10/10. Pas de félicitations à distribuer, il s’agit du score de criticité d’une vulnérabilité réparée par Windows, ce mardi 14 juillet 2020, à l’occasion de sa mise à jour mensuelle. Cette note parfaite reflète à la fois la grande dangerosité de la faille, et l’urgence à la réparer.
Pourtant, cette vulnérabilité, étiquetée CVE-2020-1350 et nommée SigRed, existe depuis près de 17 ans… Elle n’a été découverte par Microsoft qu’en mai 2020, après que les chercheurs de Check Point l’ont averti. Aucune des deux entreprises n’a trouvé de trace de l’exploitation de la vulnérabilité, ce qui ne garantit pas pour autant que des acteurs malveillants ne l’avaient pas déjà découverte.
Si SigRed atteint le plus haut score de criticité sur l’échelle de référence CVSS, c’est parce qu’elle est « wormable ». Autrement dit, si l’attaque parvient à toucher une machine, elle pourrait en contaminer d’autres, à la chaîne, et sans avoir besoin qu’un humain clique sur un bouton. Par exemple, en 2017, le ver informatique Wannacry s’était répandu extrêmement rapidement sur les ordinateurs sous Windows, au point de causer un désastre d’ordre mondial. Il était devenu pratiquement hors de contrôle jusqu’à la réparation de la vulnérabilité qu’il exploitait, nommée EternalBlue, qui serait dans notre cas l’équivalent de SigRed.
Heureusement, pour l’instant, SigRed n’a pas (encore) son Wannacry, c’est-à-dire qu’il n’existe pas, pour l’instant, de méthodes d’exploitation de la vulnérabilité. Mais ce n’est qu’une question de temps, maintenant que la vulnérabilité est connue approximativement — Microsoft a demandé à Check Point de ne pas s’étendre en détails techniques. L’entreprise de cybersécurité affirme que tous les éléments sont réunis pour créer une attaque capable de provoquer la fuite de toutes les données d’un système informatique. Bref, de quoi causer une véritable catastrophe, capable de couler une entreprise. Ce désastre est évitable, puisque la vulnérabilité est réparée, mais faut-il encore que les entreprises tiennent leurs systèmes à jour.
Un des maillons essentiels du web était vulnérable
SigRed se loge sur la technologie DNS (Domain Name System) de Windows. Concrètement, les serveurs DNS servent à trouver l’adresse IP (l’adresse d’une machine, ndlr) correspondant à un nom de domaine, par exemple numerama.com. Si vous entrez l’adresse de Numerama sur votre navigateur (Chrome, Firefox, Explorer…), il va demander à un serveur DNS de lui donner l’adresse IP des serveurs de notre entreprise, pour vous afficher la page d’accueil de Numerama.
Ce rôle de mise en relation, essentiel au fonctionnement du web, peut être assuré par le logiciel Windows DNS, utilisé par la majorité des organisations de petites et de moyennes tailles. Si un cybercriminel parvenait à détourner les fonctionnalités d’une machine sous Windows DNS, il pourrait donc s’introduire sur d’autres machines de l’organisation à cause de cette fonctionnalité.
Plus précisément l’exploitation de SigRed consisterait à modifier un des paramètres utilisés lors de l’échange d’information avec le DNS. Le paramètre frauduleux donnerait accès au hacker à une partie du système, en théorie protégée. Au bout de la manipulation, cette faille lui permettrait de gagner l’autorisation d’exécuter du code sur le serveur, le tout à distance. Autrement dit : de lancer toutes sortes de programmes malveillants, de façon discrète.
Se protéger avant que les cybercriminels trouvent les outils
Reste plusieurs points d’interrogation : Check Point n’a pas précisé comment il avait outrepassé certains contrôles de sécurité, et la cyberattaque initiale n’est pas si simple à lancer, puisque les serveurs DNS ne sont que très rarement directement exposés sur Internet. Il faudrait donc passer par un autre biais s’y introduire : compromettre le Wi-Fi de l’entreprise, réussir un phishing, ou se brancher physiquement au réseau d’entreprise.
À cause de la gravité de leur découverte, les chercheurs de Check Point n’ont pas poussé leur démonstration jusqu’à la prise du contrôle du serveur DNS. Ils ne sont parvenus qu’à le faire tomber en panne, mais il affirme qu’ils disposent de tous les éléments pour créer un outil capable de prendre le contrôle du serveur sans le faire tomber.
Alors SigRed sera-t-il le prochain Eternal Blue ? Cette fois, les administrateurs réseau ont un coup d’avance, puisqu’ils n’ont qu’à déployer les mises à jour de Windows DNS, pendant que les cybercriminels sont encore en train de trouver des façons d’exploiter la vulnérabilité. Mais il y aura toujours des serveurs exposés, faciles à repérer, qui se prendront la future attaque de plein fouet.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !