Un groupe de sécurité
chinois (baptisé X-Focus) a publié vendredi
dernier, sur diverses listes de diffusion publiques spécialisées,
le code d'un programme
visant à profiter d'une faille majeure du système
Windows annoncée le 16 juillet.
La pratique est controversée: pour les uns, une
telle action incite les utilisateurs à la prudence,
pour les autres elle est de nature à motiver les
pirates, d'autant que la vulnérabilité en
question permet potentiellement de prendre totalement
le contrôle d'une machine non "patchée".
Annoncée
avec un niveau d'alerte très élevé
par différents organismes de veille, elle affecte
Windows
NT4/2000/XP ainsi que Windows Server 2003, et touche
plus précisément le composant DCOM chargé
des appels de procédures distantes -
RPC pour Remote Procedure Call.
La faille vient d'une mauvaise prise en charge des messages
RPC erronés: il suffit à un pirate d'envoyer
certains messages de ce type au système pour
le pénétrer.
Les
risques de création d'un ver
La
mise en ligne d'un code d'exploitation pour cette faille
devrait encourager les utilisateurs à renforcer
la protection de leurs systèmes mais pourrait
également servir de base à la création
d'un ver ciblant les systèmes Windows.
Un tel cas de figure s'est déjà produit
par le passé: citons
par exemple Slammer/Sapphire, dont les conséquences
de la propagation ont été particulièrement
nocives, et qui découlait de la publication d'un
code trouvé par un chercheur.
Pour
l'heure, étant donné qu'il s'est écoulé
relativement peu de temps depuis l'annonce de l'existence
de la faille au regard des délais de mise en
place du patch distribué par Microsoft sur des
réseaux de plusieurs milliers de machines, la
menace d'un nouveau ver reste d'actualité, même
si rien ne semble avoir été tenté
ces derniers jours.
Travailler à partir du code publié s'avèrerait
toutefois une tâche aisée selon le chercheur
spécialisé HD Moore, cité par News.com,
qui a déjà amélioré le source
chinois.
Par
delà la polémique de l'utilité
de la publication de tels codes, la menace semble donc
sérieuse, d'autant que la nature du ver qui pourrait
être produit le prédisposerait à
infecter rapidement un très grand nombre de machines.
Il est donc recommandé
aux utilisateurs de télécharger au plus
vite le
patch disponible sur le site de Microsoft et de
s'assurer de l'efficacité de leurs protections,
quitte à désactiver les systèmes
faillibles.
|