Deux des trois vulnérabilités, dont la plus sérieuse, ont été intégrées à la mise à jour MS10-024 que Microsoft a livré le 13 avril dernier pour corriger des bugs dans Exchange et Windows SMTP Service. L'éditeur avait même qualifié ces correctifs d'«importants», le second rang dans son classement des menaces. Selon Ivan Arce, chef de la technologie chez Core Security Technologies, Microsoft a corrigé ces bugs en omettant de le faire savoir. Selon lui, «ces correctifs étaient plus importants que les deux [vulnérabilités] dont Microsoft a fait état. Cela signifie que les administrateurs système n'ont pas disposé de cette information pour évaluer le risque, ce qui les a peut-être amenés à prendre de mauvaises décisions quant à l'application de cette mise à jour. »

Nicolas Economou, chercheur chez Core Labs, a découvert les deux bugs « anonymes » en fouillant dans la mise à jour. Cette activité fait partie de son job chez Core, où il réalise des tests de pénétration, les Core Impact, réputés pour mettre à jour les vulnérabilités potentielles des ordinateurs et des réseaux en les plaçant en situation d'attaques réelles. « Un attaquant peut facilement exploiter les deux vulnérabilités non divulguées antérieurement et réparées par le patch MS10-024 pour tromper les réponses à toute requête DNS envoyées par le service SMTP de Windows, » a déclaré Core, suite à la découverte de son chercheur. «L'usurpation de la réponse DNS et les attaques par contamination du cache sont aussi connues pour provoquer une variété de problèmes de sécurité ayant un impact qui dépasse le déni de service et la divulgation d'informations, comme l'indiquait à l'origine le document accompagnant le patch. » La contamination du cache DNS est une tactique d'attaque qui ne date pas d'hier - elle remonte à près de deux décennies - mais elle est probablement mieux connue pour les vulnérabilités critiques qu'elle produit sur le DNS Internet, comme l'a découvert Dan Kaminsky en 2008.

[[page]]

Les correctifs appliqués en secret ne sont ni nouveaux, ni rares. « C'est ce qui s'est passé pendant de nombreuses années et cette modalité en soi n'a rien du complot, » a déclaré Andrew Storms, directeur des opérations de sécurité chez nCircle Security. Ce qui est plus inhabituel, c'est que Core ait rendu la mise à jour « cachée » de Microsoft publique. En déclarant que Microsoft a « caché» et « sous-estimé» le degré de menace corrigé par le MS10-024, Core exhorte les  administrateurs à «envisager de réévaluer les priorités pour le déploiement de ce patch. »  Dans l'autre mise à jour MS10-028 publiée le 13 avril, Core a également débusqué un correctif non déclaré qui répare deux bugs identifiés dans Microsoft Visio, le logiciel de création de diagrammes de Microsoft.

Microsoft a reconnu avoir corrigé ces défauts à l'insu de ses clients, et s'est défendu en déclarant : «Quand une faille est découverte, Microsoft mène une enquête approfondie sur cette vulnérabilité. A la suite de quoi elle peut être amenée à modifier d'autres éléments du code et soumet alors les mises à jour de sécurité à de nombreux tests pour s'assurer de leur qualité, » a déclaré Jerry Bryant, en charge de la sécurité des programmes, dans un mail. « Cela permet de limiter le nombre de mises à jour que les clients auront à déployer, dans la mesure où elle peut perturber l'environnement dans lequel le client exerce son activité » Si la faille interne découverte nécessite une action distincte ou une orientation particulière qui ne sont pas déjà couvertes par les autres vulnérabilités, «nous documentons et réglons cette vulnérabilité séparément, » a déclaré Jerry Bryant.

[[page]]

« La vérité est que, comme d'habitude, les affaires sont les affaires, et pas seulement pour Microsoft, mais pour la plupart des éditeurs de logiciels, » a déclaré Andrew Storm. « Les vendeurs trouvent souvent eux-mêmes les bogues dans leur code et distribuent ensuite les correctifs dans une mise à jour d'ensemble, » fait-il remarquer. « La plupart du temps, il n'y a tout simplement aucun avantage à divulguer la nature du bug. » En fait, « la politique de Microsoft est de ne pas attribuer d'identifiant destiné à figurer dans la base de données «Common Vulnerabilities and Exposures » (CVE) pour des failles constatées par ses chercheurs, » a déclaré Andrew Storms. « Un vendeur n'a pas l'obligation de demander un CVE pour les bugs identifiés en interne, » a t-il ajouté.

Faisant écho aux préoccupations de Ivan Arce au sujet d'un éventuel détournement de cette pratique, laquelle pourrait se traduire par un faux sentiment de sécurité chez les utilisateurs, il répond que « la question est de savoir si le vendeur qui cache le risque, retarde la nécessité d'appliquer la mise à jour. Par exemple, si un patch d'IE8 qualifié de « modéré »par Microsoft contient également le correctif d'une faille critique, cette évaluation sous cotée peut-elle exposer les utilisateurs à un risque, dans la mesure où ils pensent pouvoir retarder l'application du patch, puisqu'ils n'ont aucune idée de la faille critique réparée en même temps ? » Ivan Arce soutient que c'est exactement ce que Microsoft fait avec la MS10-024. « Il y a deux ans, en 2008, Microsoft a corrigé une vulnérabilité très similaire avec le patch MS08-037, » dit-il, celui-là même qui réparait la faille dans le DNS découverte par Kaminsky. « Si ce n'était pas une faille, alors, pourquoi ont-ils émis un bulletin de vulnérabilité ? » a t-il demandé. « En aucune manière, ils ne peuvent dire que ce n'est pas un problème de sécurité. »

« Que ce soit côté éditeur ou côté client, il n'y a pas de réponse facile,» a ajouté Andrew Storm. « Si le vendeur livre un patch critique en donnant peu d'informations, comme ça a été le cas d'Adobe par exemple, nous harcelons le vendeur pour savoir ce qu'il contient. D'autre part, compte tenu de la charge de travail des équipes de sécurité au sein des entreprises, nous devons pouvoir faire confiance à l'estimation du vendeur pour déterminer la priorité à donner à sa mise à jour. »

Les points de vue de Core sur les patch MS10-024, MS10 -028 sont disponibles sur son site web.