Giboulée d'automne sur la MS06-040
Non, il n'y a strictement pas de quoi s'inquiéter ... pour peu que l'on ait appliqué les mesures prophylactiques d'usage, à savoir au minimum « fermé » les ports IP 139 et 445 (au passage, autant en profiter pour vérifier l'isolation de toute la famille netbios sur les 137 et 138), et éventuellement installé la rustine 06-040. Il est cependant intéressant de noter que les attaques tentant d'exploiter cette faille se situent, ces derniers jours, très nettement au dessus de la normale. Un peu comme si les « c0d3rZ » tentaient de faire plaisir aux journalistes qui voyaient en ce trou les prémices d'une apocalypse numérique. Rappelons que le Luhq avait, en son temps, publié trois articles, l'un le 11 août intitulé « plus de bruit que de réelle menace », un second le 12, analysant le fonctionnement de la mutation Mocbot, et un troisième le 15, se penchant sur l'aspect « spamesque » de l'épidémie, et nous apprenant au passage les subtilités du passage de paramètre « télécharge et exécute » lancé par l'ordre e http://nomdedomaine.tld/fichierexecutable.ext De l'avis même des chasseurs de malwares, à commencer par Symantec sous la plume de Nicolas Fallière, le vecteur d'attaque est aussi ancien qu'un Mig 21 soviétique reconditionné par l'armée indienne. Mais ces antiques chevaux de labours revus et corrigés, du calibre de spybot ou de msblast, sont encore assez vaillants pour éveiller l'attention du Sans qui, hier, se posait la question « mais qu'est-ce qui se passe sur le port 139 ? ». Une interrogation, mais toujours pas le moindre frémissement d'inquiétude. Autant en profiter pour parcourir la page de garde de ce même Sans qui, ce jour même, consacre son « tip of the day » au mot Audit. Audit de sécurité, cela va sans dire.
