Microsoft diffuse actuellement un bulletin de sécurité pour avertir de l’exploitation active d’une faille. Plusieurs produits sont concernés, et même s’il ne s’agit pas forcément des plus récents, beaucoup sont encore largement utilisés.

Windows Vista

Une faille dans le codec TIFF

Microsoft a publié un bulletin de sécurité pour prévenir les utilisateurs de certains produits que des attaques actives sont en cours contre Windows Vista, Windows Server 2008, Office 2003 à 2010, et la totalité des versions supportées de Lync. Évidemment, Vista n’est plus guère utilisé car il a largement été remplacé par Windows 7, mais Windows Server 2008 est encore présent et tout le monde ne possède pas la dernière révision de la suite bureautique.

La faille réside dans le module comprenant le codec pour les images TIFF. C’est ce dernier que l’on retrouve dans tous les produits cités. La faille est exploitée le plus souvent à travers l’envoi d’un email contenant une pièce jointe. Il s’agit d’un document Word spécialement conçu pour tirer parti de la brèche, grâce à une image TIFF embarquée. Si la faille se retrouve exploitée avec succès, l’attaquant peut obtenir les mêmes droits que l’utilisateur actif dans la session.

Une faille activement exploitée dans plusieurs régions du monde

Dans son bulletin, publié hier soir, Microsoft annonce être informé d’attaques en cours, en particulier dans deux régions : le Moyen-Orient et l’Asie du Sud. Les utilisateurs sont donc particulièrement appelés à faire attention quand ils reçoivent un courrier contenant un document Word.

Microsoft aborde essentiellement deux méthodes pour empêcher l’exploitation de la faille. D’une part, une solution de type « Fix It » qui s’installe rapidement. L’effet sera simple et radical : le codec TIFF sera tout bonnement désactivé et ne pourra donc plus être exploité. La contrepartie est que si vous disposez de documents légitimes contenant ce type d’image, ils ne seront plus lus correctement.

Désactivation du codec ou atténuation des risques

L’autre solution est d’installer le kit EMET (Enhanced Mitigation Experience Toolkit). Il ne s’agit pas à proprement parler d’une solution directe pour la faille dont il est question. Le kit regroupe en fait une série de mesures qui vont aider l’utilisateur à réduire les risques, soit en atténuant les « prises » des attaques, soit en réduisant les effets de l’exploitation. Si Microsoft préconise également cette solution, c’est qu’elle possède un avantage vis-à-vis du patch Fix It : le kit EMET n’affecte normalement pas les fonctionnalités des applications.

Microsoft indique en outre surveiller activement la manière dont les attaques évoluent. Un véritable correctif est également en préparation. Il y a d’ailleurs des chances qu’il puisse être diffusé hors cycle habituel (deuxième mardi de chaque mois) puisque des attaques actives sont en cours.

On notera enfin qu'elles vont avoir tendance à toucher davantage les entreprises que les particuliers.  Lync est en effet une solution professionnelle, tandis que les ordinateurs sont vendus sous Windows 7 et 8 depuis plusieurs années maintenant. Le plus grand vecteur d’attaque serait de faire la suite Office, dont les versions 2003 à 2010 sont très courantes. Prudence donc si vous êtes concerné, notamment si vous êtes utilisateur d’Outlook. La règle élémentaire de prudence sur les pièces jointes est donc plus que jamais d’actualité.