93 Membres 1308 Contributions

Open Community

Se protéger efficacement contre la vulnérabilité Microsoft MS11-083

Publiée par Morgan G. - Arkoon dans technique

Ce mardi 8 novembre, Microsoft publiait le correctif et le bulletin d'une vulnérabilité critique de la pile TCP/IP des Windows dernière génération (Vista/Seven/2008). L'information est à prendre au sérieux car, si Microsoft ne diffuse que peu d'éléments, il semblerait qu'on puisse tout simplement provoquer un déni de service ou pire, exécuter du code à distance en envoyant des datagrammes de façon continue sur un port UDP, même fermé. Il s'agit donc d'une vulnérabilité liée non pas à un service, mais directement à la pile TCP/IP, ce qui est particulièrement dangereux : on peut couper un service mais on ne peut pas supprimer la pile IP.

Microsoft ne diffuse que très peu d'informations au sujet de cette vulnérabilité et il est donc difficile de l'appréhender. Nous allons tout de même voir qu'il suffit de mettre en pratique les bonnes règles de sécurité périmétrique pour se protéger efficacement :

Les informations que diffuse Microsoft sur la faille MS11-083 sont peu précises et aucun exploit public n'a été diffusé pour cette vulnérabilité. Plusieurs personnes pensent qu'il faut envoyer 2^32 paquets UDP pour provoquer le bug. D'autres disent pouvoir y parvenir en seulement quelques paquets. Malgré cela, il paraît évident que :

  • Microsoft indique que le bug n'est pas évident à contrôler une fois provoqué.
  • Plusieurs autres failles similaires sont peut-être exploitables.
  • Les exploits qui circulent et qui tentent d'envoyer 2^32 paquets UDP sont longs à mettre en place. On parle de 52 jours de flood pour pouvoir voir comment se comporte la pile TCP/IP, mais alors pourquoi Microsoft se dépêcherait autant pour corriger une faille tellement inaccessible ?

En résumé, le descriptif de la vulnérabilité est flou et les chances de l'exploiter sont maigres (mais pas nulles). De plus, le système de gestion des mises à jour de Windows est plutôt bien fait et il ne fait aucun doute que la vulnérabilité sera ainsi colmatée sur la plupart des postes assez vite. Mais un moyen simplissime persiste pour se protéger : les bonnes règles de sécurité périmétriques...

En effet, il n'est possible d'exploiter cette faille que si un poste est directement accessible depuis un réseau non-sur (comme internet). Pour protéger son parc de l'extérieur, il suffit donc de bloquer les ports qui ne sont pas en écoute. Il convient donc de revoir sa politique de sécurité pour s'assurer qu'aucun poste ne dispose de ports accessibles directement depuis l'extérieur. En clair, ces tentatives doivent être bloquées par des ports bloqués (et non fermés).

Pour protéger son parc de l'intérieur, puisque le risque existe néanmoins, se tenir à jour reste obligatoire pour protéger tous les postes de leurs éventuels 'collègues' malveillants.

Les bonnes pratiques de sécurité peuvent être induites par de bons outils. Les appliances Arkoon se configurent selon la politique «Tout est bloqué sauf indication contraire» et c'est grâce à ce type d'approche qu'une bonne pratique est de facto mise en œuvre dès le départ. Reste à vérifier qu'à force de retoucher sa configuration, on n'ait pas laissé de ports redirigés vers un poste qui ne serait pas à jour.

Pour publier un commentaire, merci de vous authentifier.

Messages d'alerte