Trois failles SMB corrigées dans le dernier bulletin Microsoft

Par Rédaction, secuobs.com
Le 13/01/2009

---

Résumé : Le premier bulletin de sécurité Microsoft de l'année 2009 comporte des correctifs pour plusieurs failles identifiées au sein des implémentations du protocole SMB pour les systèmes d'exploitation Microsoft Windows, certaines sont critiques et pourraient éventuellement permettre des exécutions distantes de code arbitraire. - Lire l'article



La société Microsoft vient de publier son premier bulletin de sécurité pour l’année 2009, on y retrouve des correctifs de sécurité pour plusieurs failles qui sont relatives aux implémentations du protocole de partage SMB ( Microsoft Server Message Block - lien ) au sein des différents systèmes d’exploitation de type Microsoft Windows utilisés à l’heure actuelle ; aucune authentification préalable n'est nécessaire à l'exploitation de ces failles.

Les équipes de Microsoft étant surement plus occupée ( lien ) à gérer les multiples requêtes de téléchargement pour la sortie ( lien ) de la dernière version beta de Windows Seven, on regrettera qu’aucun correctif ne soit disponible pour la récente faille de Microsoft SQL Server ( lien ) et dans une moindre mesure celles de WMP ( lien ) et de Wordpad ( lien ).

Dans ce nouveau bulletin ( MS09-001 - lien ), on notera néanmoins que l’évaluation cumulée de ces failles SMB présente un niveau critique pour les systèmes d’exploitation de type Microsoft Windows 2000, Windows XP (32-bit, x64, Service Pack 2 et SP3) et Windows 2003 Server (32-bit, x64, Itanium, SP1 et SP2), alors qu’en ce qui concerne les systèmes Windows Vista (32-bit, x64, SP1) et Windows 2008 server (32-bit, x64, Itanium), cet indice cumulatif n’atteint comparativement qu’une criticité modérée.

Deux de ces vulnérabilités présentent par ailleurs des risques d’exécution à distance de code arbitraire avec des droits élevés qui pourraient permettre à un attaquant de porter atteinte à l’intégrité des systèmes ciblés d’où la classification critique qui est apposée. Une de ces deux failles n’affectant pas les systèmes d’exploitation Windows Vista et Windows Server 2008, alors que la seconde n’impacte pas les configurations par défaut de ces systèmes, on comprend mieux l’évaluation cumulative modérée précédemment citée.

La troisième vulnérabilité reste quant à elle d’un impact moindre puisqu’il ne sera ici question « que » de pouvoir provoquer un Déni de Service ( DoS - lien ) afin de rendre impossible les accès légitimes des utilisateurs réguliers à ces services. Un code d’exploitation est par ailleurs disponible ( lien ) depuis le mois de septembre 2008 en vue d’effectuer un Déni de Service sur les systèmes d’exploitation Microsoft Vista à l’aide de paquets SMB WRITE_ANDX spécialement forgés et envoyés à un serveur de ce type.

A noter que l’exploitation des exécutions distantes de code arbitraire demeureraient cependant relativement peu triviale d'après Microsoft puisque de nombreux facteurs aléatoires seraient ici liés à l’influence des aspects physiques de la machine (mémoire vive, processeur) sur les adresses mémoire à prédire. Le traitement parallèle des requêtes SMB légitimes s'avèrerait également être une source de complexification, il serait alors difficile de définir une méthode universelle de conversion de l'exploitation.

En termes de priorisation de déploiement de ces correctifs, Microsoft recommande vivement, à l’ensemble des administrateurs, la mise à jour immédiate de ces systèmes d’exploitation pour les machines faisant office de serveurs SMB. De par les risques de Déni de Service encourus et cités précédemment, il est également impératif que les contrôleurs primaires et secondaires de gestion de domaine soient mis à jour dans les plus brefs délais.

Pouvant être considérés comme moins sensibles, les autres types de configuration système, comme les postes de travail par exemple, se voient quant à eux affecter une priorisation moindre de la part de la société Microsoft qui part du principe qu’un Déni de Service est dans un tel contexte un risque acceptable ; d’autant plus si des règles spécifiques au protocole SMB ont déjà été configurées et activées sur les systèmes de filtrage en présence.

Source : Blog TechNet ( lien )