Microsoft colmate la faille mise à jour par l'ingénieur de Google
Le patch mensuel de demain mettra-t-il fin à la polémique ?
Mise à jour du 12/07/10
Alors que la polémique continue entre ceux qui considèrent que Travis Ormandy a eu raison de publier un PoC pour forcer Microsoft à réagir à une vulnérabilité présente dans le Centre d'Aide et de Support de plusieurs de ses OS (lire ci-avant), et ceux qui considèrent ce comportement est irresponsable, le traditionnel patch de sécurité du deuxième mardi du mois de Redmond arrive.
Il marque d'une part la fin du support de Windows XP SP2. Et celle, d'autre part, de cette faille mise à jour par l'ingénieur de Google et exploitée - d'après les dires de Microsoft - sur plus de 10.000 machines.
Pas sûr en revanche qu'il puisse clore à lui tout seul le débat autour de Travis Ormandy.
Mardi dernier, un groupe anonyme a en effet déclaré vouloir se venger de Microsoft et de "sa campagne anti-Ormandy" en cherchant d'autres vulnérabilités de Windows.
Travis Ormandy n'a de son coté pas réagi à l'annonce de la formation de ce groupe de soutien d'un nouveau type.
MAJ de Gordon Fowler
La faille découverte par un employé de Google exploitée sur 10.000 PC
Selon les chiffres de Microsoft
Mise à jour du 01/07/10
Microsoft vient de révéler que la faille de Windows XP découverte au début du mois par un ingénieur de Google, Travis Ormandy, avait effectivement été exploitée.
Ormandy avait décidé de publier un PoC (Proof of Concept, ou preuve de faisabilité) ce qui n'avait pas manqué de provoquer la colère de Microsoft.
Face aux critiques, Ormandy avait alors affirmé qu'il avait essayé de convaincre Microsoft de l'importance de cette faille pendant 60 jours.
Toujours est-il que, d'après Microsoft, sa démonstration a donné des idées aux cybercriminels. Les premières attaques ont été repérées vers le 15 juin, « ces premiers exploits étaient ciblés et plutôt limités. Mais depuis les dernières semaines ils ont atteint un pic », peut-on lire sur le blog de Microsoft qui avance ce chiffre de 10.000 PC attaqués avec succès.
Le PoC d'Ormandy permet de télécharger et d'installer des logiciels malicieux, des virus et des Trojans. Un malware, baptisé Obitel, permet par exemple de télécharger encore plus d'applications malveillantes.
Le 10 juin, Micosoft avait publié un bulletin de sécurité qui expliquait comment se protéger en désactivant notamment le Centre d'Aide et de Support de l'OS.
Les PC les plus touchés sont localisés en Russie et au Portugal, pays cousin du Brésil également fortement concerné (et base arrière de plus en plus active des attaques des cybercriminels). Les Etats-Unis et l'Allemagne sont également très ciblés.
Ces chiffres relancent la polémique sur le fait de savoir si Ormandy a été inconscient de publier ce PoC, ou s'il appartenait à Microsoft de réagir en urgence.
Toujours est-il que le prochain patch de sécurité pour Windows XP est attendu, de manière traditionnelle, pour le deuxième mardi de ce mois (le 13 juillet).
Que pour le 13 juillet ?
Source : Billet de Microsoft
Et vous ?
Ormandy a-t-il été inconscient de publier ce PoC ou appartenait-il à Microsoft de réagir en urgence ?
MAJ de Gordon Fowler
Mise à jour du 16/06/10
Les pirates exploiteraient déjà la faille de Windows XP
Divulguée par un employé de Google, qui se défend des accusations de Microsoft
Tavis Ormandy, l'employé de Google qui a mis à jour une faille dans le Centre d'Aide et de Support de Windows XP et qui a publié un exploit montrant comment il était possible d'en tirer profit, se défend d'avoir eu un comportement irresponsable.
Il affirme dans un Tweet que, contrairement aux dires de Microsoft, il n'a pas laissé 5 jours mais deux mois à l'éditeur de Windows (60 jours) pour colmater la faille.
Ce serait donc l'inertie de Redmond qui l'aurait décidé à rendre publique une preuve de faisabilité (lire ci-avant).
Accusation contre accusation donc, les choses risquent encore moins de se calmer depuis que Sophos, fournisseur de solutions de sécurité, a publié un post dans lequel il révèle avoir repéré des attaques qui utilisent ces travaux.
« Aujourd'hui, nous avons détecté pour la première fois un malware qui se propage via des sites compromis. Ce logiciel malicieux télécharge et exécute des composants malveillants (Troj/Drop-FS) sur l'ordinateur des victimes en exploitant cette vulnérabilité [NDR : celle du Centre d'Aide et de Support de Windows] ».
