Exceptionnellement, Microsoft vient de livrer pour Windows Server l'une de ses rares mises à jour effectuées en dehors de son Patch Tuesday régulier. Il est vrai qu'il y a urgence puisque le correctif MS14-068 vient combler une faille critique déjà exploitée par des attaques, ainsi que le reconnaît Microsoft dans son bulletin. Cette vulnérabilité touche Kerberos KDC en présentant un risque d'élévation de privilèges vers un compte d'administrateur. Kerberos est le protocole utilisé pour authentifier mutuellement les utilisateurs et les services sur un réseau ouvert non sécurisé. Il utilise des clés partagées qui chiffrent les certificats des utilisateurs et chaque client est authentifié par un ticket délivré par le centre de distribution de clés, Kerberos Key Distribution Center.
Le patch livré doit supprimer la faille dans toutes les versions de Windows Server, depuis la version 2003 (dont le support s'arrêtera en 2015) jusqu'à la dernière édition 2012 R2. Selon Microsoft, les attaques ayant déjà exploité la faille n'ont pas affecté les systèmes fonctionnant sous Windows Server 2012 ou 2012 R2.
Versions clientes de Windows aussi mises à jour
Ce correctif va également mettre à jour les versions clientes de Windows, de Vista jusqu'à 8.1. Même si la vulnérabilité ne peut pas être exploitée dans ces versions, Microsoft en profite pour modifier Vista et les déclinaisons suivantes (7, 8 et 8.1) pour anticiper l'éventuelle diffusion d'une technique d'exploit.
La mise à jour livrée hier par Microsoft est l'un des deux bulletins dont l'éditeur avait différé la diffusion la semaine dernière lors de la publication de son Patch Tuesday mensuel. L'un portait sur Exchange Server en raison d'un problème sur le package d'installation d'Exchange Server 2013 qui risquait de corrompre certains fichiers Outlook Web Access lors de sa mise en place, ainsi que l'équipe du produit l'explique dans un billet.
Ce correctif a été reporté en décembre. Microsoft publie régulièrement sa mise à jour de sécurité chaque 2ème mardi de chaque mois. Le dernier date du 11 novembre.
Urgent : Microsoft corrige Windows Server pour une faille exploitée
1
Réaction
Sans attendre le prochain Patch Tuesday, qui n'arrivera pas avant décembre, Microsoft livre un correctif pour combler une vulnérabilité touchant le protocole d'authentification Kerberos dans l'OS serveur de Windows. Les attaques déjà signalées n'ont pas touchées Windows Server 2012 et 2012 R2.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Vaut mieux tard que jamais.
Signaler un abus