Le correctif déployé par Microsoft pour colmater la faille 0-day sur JET ne la corrige pas complètement
Selon des experts

Le , par Stéphane le calme, Chroniqueur Actualités
Le 8 mai 2018, la ZDI (Zero Day Initiative) de Trend Micro a rapporté à Microsoft l’existence d’une vulnérabilité de type écriture hors limites dans le moteur de base de données Microsoft JET pouvant permettre l'exécution de code à distance. Un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code dans le contexte du processus en cours, Cependant, il nécessite une interaction avec l'utilisateur car la cible doit ouvrir un fichier malveillant. Au jour de la publication du billet (le 20 septembre 2018), la ZDI a souligné que le bogue n’était toujours pas corrigé.

La vulnérabilité

La cause première de ce problème réside dans le moteur de base de données Microsoft JET. Microsoft a corrigé deux autres problèmes dans JET lors des mises à jour Patch Tuesday de septembre. Bien que les bogues corrigés soient répertoriés en tant que débordements de mémoire tampon, ce bogue supplémentaire est en réalité une écriture hors limites, qui peut être déclenchée en ouvrant une source de données Jet via OLEDB. Voici un aperçu du crash résultant:


Pour déclencher cette vulnérabilité, un utilisateur doit ouvrir un fichier spécialement conçu contenant des données stockées au format de base de données JET. Diverses applications utilisent ce format de base de données. Un attaquant utilisant ceci serait capable d'exécuter du code au niveau du processus en cours.

ZDI a déclaré que Microsoft n'avait pas réussi à corriger la faille en temps opportun, c’est la raison pour laquelle le groupe a décidé de rendre le problème public en septembre, afin que les utilisateurs et les entreprises puissent prendre des mesures pour se protéger contre toute tentative d'exploitation.

La vulnérabilité, qui était encore zero-day au moment de la publication de ZDI, a suscité des alarmes, principalement en raison du fait que le moteur de base de données JET est inclus dans toutes les versions de Windows et a fourni aux attaquants un vecteur d’attaque énorme qu’ils pouvaient cibler.

Le moteur JET a été l'une des premières incursions de Microsoft dans les technologies de base de données. Il a été développé dans les années 90 et a été utilisé pour alimenter diverses applications Microsoft, les noms les plus reconnaissables étant Access, Visual Basic, Microsoft Project et IIS 3.0.

JET est devenu obsolète et remplacé par de nouvelles technologies entre-temps, mais il est toujours inclus dans Windows à des fins d'héritage.

Les experts en sécurité de l'information ont critiqué Microsoft pour ne pas avoir corrigé la vulnérabilité, principalement parce qu'elle permettait une compromission complète à distance du système de l'utilisateur.

Ce n’est que dans le Patch Tuesday d’octobre 2018 que Microsoft a finalement proposé un correctif.

Le correctif qui ne colmate pas entièrement la faille

Bien que Microsoft ait corrigé cette vulnérabilité, il semblerait que vous n'êtes pas entièrement protégé. Ce sont les chercheurs de 0patch qui ont averti que le correctif officiel de Microsoft était « incomplet ».

0patch a déclaré que le correctif de Microsoft « ne fait que limiter la vulnérabilité au lieu de l’éliminer. Nous avons immédiatement informé Microsoft à ce sujet et nous ne révélerons aucun détail ni aucune preuve ou concept jusqu'à ce que le correctif soit complet ».

Dans l'intervalle, 0patch a déployé un micropatch qu’il conseille d’installer en attendant que Microsoft fournisse un correctif approprié. La bonne nouvelle est que, jusqu’à présent, ni Microsoft ni 0patch n’ont vu d’attaque exploiter ce vecteur.

Source : blog 0patch

Voir aussi :

Microsoft annonce la disponibilité d'Office 2019 pour Mac et Windows avec des fonctionnalités dérivées d'Office 365 ProPlus
Microsoft annonce l'arrivée imminente d'une préversion publique d'Azure Confidential Computing pour la protection des données en cours d'utilisation
Ignite 2018 : Microsoft annonce la disponibilité de la première preview de SQL Server 2019, qui voudrait faciliter la gestion d'environnement big data
Une nouvelle distribution « optimisée » pour le sous-système Windows pour Linux est disponible sur le Microsoft Store
Microsoft annonce la diffusion de mises à jour cumulatives pour .NET Framework, à compter de la mise à jour Windows 10 octobre 2018


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Asmodan Asmodan - Membre habitué https://www.developpez.com
le 17/10/2018 à 14:04
Le mieux étant de se passer de JET
Avatar de chrtophe chrtophe - Responsable Systèmes https://www.developpez.com
le 17/10/2018 à 20:57
oui, c'est obsolète. Le problème étant surtout sur les bases anciennes qu'il faut reprendre. Tous les utilisateurs n'ayant pas forcément les ressources (temps, compétences, etc.) pour le faire.
Avatar de sevyc64 sevyc64 - Modérateur https://www.developpez.com
le 17/10/2018 à 22:55
Chez nous c'est migration en cours vers le nouveau logiciel.

Temps estimé pour l'ensemble du parc, 3 à 4 ans sachant que certains clients ne voudront pas changer de logiciel.

Et qui c'est qui a récupérer la maintenance de cette s******* de p***** de m***** bien p****** de logiciel sous VB6 et Access 97 ? C'est bibi !

 
Contacter le responsable de la rubrique Accueil