La vulnérabilité du protocole SMB (Server Message Block) de Windows a été révélée jeudi dernier par un chercheur en sécurité. Après sa découverte, celui-ci a posté un exploit « proof-of-concept » sur GitHub. Dans un premier temps, certains ont craint que la faille permette également l'exécution de code arbitraire, en plus du déni de service, ce qui aurait rendu la vulnérabilité critique. D’ailleurs, dans un avis publié jeudi, le centre de coordination CERT (CERT/CC) de l'Université Carnegie Mellon a même alerté contre cette potentielle exécution de code arbitraire.
Mais l’avertissement a été retiré depuis de son document et le CERT a revu le niveau de gravité de la faille à la baisse, qui a été rétrogradée de 10 (niveau critique) à 7,8 (niveau élevé). Les attaquants peuvent exploiter la vulnérabilité en trompant les systèmes Windows afin de les inciter à se connecter à des serveurs SMB malveillants qui envoient des requêtes spécialement conçues. Une exploitation réussie se traduit par le crash du pilote mrxsmb20.sys et déclenche le message d’erreur Blue Screen of Death (BSOD) ou Ecran bleu de la Mort.
Une mise à jour attendue le 14 février
« Plusieurs techniques existent pour forcer les ordinateurs à ouvrir des connexions SMB et certaines exigent peu, voire aucune intervention de l'utilisateur », a prévenu le CERT/CC. Le centre de coordination a confirmé la validité de l'exploit sous Windows 10 et Windows 8.1, ainsi que sous Windows Server 2016 et Windows Server 2012 R2. « Windows est la seule plate-forme qui s’engage à enquêter sur les questions de sécurité avérées et à mettre à jour proactivement les périphériques touchés dès que possible », a déclaré un représentant de Microsoft par courriel. « Quand les risques sont peu importants, notre politique est d’intégrer un correctif dans l’Update Tuesday prévu par le calendrier ».
L’Update ou le Patch Tuesday correspond au jour défini par Microsoft pour livrer les mises à jour de sécurité pour ses produits. Celui-ci est programmé le deuxième mardi de chaque mois et le prochain est prévu pour le 14 février. La firme de Redmond sort parfois de ce cycle régulier de correctifs pour livrer des mises à jour pour des vulnérabilités critiques et activement exploitées. Mais ce ne sera probablement pas le cas cette fois, d’autant que le niveau de gravité de la faille a été revu à la baisse et qu’elle ne présente apparemment aucun risque d'exécution de code à distance.