Microsoft publie un correctif d'urgence pour Windows Server
Et recommande son installation immédiate
Le 2014-11-19 11:38:01, par Hinault Romaric, Responsable .NET
Une semaine seulement après la publication du Patch Tuesday pour le mois de novembre 2014, Microsoft annonce la sortie d’un nouveau correctif de sécurité d’urgence pour son système d’exploitation Windows Server.
Le correctif étiqueté « MS14-068 » doit être appliqué immédiatement. Il permet de corriger un bogue dans le système d’authentification Kerberos de Windows. Un pirate pourrait exploiter cette faille sur Windows Server pour élever ses privilèges au point d’avoir des droits d’administrateur.
En cas d’authentification dans un domaine, le pirate peut ainsi compromettre la sécurité de l’ensemble du réseau du domaine en question, et procéder à l’installation d’applications, à la modification/suppression des données et même à la création de nouveaux comptes.
Microsoft affirme qu’il a reçu des rapports sur des attaques « limitées et ciblées » qui exploitent cette faille.
La faille touche Windows Server 2003, 2008, 2012, 2012 R2, mais aussi la nouvelle préversion de Windows Server. Elle affecte également les versions desktop de Windows (de Windows Vista à Windows 8.1). Mais, pour ces dernières, Microsoft n’a noté aucun indice de gravité. Un correctif devrait être néanmoins disponible probablement avec le prochain Patch Tuesday.
La mise à jour sera disponible via Windows Update.
Il faut noter que pour le mois de novembre, Microsoft a publié un Patch Tuesday survitaminé, contenant 14 mises à jour de sécurité pour corriger près de 33 failles dans Windows, Internet Explorer et Office. Parmi ces failles s'en trouvait une vieille de 19 ans et présente dans toutes les versions de Windows, depuis Windows 95. Cette faille permettait de prendre le contrôle d’un ordinateur en navigant avec Internet Explorer.
Source : Microsoft
Le correctif étiqueté « MS14-068 » doit être appliqué immédiatement. Il permet de corriger un bogue dans le système d’authentification Kerberos de Windows. Un pirate pourrait exploiter cette faille sur Windows Server pour élever ses privilèges au point d’avoir des droits d’administrateur.
En cas d’authentification dans un domaine, le pirate peut ainsi compromettre la sécurité de l’ensemble du réseau du domaine en question, et procéder à l’installation d’applications, à la modification/suppression des données et même à la création de nouveaux comptes.
Microsoft affirme qu’il a reçu des rapports sur des attaques « limitées et ciblées » qui exploitent cette faille.
La faille touche Windows Server 2003, 2008, 2012, 2012 R2, mais aussi la nouvelle préversion de Windows Server. Elle affecte également les versions desktop de Windows (de Windows Vista à Windows 8.1). Mais, pour ces dernières, Microsoft n’a noté aucun indice de gravité. Un correctif devrait être néanmoins disponible probablement avec le prochain Patch Tuesday.
La mise à jour sera disponible via Windows Update.
Il faut noter que pour le mois de novembre, Microsoft a publié un Patch Tuesday survitaminé, contenant 14 mises à jour de sécurité pour corriger près de 33 failles dans Windows, Internet Explorer et Office. Parmi ces failles s'en trouvait une vieille de 19 ans et présente dans toutes les versions de Windows, depuis Windows 95. Cette faille permettait de prendre le contrôle d’un ordinateur en navigant avec Internet Explorer.
Source : Microsoft
-
tpericardMembre confirmé
PS: ceci n'est pas un troll: avec une base unifiée, imaginez que certains patchs seront appliqués sur des architectures/profils totalement différent. Il sera donc encore plus difficile d'évaluer et tester toutes ces combinaisons...
donc c'est la porte ouverte aux livraisons directes en production sans tests ? Non, c'est une remarque inacceptable d'un point de vue qualité. Microsoft doit se donner les moyens de tester toutes ses modifications dès lors qu'elles s'adressent à des millions d'utilisateurs. Comme toute application livrée à un large panel d'utilisateurs d'ailleurs.
Laisser ainsi tout un pan d'utilisateurs dans la (censurée) n'est pas digne d'une société comme celle-cile 15/12/2014 à 23:28 -
imikadoRédacteurDeux choses:
Microsoft affirme qu’il a reçu des rapports sur des attaques « limitées et ciblées » qui exploitent cette faille.
La faille touche Windows Server 2003, 2008, 2012, 2012 R2, mais aussi la nouvelle préversion de Windows Server. Elle affecte également les versions desktop de Windows (de Windows Vista à Windows 8.1). Mais, pour ces dernières, Microsoft n’a noté aucun indice de gravité. Un correctif devrait être néanmoins disponible probablement avec le prochain Patch Tuesday.le 19/11/2014 à 12:16 -
JayGrMembre actif@Hinault Romaric
Bon c'est sûr que c'est plus clair que mon message qui disait la même chose mais en plus condensé.
@imikado :
Le bogue dans le système d'authentification Kerberos n'est pas facilement exploitable depuis les Windows Desktop si j'ai bien compris. Du coup, il patch plutôt par principe de défense en profondeur.
@+le 19/11/2014 à 14:39 -
LeBressaudMembre confirméSauf que vu la quantité de périphérique différent et chacun avec ses pilotes dans plusieurs versions (idem avec les logiciels installé) c'est impossible.le 17/12/2014 à 16:56
-
imikadoRédacteurMerci de la précisionle 19/11/2014 à 15:49
-
JayGrMembre actifEt pour ça :Microsoft affirme qu’il a reçu des rapports sur des attaques « limitées et ciblées » qui exploitent cette faille.
Pour le coup je ne vois pas comment il pourrait savoir autrement.
@+le 19/11/2014 à 15:53 -
imikadoRédacteur1. c'est quoi forensic ?
2. les cabinets d'audit communiquent sur les failles exploitées aux éditeurs ?le 19/11/2014 à 16:22 -
JayGrMembre actif1 - Le forensic c'est de l'investigation effectué par des pentesteurs dans le cadre d'audit de vuln ou d'audit sécu. Pas facile à définir, enfin je trouve pas les bons mots. Mais tu peux mieux comprendre en regardant le contenu d'une formation forensic ici. D'ailleurs c'est un très bon organisme pour la formation en sécu' !
2- C'est une théorie ce que j'ai écris au dessus. Mais pourquoi est-ce qu'il ne communiquerais pas les failles ?
Cabinets d'audits et éditeurs travaillent ensemble.
Tiens regardes...Microsoft credited Qualcomm's information security and risk management team for reporting the vulnerability, and called out Qualcomm cyber security engineer Tom Maddock in particular for his help.le 19/11/2014 à 16:48 -
imikadoRédacteurOk, merci de l'infole 19/11/2014 à 16:52
-
imikadoRédacteurAvec l'unification prévu pour W10, on aura également des patch tuesday pour nos tablettes/smartphones et xbox one ?le 07/12/2014 à 13:47