Microsoft publie un correctif d'urgence pour Windows Server

Et recommande son installation immédiate

Une semaine seulement après la publication du Patch Tuesday pour le mois de novembre 2014, Microsoft annonce la sortie d’un nouveau correctif de sécurité d’urgence pour son système d’exploitation Windows Server.

Le correctif étiqueté « MS14-068 » doit être appliqué immédiatement. Il permet de corriger un bogue dans le système d’authentification Kerberos de Windows. Un pirate pourrait exploiter cette faille sur Windows Server pour élever ses privilèges au point d’avoir des droits d’administrateur.

En cas d’authentification dans un domaine, le pirate peut ainsi compromettre la sécurité de l’ensemble du réseau du domaine en question, et procéder à l’installation d’applications, à la modification/suppression des données et même à la création de nouveaux comptes.

Microsoft affirme qu’il a reçu des rapports sur des attaques « limitées et ciblées » qui exploitent cette faille.

La faille touche Windows Server 2003, 2008, 2012, 2012 R2, mais aussi la nouvelle préversion de Windows Server. Elle affecte également les versions desktop de Windows (de Windows Vista à Windows 8.1). Mais, pour ces dernières, Microsoft n’a noté aucun indice de gravité. Un correctif devrait être néanmoins disponible probablement avec le prochain Patch Tuesday.

La mise à jour sera disponible via Windows Update.

Il faut noter que pour le mois de novembre, Microsoft a publié un Patch Tuesday survitaminé, contenant 14 mises à jour de sécurité pour corriger près de 33 failles dans Windows, Internet Explorer et Office. Parmi ces failles s'en trouvait une vieille de 19 ans et présente dans toutes les versions de Windows, depuis Windows 95. Cette faille permettait de prendre le contrôle d’un ordinateur en navigant avec Internet Explorer.

Source : Microsoft