cas.

votre avatar

N’importe quoi…

Ce qu’on appelle authentification dans schannel est la vérification des autorités trustés.

En quoi c’est un problème d’architecture?

votre avatar

Avec des peut-être…

Justement, aucun détail n’est donné pour permettre de patcher tranquillement.

Vous êtes un peu de mauvaise foi messieurs

votre avatar







Orphis a écrit :



Le meilleur moyen d’exploiter une faille est d’analyser la différence entre la version originale et avec la correction. 

Il y a des gens qui sont très très doués pour ce genre de chose et peuvent en extraire des failles rapidement, puis ensuite les exploiter.





C’est bien connu que tous les mois, après le “patch tuesday”, il y a l’ “exploit wednesday”!!!

Il y a de très bons outils pour fouiller dans les diff de binaires.

<img data-src=" />


votre avatar

Comme la plupart des failles critiques non?

&nbsp;

votre avatar

Oui, oui

votre avatar







yl a écrit :



Ca va calmer tous ceux qui raillaient Linux et autres utilisateurs d’OpenSSL… Là c’est le SSL de windows qui est touché et, pire encore comme ils font les choses bien niveau architecture, c’est la bibiolthèque qui gère l’authentification en plus du chiffrement?!!





Ca va les calmer de rien du tout !

La grosse critique soulevée à cette époque c’était : “même dans l’open source il y a des failles critiques qui reste présentent pendant de nombreuses années”. C’était principalement pour répondre aux trolls avançant que le libre c’est mieux parce que le code est relu et donc le code est plus sûr source.



Du coup avec ça, on a juste une remise à zéro des compteurs : les codes sont aussi vulnérables dans les deux camps.


votre avatar







sepas a écrit :



N’importe quoi…

Ce qu’on appelle authentification dans schannel est la vérification des autorités trustés.

En quoi c’est un problème d’architecture?





Que dans ce cas la terminologie est incorrecte? Identifier la machine a laquelle on cause et authentifier un utilisateur sont 2 choses différentes (la première des sécurités avant d’initier un login étant d’être sûr d’à qui l’on cause, i.e. pas de MITM en cours).



Pour moi l’authentification c’est l’utilisateur… Si c’est la partie identification qui est dans cette biblio avec le SSL c’est vrai que ma remarque n’avait pas lieu d’être.


votre avatar







Aces a écrit :



Et comment si la faille a été découverte il y a peu ??

Je te le dis, un déploiement ça ne se fait pas comme ça, il faut planifier le truc afin que ça se fasse la nuit.

Donc, là, ça ne se fera pas avant la fin de la semaine voir le début de la prochaine semaine.







Ah bon il ne va pas faire nuit avant la semaine prochaine ? <img data-src=" />


votre avatar

msdn.microsoft.com Microsoft

&nbsp;

votre avatar

Plus un.



J’ai beau priorise l’open source dans mes choix, mais tous les logiciels qu’ils soient libres ou propriétaires peuvent être sujets aux failles.



Outre la question de moyens (le dev dans son garage n’a pas les même ressources qu’un Microsoft ou Red Hat), la principale source de problème résidera dans le fait que ça reste des humains derrière. Humains qui sont par définition faillibles.

votre avatar

Finalement elle est nommée sChannel N°5 ou pas ?

votre avatar

Windows update, le seul logiciel avec Internet Explorer qu’on ne peut (vraiment) pas désinstaller. <img data-src=" />

votre avatar

Pour déconné, j’ai désinstaller IE sur un XP. La catastrophe ! Heureusement, le VM éteinte a mis fin au cauchemar ^^

votre avatar







Konrad a écrit :



Ah bon il ne va pas faire nuit avant la semaine prochaine ? <img data-src=" />





<img data-src=" />

Où je bossais avant, les mise à jour se programmaient la nuit et généralement, une semaine après les patchs dispo par Ms .

Mais bon, ce temps est révolu j’espère.


votre avatar







Fantassin a écrit :



Windows update, le seul logiciel avec Internet Explorer qu’on ne peut (vraiment) pas désinstaller. <img data-src=" />





Je crois que même sur les Win récents (tout du moins Win 7), la désinstallation de IE laisse des scories comme le moteur Trident, le contrôle WebBrowser et HTML Help.


votre avatar

Mon poste du taf sous windows XP a été mis a jour ce matin.

Donc du coup je pense que cette maj concerne aussi XP

votre avatar

C’est surtout qu’en général moi j’attends 4-5 jours avant de faire l’update à cause de certaine màj vérolées qui plante le système (bsod, crash système, redémarrage en boucle,… et j’en passe).

votre avatar

Je ne pense pas, il y a de fortes chances que ce soit une mise à jour de defender. A moins que ton taf est passé un contrat avec Microsoft.

votre avatar







Orphis a écrit :



Le meilleur moyen d’exploiter une faille est d’analyser la différence entre la version originale et avec la correction.&nbsp;

Il y a des gens qui sont très très doués pour ce genre de chose et peuvent en extraire des failles rapidement, puis ensuite les exploiter.





Exact. Mais ce n’est pas accessible pour le premier venu. Donc les script kiddies en sont exclus.


votre avatar

Schannel… 5 ?

votre avatar

Déjà fait, vilain coquin. <img data-src=" />

votre avatar

Des «paquets conçus spécialement», ça peut éventuellement se reconnaitre au passage à l’entrée dans le réseau de l’entreprise, si MS veut bien donner un critère explicite (mais, oui, on commence à parler de DPI là).

votre avatar







XMalek a écrit :



Schannel… 5 ?







