Wolfgang Kandek, Qualys : L’essentiel du Patch Tuesday de janvier 2015
janvier 2015 par Wolfgang Kandek, CTO, Qualys
Nous sommes en janvier 2015 et plus précisément à la veille du premier Patch Tuesday de l’année. Microsoft aurait déjà dû publier sa première pré-notification de sécurité (Advance Notification Service ou ANS) avant de lancer le cycle de patch. Or, la nouvelle année apporte tout un cortège de changements et la pré-notification est concernée par l’un d’eux. En effet, Microsoft arrêtera de fournir publiquement les informations ANS et les parties intéressées devront en faire la demande en s’adressant à leur chargé de compte.
Jetons un œil sur l’année qui s’est écoulée pour voir ce que nous réserve la nouvelle. 2014 a plutôt été une année turbulente en matière de sécurité de l’information au sens large. En effet, il y a eu des failles de données d’envergure, notamment celles qui ont affecté JP Morgan Chase, Home Depot et Sony, des vulnérabilités critiques au sein de logiciels Open Source, notamment Heartbleed dans OpenSSL et Shellshock dans Bash, des logiciels mis au rebus (Windows XP et Java 6) ainsi qu’un nombre élevé de vulnérabilités 0-Day dans des logiciels Microsoft et Adobe qui a dû patcher Flash chaque mois de l’année 2014.
Les vulnérabilités 0-Day continuent de faire parler d’elles en ce début d’année, non pas à cause de pirates cette fois, mais par le biais d’une équipe chargée de la recherche en sécurité. Le Project Zero de Google traque les vulnérabilités au sein des logiciels courants et publie les résultats de manière transparente. Les entreprises disposent ensuite de 90 jours pour résoudre les problèmes avant que les informations relatives aux vulnérabilités ne deviennent publiques. Membre de l’équipe en charge du Project Zero, James Forshaw a découvert une vulnérabilité basée sur une élévation locale de privilèges dans Windows 8.1 le 30 septembre dernier et l’a rendue publique le 29 décembre, ce qui a ravivé la polémique sur l’intérêt de telles divulgations en l’absence d’un quelconque patch à proposer (voir les commentaires ici :https://code.google.com/p/google-security-research/issues/detail?id=118). S’agissant d’une élévation locale de privilèges, cette vulnérabilité ne peut être exploitée que par un pirate déjà présent sur la machine ciblée. Cependant, une fois l’attaquant installé sur ladite machine, cette vulnérabilité lui permet d’en devenir administrateur et d’avoir un contrôle total sur la machine cible. Vous vous souvenez de Stuxnet ? Les attaquants avait inséré 2 vulnérabilités 0-Day dans le code malveillant afin de pouvoir devenir administrateurs et d’avoir un contrôle complet d’une machine. La présente vulnérabilité appartient à une classe semblable. Il n’y a fondamentalement pas de quoi s’affoler, sauf si elle est associée à d’autres vulnérabilités ou à un accès obtenu grâce à des certificats volés.