À l'occasion de sa dernière mise à jour de sécurité, Windows a réparé une vulnérabilité qui existe depuis 2003. Elle est évaluée à 10/10 sur l'échelle de dangerosité.

10/10. Pas de félicitations à distribuer, il s’agit du score de criticité d’une vulnérabilité réparée par Windows, ce mardi 14 juillet 2020, à l’occasion de sa mise à jour mensuelle. Cette note parfaite reflète à la fois la grande dangerosité de la faille, et l’urgence à la réparer.

Pourtant, cette vulnérabilité, étiquetée CVE-2020-1350 et nommée SigRed, existe depuis près de 17 ans…  Elle n’a été découverte par Microsoft qu’en mai 2020, après que les chercheurs de Check Point l’ont averti. Aucune des deux entreprises n’a trouvé de trace de l’exploitation de la vulnérabilité, ce qui ne garantit pas pour autant que des acteurs malveillants ne l’avaient pas déjà découverte.

SigRed se situe sur le logiciel Windows DNS, qui gère une des fonctionnalités essentielles du web. // Source : Wikimedia

Si SigRed atteint le plus haut score de criticité sur l’échelle de référence CVSS, c’est parce qu’elle est « wormable ». Autrement dit, si l’attaque parvient à toucher une machine, elle pourrait en contaminer d’autres, à la chaîne, et sans avoir besoin qu’un humain clique sur un bouton. Par exemple, en 2017, le ver informatique Wannacry s’était répandu extrêmement rapidement sur les ordinateurs sous Windows, au point de causer un désastre d’ordre mondial. Il était devenu pratiquement hors de contrôle jusqu’à la réparation de la vulnérabilité qu’il exploitait, nommée EternalBlue, qui serait dans notre cas l’équivalent de SigRed.

Heureusement, pour l’instant, SigRed n’a pas (encore) son Wannacry, c’est-à-dire qu’il n’existe pas, pour l’instant, de méthodes d’exploitation de la vulnérabilité. Mais ce n’est qu’une question de temps, maintenant que la vulnérabilité est connue approximativement — Microsoft a demandé à Check Point de ne pas s’étendre en détails techniques. L’entreprise de cybersécurité affirme que tous les éléments sont réunis pour créer une attaque capable de provoquer la fuite de toutes les données d’un système informatique. Bref, de quoi causer une véritable catastrophe, capable de couler une entreprise.  Ce désastre est évitable, puisque la vulnérabilité est réparée, mais faut-il encore que les entreprises tiennent leurs systèmes à jour.

Un des maillons essentiels du web était vulnérable

SigRed se loge sur la technologie DNS (Domain Name System) de Windows. Concrètement, les serveurs DNS servent à trouver l’adresse IP (l’adresse d’une machine, ndlr) correspondant à un nom de domaine, par exemple numerama.com. Si vous entrez l’adresse de Numerama sur votre navigateur (Chrome, Firefox, Explorer…), il va demander à un serveur DNS de lui donner l’adresse IP des serveurs de notre entreprise, pour vous afficher la page d’accueil de Numerama.

Ce rôle de mise en relation, essentiel au fonctionnement du web, peut être assuré par le logiciel Windows DNS, utilisé par la majorité des organisations de petites et de moyennes tailles. Si un cybercriminel parvenait à détourner les fonctionnalités d’une machine sous Windows DNS, il pourrait donc s’introduire sur d’autres machines de l’organisation à cause de cette fonctionnalité.

Plus précisément l’exploitation de SigRed consisterait à modifier un des paramètres utilisés lors de l’échange d’information avec le DNS. Le paramètre frauduleux donnerait accès au hacker à une partie du système, en théorie protégée. Au bout de la manipulation, cette faille lui permettrait de gagner l’autorisation d’exécuter du code sur le serveur, le tout à distance. Autrement dit : de lancer toutes sortes de programmes malveillants, de façon discrète.

Se protéger avant que les cybercriminels trouvent les outils

Reste plusieurs points d’interrogation : Check Point n’a pas précisé comment il avait outrepassé certains contrôles de sécurité, et la cyberattaque initiale n’est pas si simple à lancer, puisque les serveurs DNS ne sont que très rarement directement exposés sur Internet. Il faudrait donc passer par un autre biais s’y introduire : compromettre le Wi-Fi de l’entreprise, réussir un phishing, ou se brancher physiquement au réseau d’entreprise.

À cause de la gravité de leur découverte, les chercheurs de Check Point n’ont pas poussé leur démonstration jusqu’à la prise du contrôle du serveur DNS. Ils ne sont parvenus qu’à le faire tomber en panne, mais il affirme qu’ils disposent de tous les éléments pour créer un outil capable de prendre le contrôle du serveur sans le faire tomber.

Alors SigRed sera-t-il le prochain Eternal Blue ? Cette fois, les administrateurs réseau ont un coup d’avance, puisqu’ils n’ont qu’à déployer les mises à jour de Windows DNS, pendant que les cybercriminels sont encore en train de trouver des façons d’exploiter la vulnérabilité. Mais il y aura toujours des serveurs exposés, faciles à repérer, qui se prendront la future attaque de plein fouet.

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux