Mardi 14 décembre, des patch sensibles de Microsoft
Le Tuesday Patch de Microsoft prévu pour mardi 14 décembre comprendra un nombre record de 17 mises à jour de sécurité. Elles corrigent 40 vulnérabilités dans Windows, Internet Explorer, Office, SharePoint et Exchange.
Pour son Tuesday Patch du 14 décembre prochain, Microsoft établit un nouveau record avec 17 mises à jour. Pour certaines d'entre elles, il était temps, car deux corrigent des failles déjà exploitées par les pirates. Reste que ce nombre étonne Andrew Storms, responsable des questions de sécurité chez nCircle, un éditeur de logiciel d'analyse de la conformité et de la sécurité : « Je m'attendais à une dizaine de mises à jour au maximum, mais pas à 17 ! » a-t-il déclaré.
Cela représente une mise à jour de plus qu'en octobre 2010. Quant aux 40 vulnérabilités, c'est, selon Microsoft, 9 de moins que le record établi en octobre, mais 6 de plus que les plus gros mois (en octobre 2009, en juin et août 2010). Le nombre total de bulletins émis cette année - 106 - est aussi un record, de même que les 266 vulnérabilités corrigées. Côté Microsoft, on justifie ce record. Mike Reavey, directeur du Microsoft Security Response Center (MSRC), défend le rythme de correctifs livrés en 2010 dans un blog. « Ce rythme est dû en parti à la légère augmentation des rapports de vulnérabilité sur les produits Microsoft et au fait que Microsoft assure le suivi de ses produits sur des périodes allant jusqu'à dix ans,» écrit-il. Il ajoute : « Les anciennes versions sont l'objet d'attaques utilisant des méthodes plus récentes, et ce facteur est aggravé par une augmentation globale de la vulnérabilité, d'où un nombre plus élevé de rapports. »
Un nombre élevé pour une fin d'année
Néanmoins, c'est la valeur élevée pour un mois de décembre qui a attiré l'attention d'Andrew Storms. «Le nombre est assez surprenant, » estime-t-il en effet. « Au cours des trois dernières années, Microsoft n'a jamais publié plus de 9 mises à jour ce mois-là, » a-t-il ...
... comptabilisé. « Certes, Microsoft ne se fie pas nécessairement à ce qui se passe ailleurs, mais le fait est que de nombreuses entreprises n'appliqueront pas la plupart de ces correctifs avant le premier jour de l'année à venir, » a-t-il ajouté. D'une part, les entreprises informatiques sont en effectifs réduits ce mois-ci - à cause des jours fériés et des vacances -, et elles ne prendront pas le risque de devoir affronter les problèmes qui pourraient éventuellement résulter de ces correctifs à un moment de l'année très important en termes d'activité.
« Ne rien faire est pour les entreprises un moindre risque, » a déclaré Andrew Storms. « C'est particulièrement vrai pour les entreprises du secteur financier par exemple, qui ont verrouillé leurs systèmes depuis début novembre. Beaucoup interdisent d'effectuer des mises à jour les deux derniers mois de l'année pour s'assurer que leur matériel continuera à fonctionner, » a-t-il expliqué.
Des mises à jour très importantes pour Windows, Exchange et Sharepoint
Deux des 17 mises à jour sont qualifiées de « critiques » par Microsoft, soit la note la plus élevée en termes de menace dans son échelle de gravité à 4 niveaux. Les 14 autres sont classées « importantes », soit au deuxième rang, tandis que la dernière est considérée comme « modérée. » Dix failles pourraient être mises à profit par des hackers pour injecter à distance du code malveillant sur des PC, indique par ailleurs Microsoft dans sa notification préliminaire habituelle. L'éditeur qualifie souvent les failles permettant l'exécution de code à distance - les plus dangereuses - d'« importantes », dans le cas où les éléments vulnérables ne sont pas activés par défaut, ou ...
