Toujours pas de correctif pour XP, malgré les attaques en cours

Microsoft reste pour l'instant ferme sur l'absence de support pour Windows XP.L’Ă©diteur de Redmond reste ferme sur l’arrĂȘt du support de Windows XP et refuse de corriger un bug dans Internet Explorer dĂ©jĂ  exploitĂ© par les pirates.

Microsoft et des experts en sĂ©curitĂ© extĂ©rieurs Ă  la firme ont dĂ©clarĂ© que des pirates exploitaient une vulnĂ©rabilitĂ© dans Internet Explorer (IE) sous Windows XP et que le dernier Patch Tuesday livrĂ© mardi ne contenait aucun correctif pour rĂ©soudre le problĂšme, conformĂ©ment Ă  l’arrĂȘt de tout support pour l’ancien systĂšme. Le bug, identifiĂ© sous la rĂ©fĂ©rence CVE-2014-1815, est une des deux vulnĂ©rabilitĂ©s critiques affectant IE6, IE7, IE8, IE9, IE10 et IE11 et corrigĂ©es par Microsoft mardi dernier. Dans l’avis de sĂ©curitĂ©, l’Ă©diteur fait remarquer que la vulnĂ©rabilitĂ© Ă©tait connue et dĂ©jĂ  exploitĂ©e par les pirates avant cette mise Ă  jour. « Microsoft a connaissance d’attaques limitĂ©es qui tentent d’exploiter cette vulnĂ©rabilitĂ© dans Internet Explorer », reconnaĂźt l’avis. Mais, parce que Windows XP ne bĂ©nĂ©ficie plus d’aucun support depuis le mois dernier, les utilisateurs sous XP n’ont pas reçu de mise Ă  jour de sĂ©curitĂ© pour IE, contrairement aux utilisateurs sous Windows Vista, Windows 7 et Windows 8.

Mardi Ă©galement, Microsoft a rĂ©affirmĂ© qu’il ne corrigerait plus les nouveaux bugs affectant Windows XP. Pour montrer que sa dĂ©cision Ă©tait ferme et dĂ©finitive – et que le patch d’urgence, livrĂ© le 1er mai pour corriger une vulnĂ©rabilitĂ© dans IE sous XP, Ă©tait exceptionnel – un porte-parole de la firme de Redmond a dĂ©claré : « La dĂ©cision de mettre fin au support de Windows XP ne sera pas remise en question ». Initialement, Windows XP avait Ă©tĂ© livrĂ© avec IE6, mais au fur et Ă  mesure, les utilisateurs sont passĂ©s aux versions IE7 et IE8. Cette version, vieille de 5 ans, est la derniĂšre capable de tourner sur XP. Si l’ancien systĂšme mis au rancart Ă©tait toujours pris en charge, les machines sous XP auraient certainement reçu la mise Ă  jour. « C’est la premiĂšre fois que Windows XP est exclu de la procĂ©dure », a dĂ©clarĂ© hier par courriel Ross Barrett, directeur senior, responsable de l’ingĂ©nierie de sĂ©curitĂ© chez Rapid7. « Les versions IE6, IE7 et IE8 pour Windows [Serveur] 2003 sont Ă©galement vulnĂ©rables. Auparavant, elles tombaient dans le mĂȘme champ d’application de correctifs que Windows XP, mais pas cette fois ». Comme le fait remarquer Ross Barrett, l’avis de sĂ©curitĂ© indique que Microsoft Windows Server 2003 est concernĂ© par cette vulnĂ©rabilitĂ©. Le support pour ce systĂšme court jusqu’au 14 juillet 2015 et il a bien Ă©tĂ© corrigĂ© par le dernier Patch Tuesday.

Une vulnérabilité classée critique

La vulnĂ©rabilitĂ© CVE- 2014-1815 est une vulnĂ©rabilitĂ© « drive-by » standard qui peut ĂȘtre dĂ©clenchĂ©e en incitant les utilisateurs d’IE Ă  visiter un site web malveillant ou compromis. Si un utilisateur se connecte Ă  un tel site avec une version non corrigĂ©e d’Internet Explorer, l’exploit entre en action : il prend immĂ©diatement le contrĂŽle du PC et copie un logiciel malveillant sur le disque dur. Étant donnĂ© que les versions IE6, IE7 et IE8 de Windows XP ne seront pas corrigĂ©es, les utilisateurs resteront vulnĂ©rables Ă  ces attaques sournoises Ă  perpĂ©tuitĂ©. La plupart des professionnels de la sĂ©curitĂ© invitent vivement ceux qui veulent conserver XP Ă  opter pour d’autres navigateurs toujours Ă©ligibles Ă  des mises Ă  jour, comme c’est le cas de Chrome, de Firefox et d’Opera. Selon une enquĂȘte rĂ©alisĂ©e par nos confrĂšres de Computerworld, les utilisateurs de XP peuvent considĂ©rablement rĂ©duire leur risque en abandonnant IE.

D’autres vulnĂ©rabilitĂ©s corrigĂ©es par le dernier Patch Tuesday de Microsoft ne seront pas non plus appliquĂ©es Ă  Windows XP. « Nous pouvons supposer que toute vulnĂ©rabilitĂ© affectant Windows Server 2003, affecte aussi Windows XP, et au minimum les vulnĂ©rabilitĂ©s MS12-029 (IE), MS12-024 (ASLR), MS12-025 (Profil de Groupe) », a dĂ©clarĂ© par courriel Wolfgang Kandek, CTO de Qualys. Ensemble, ces trois mises Ă  jour de sĂ©curitĂ© corrigent quatre vulnĂ©rabilitĂ©s sur les 13 corrigĂ©es ce mois-ci par le Patch Tuesday. Microsoft propose des solutions de contournement aux utilisateurs qui ne peuvent se passer d’IE. Selon l’Ă©diteur, elles permettent de contrer les attaques, y compris celles visant le navigateur quand il tourne sous Windows XP. « Mais, ces solutions peuvent rendre l’accĂšs Ă  certains sites impossible », a averti Microsoft. Les instructions de contournement sont expliquĂ©es dans l’avis de sĂ©curitĂ© MS14-029. Pour se protĂ©ger, les utilisateurs peuvent aussi dĂ©ployer l’Enhanced Mitigation Experience Toolkit (EMET), un outil anti-exploit gratuit fonctionnant sous XP. La version 4.1 de EMET peut ĂȘtre tĂ©lĂ©chargĂ©e Ă  partir du site web de Microsoft.

La vulnĂ©rabilitĂ© CVE-2014-1815 a Ă©tĂ© signalĂ©e Ă  Microsoft par ClĂ©ment Lecigne, un ingĂ©nieur en sĂ©curitĂ© travaillant dans le bureau suisse de Google. L’ingĂ©nieur avait fait la une des mĂ©dias il y a trois mois : il avait reçu 10 000 dollars du nouveau programme Internet Bounty Bug (IBB) financĂ© par Facebook et Microsoft pour une vulnĂ©rabilitĂ© critique trouvĂ©e dans Adobe Flash Player. ClĂ©ment Lecigne avait fait don de la totalitĂ© de la prime Ă  l’association Ă  but non lucratif Hackers for Charity.

Sources : Le Monde Informatique

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>