Au total, le bulletin de sécurité livré mardi corrige 14 vulnérabilités, dont 5 ont été identifiées comme critiques, ce qui signifie que les administrateurs doivent les appliquer au plus vite. Le patch concerne les éditions grand public et serveur de Windows, Internet Explorer, Office SharePoint Server et Exchange Server, et il corrige la vulnérabilité Freak (Factoring RSA-EXPORT on Attack Keys) découverte au début du mois. Celle-ci permet à un attaquant d'intercepter le trafic SSL crypté pendant le transit des données entre clients et serveurs. « Un attaquant pourrait utiliser la faille pour voir discrètement les données échangées entre deux parties et même les modifier », a déclaré Amol Sarwate, directeur de l'ingénierie de l’entreprise de sécurité Qualys. Et, bien que la faille Freak réside dans le SSL lui-même, l’avis MS15-031 corrige les implémentations SSL dans le propre logiciel de Microsoft.
« Les avis MS15-018 pour Explorer et MS15-022 pour Office corrigent quant à eux des failles critiques qui pouvaient permettre à un attaquant de prendre le contrôle d'une machine à distance », a ajouté Amol Sarwate. Par exemple, un pirate pourrait exploiter ces vulnérabilités pour injecter un malware sur une machine en incitant l’utilisateur à ouvrir une page Web infectée avec Internet Explorer ou à ouvrir un document infecté dans Office. « Essentiellement, ces vulnérabilités peuvent permettre à un attaquant de prendre le contrôle de la machine », a déclaré le directeur de l’ingénierie.
Des vulnérabilités mineures à ne pas négliger
L’avis MS15-026 n’est pas un avis critique, mais Amol Sarwate conseille tout de même aux administrateurs qui gèrent des serveurs Exchange de ne pas le négliger. En effet, les vulnérabilités concernées par ce correctif affectent l’Outlook Web Access (OWA) d’Exchange, par lequel passent les utilisateurs pour consulter leur courrier électronique avec un navigateur web. En cliquant sur un lien malveillant contenu dans un e-mail, l’utilisateur peut être dirigé vers le site OWA. En retour, les privilèges d'accès de l'attaquant sont étendus sur la machine ciblée.
Un autre avis MS15-030 insiste sur la sécurisation des connexions à distance vers un serveur. La vulnérabilité réside dans Microsoft Remote Desktop Protocol (RDP) laquelle peut être utilisée pour saturer un serveur avec une attaque par déni de service (DoS). « Les administrateurs aiment beaucoup le protocole RDP, car il permet de se connecter facilement à une machine distante. Mais s’ils le font, ils doivent prendre des mesures de sécurité supplémentaires, en passant par exemple par un réseau privé virtuel », a déclaré Wolfgang Kandek, CTO de Qualys. « Conserver un port ouvert pour du trafic RDP arrivant directement de l'Internet offre aux pirates une surface d'attaque supplémentaire. C’est une raison suffisante pour inciter les utilisateurs du RDP à appliquer ce patch », estime le CTO.
Commentaire