... lorsque d'autres circonstances atténuantes, comme des mesures défensives de type ASLR et DEP, peuvent protéger certains utilisateurs. « Parmi les correctifs de ce Tuesday Patch, on trouvera celui qui corrige une vulnérabilité déjà décrite dans toutes les versions d'IE, » a déclaré Mike Reavey. Début novembre, Microsoft dévoilait un bug «zero-day » dans IE et confirmait que les attaques exploitant la faille étaient déjà en cours. Mais l'éditeur n'avait pas été en mesure de développer ni de tester un patch dans les temps pour l'inclure dans sa mise à jour de sécurité mensuelle, prévue six jours après.
La mise à jour d'IE à paraître est l'une des deux qualifiées de critique, et sera applicable à toutes les versions du navigateur, à l'exception peut-être d'IE9, toujours en preview. « Microsoft a également l'intention de corriger la dernière des quatre vulnérabilités de Windows utilisées par le ver Stuxnet pour infiltrer les systèmes de contrôle industriel, » a précisé Mike Reavey. D'après l'éditeur, ce bug, qui permet aux attaquants de s'octroyer des privilèges d'accès sur le PC infecté, n'a pas été exploité par d'autres malwares que Stuxnet. Cependant, le code d'exploitation de cette vulnérabilité était disponible sur Internet pendant plusieurs semaines.
Sur les 17 mises à jour, 13 concernent une ou plusieurs versions de Windows, 2 corrigent Office et Microsoft Works, et les 2 dernières comblent des failles dans Exchange et SharePoint Server respectivement. Andrew Storms s'interroge sur l'update d'Exchange. « Chaque fois qu'une mise à jour concerne l'e-mail, on est forcément préoccupé, parce que le serveur est confronté au monde extérieur, et qu'il peut y avoir des vecteurs d'attaque facile à exploiter. Au contraire, SharePoint est généralement très bien protégé à l'intérieur du réseau, » dit-il.
Des mises à jour délicates à installer en décembre
La mise à jour nommée simplement « Bulletin 2 » par Microsoft a également attiré l'attention d'Andrew Storms. « Celle-ci concerne toutes les versions de Windows, mais elle est qualifiée de critique pour les nouvelles éditions seulement, notamment Windows Vista, Seven et Server 2008. Le même bulletin est qualifié d'important pour les anciennes versions des systèmes Windows XP et Server 2003. » La taille du correctif de décembre sera aussi difficile à gérer pour les administrateurs, à cause de certains évènements particuliers, à savoir la publication des télégrammes diplomatiques américains confidentiels par WikiLeaks et les représailles qui ont suivi sous forme d'attaques par déni de service (DDoS) contre des sociétés comme Amazon, MasterCard et PayPal.
« Les attaques par DDoS contre WikiLeaks, pourraient très rapidement choisir d'autres cibles, les administrateurs ont à faire pour se protéger. Voilà en plus qu'ils doivent aussi appliquer ce Tuesday Patch de Microsoft et ses 17 mises à jour, » a déclaré Paul Henry, analyste en sécurité informatique chez Lumension. « Il y a déjà fort à faire à part ce Tuesday Patch, » a confirmé Andrew Storms. « Les attaques continuent contre ou pour WikiLeaks. Et puis il y a toujours quelques « zero-days » qui surgissent aux alentours de Noël ! »
Andrew Storm pense que Microsoft proposera des solutions de contournement pour parer aux bugs les plus flagrants corrigés la semaine prochaine, de façon à permettre aux entreprises et aux utilisateurs de se protéger, s'ils n'étaient pas en mesure d'appliquer les mises à jour de sécurité. « Microsoft a été assez bon dans ce domaine dernièrement, » a déclaré Andrew Storms. « Je m'attends donc à ce que l'éditeur propose une série de mesures probantes pour limiter les risques. » Les 17 mises à jour seront livrées vers 13h00 (côte Est des États-Unis) le 14 décembre.