Non Julia Schannel !!



Je suis déjà très loin <img data-src=" />


votre avatar







seb_the_dude a écrit :



Non Julia Schannel !!



Je suis déjà très loin <img data-src=" />





Zoe D. Schannel ?


votre avatar

<img data-src=" /><img data-src=" />

votre avatar

“Bien sûr, il y a des procédures de tests mais ça, les entreprises sont rodées.”



Alors ça mon bon amis, c’est de la supposition ^^

Il est plus juste de dire “quelques entreprises sont rodées”.



Par exemple je viens d’apprendre à l’un de mes responsables l’existence de cette faille.

L’installation du patch n’est pas encore planifiée dans les 15 jours à venir.



Ca laisse un certain “confort” aux esprits malveillants pour tester leurs routines.

votre avatar

Bah si ça se vire Win update et IE, mais faut désinstaller Windows pour ça ;)

votre avatar

Dans ce cas, désolé, mais c’est de l’incompétence de sa part…



Une entreprise qui n’a pas de plan de patching et qui ne reçoit pas les alertes rapidement, y a comme un petit problème…

votre avatar







sepas a écrit :



Dans ce cas, désolé, mais c’est de l’incompétence de sa part…




 Une entreprise qui n'a pas de plan de patching et qui ne reçoit pas les alertes rapidement, y a comme un petit problème...








 Tu as beau avoir un "plan de patching", ça n'empêche que ça peut prendre 2 ou 3 jours pour déployer des MAJ système, car il faut en tester la  compatibilité non?     





On a alors le choix entre faire tomber tout le système à cause d’un patch mal testé et trop vite déployé, ou prendre le risque de patcher un peu plus tard mais garder une bonne disponibilité.



Toutes les boites n’ont pas les moyens d’avoir un archi parfaite et clean&nbsp; testable en 5 minutes.


votre avatar



Microsoft colmate une importante faille affectant tous les Windows



Ils ont colmaté tous les utilisateurs ?

Ca a du faire mal au fondement.

votre avatar







Aces a écrit :



<img data-src=" />

Où je bossais avant, les mise à jour se programmaient la nuit et généralement, une semaine après les patchs dispo par Ms .

Mais bon, ce temps est révolu j’espère.





Une semaine de délai pour déployer ce n’est pas trop mal non ? Bon sauf si ce délai n’est pas utilisé pour faire des tests.


votre avatar

Ttttt!

Laisse faire un professionnel XD

Si ça marche pas c’est de la faute à gro$oft de toute façon <img data-src=" />

votre avatar

Oui ce sont surtout les entreprises qui vont morfler vu qu’un déploiement de mise à jour se planifie à l’avance !

Sinon, suffit de faire un windows update pour les autres et hop, faille corrigée.

votre avatar

Pourquoi elles morfleraient? C’est sur le cycle normal, ça fait des année que les patchs arrivent tous les second mardi du mois…J’espère qu’elle sont préparées depuis longtemps

votre avatar

Ils ont enfin colmaté les utilisateurs ? <img data-src=" />



retourne lire l’article

votre avatar







sepas a écrit :



Pourquoi elles morfleraient? C’est sur le cycle normal, ça fait des année que les patchs arrivent tous les second mardi du mois…J’espère qu’elle sont préparées depuis longtemps





Et comment si la faille a été découverte il y a peu ??

Je te le dis, un déploiement ça ne se fait pas comme ça, il faut planifier le truc afin que ça se fasse la nuit.

Donc, là, ça ne se fera pas avant la fin de la semaine voir le début de la prochaine semaine.


votre avatar

Peut-être par ce qu’ils doivent tester avant de mettre en prod. Même si tu es prés à le faire ça ne veut pas dire que tu&nbsp; peux mettre à jour un parc de plusieurs milliers de machine du jour au lendemain en croisant les doigts pour que tout marche bien.

votre avatar

Comment quoi?

Microsoft diffuses les patchs de sécurité tous les second mardi du mois.

Celui-là ou un autre, quelle différence?

votre avatar

Bien sûr, il y a des procédures de tests mais ça, les entreprises sont rodées.

En général, il est testé sur un groupe pilote représentatif sur une durée déterminée et ensuite diffusé à tout le monde.

Je vois pas la différence entre celui-là&nbsp; et ceux des mois précédents…

votre avatar







Aces a écrit :



Et comment si la faille a été découverte il y a peu ??

Je te le dis, un déploiement ça ne se fait pas comme ça, il faut planifier le truc afin que ça se fasse la nuit.

Donc, là, ça ne se fera pas avant la fin de la semaine voir le début de la prochaine semaine.





Si aucun détail technique n’a été fourni publiquement sur la faille (que à Microsoft donc), le risque reste relativement faible. Mais cela n’exclue pas que les entreprises et administrations se doivent de répondre au plus vite, quitte à briser leur politique de tests avant déploiement pour cette mise à jour en particulier.


votre avatar







Gilbert_Gosseyn a écrit :



Si aucun détail technique n’a été fourni publiquement sur la faille (que à Microsoft donc), le risque reste relativement faible. Mais cela n’exclue pas que les entreprises et administrations se doivent de répondre au plus vite, quitte à briser leur politique de tests avant déploiement pour cette mise à jour en particulier.





Le meilleur moyen d’exploiter une faille est d’analyser la différence entre la version originale et avec la correction.&nbsp;

Il y a des gens qui sont très très doués pour ce genre de chose et peuvent en extraire des failles rapidement, puis ensuite les exploiter.


Microsoft colmate une importante faille affectant tous les Windows

Fermer