Microsoft ne contredit pas ce constat, mais note que les attaques sont très limitées.
Pour l'instant.
Car pour la société, il ne fait aucun doute que les choses vont empirer. La divulgation publique de cet exploit par Ormandy ne pourrait avoir que des conséquences négatives et les experts en sécurité de Microsoft s'attendent à une montée en puissance des attaques.
Pour mémoire Windows Server 2003 est également impacté et un correctif sorti en urgence est disponible sur le site de Microsoft.
Il doit permettre de sécuriser les deux OS dans l'attente d'une mise à jour de sécurité plus complète.
Quant à la polémique, elle continue d'enfler autour de ces 60 jours et de ces attaques « in the wild ».
Etait-ce la bonne manière de faire de la part d'Ormandy ? Y'a-t-il des arrières pensées dans ses travaux (lire ci-avant) ? Microsoft a-t-il été trop lent à réagir ?
Autant de questions qui devraient laisser des traces durables dans les relations, déjà tendues, entre Google et Microsoft.
Source : Le Tweet de Tavis Ormandy et la publication de Sophos
MAJ de Gordon Fowler
Fallait-il publier une preuve de faisabilité sur la faille de Windows XP
Comme l'a fait un ingénieur de Google ? Microsoft ne décolère pas
Rien ne va plus entre Microsoft et Google.
Tavis Ormandy est expert en sécurité chez Google. Le 5 juin dernier, il avait mis à jour une faille dans le Centre d'Aide et de Support de Windows XP. La faille concernait également Windows Server 2003.
Jusqu'ici tout va (presque) bien.
Le problème vient du fait que Tavis Ormandy a ensuite décidé de mettre au point un « proof of concept », une preuve de faisabilité qui montre comment exploiter cette faille. Il n'y a a priori rien de choquant dans cette démarche assez classique. Sauf que ce début d'exploit a été publié moins de 5 jours après la découverte de la vulnérabilité.
Un délai beaucoup trop court et une attitude irresponsable selon Microsoft.
Ormandy justifie sa décision en soulignant que c'était, d'après lui, le seul moyen d'attirer rapidement et sérieusement l'attention de Microsoft (« Je voudrais souligner que [...] sans avoir réalisé cet exploit, j'aurais été ignoré », écrit-il à la fin de sa publication). A sa décharge, on notera également qu'il a également décider de publier des pistes de corrections.
Mais la solution qu'il propose ne convainc pas Microsoft. Au contraire, ses experts en sécurité ne décolèrent pas et commencent à soupçonner des intentions cachées chez Ormandy.
Y aurait-il une volonté de Google de discréditer Windows ?
Après l'annonce de Google sur l'abandon progressif de l'OS en interne, Microsoft semble sérieusement commencer à y croire.
On pourra rétorquer que ce n'est pas Google mais un de ses employés - à titre personnel - qui a publié la faille et le Poc. C'est d'ailleurs la ligne de communication tenue par Google.
Mais c'est surtout le délai laissé à ses équipes qui énerve Redmond.
« La communication publique sur les détails de cette vulnérabilité et sur la manière de l'exploiter sans nous laisser le temps de résoudre le problème […] augmentent la probabilité d'attaques et mettent nos clients en danger », écrit ainsi Mike Reavy sur le blog dédié aux questions de sécurité de Microsoft. « Bien que cette découverte du chercheur de Google ait été une bonne chose, il s'avère que son analyse est incomplète et que la solution qu'il suggère est facilement contournable ».
Et de conclure : « Quelque fois, il faut plus de temps pour réaliser une mise à jour efficace qui ne provoque pas des problèmes de qualité ».
Un correctif officiel (le 2219475) a ensuite été ajoutée à cette réponse.
Espérons pour Google que son futur système d'exploitation, Chrome OS (qui devient par ailleurs de plus en plus prometteur) sera au point niveau sécurité.
Il y a fort à parier que de nombreux employés de Microsoft prendront beaucoup de leur temps libre pour le mettre à l'épreuve.
En toute indépendance cela va s'en dire.
Source : La publication de la découverte de Tavis Ormandy et la réponse de l'équipe de Microsoft
Lire aussi :
Microsoft corrige 34 vulnérabilités touchant Windows, dont plusieurs critiques dans le plus gros "Patch Tuesday" de 2010
Pourriez-vous battre les hackers à leur propre jeu ? Une mise en situation sur Google Code vous permet de le savoir
Aucun antivirus ne résiste aux attaques lancées lors du concours de hackers Pwn2kill : les éditeurs de sécurité font-ils bien leur travail ?
Les rubriques (actu, forums, tutos) de Développez :
Windows
Sécurité
Systèmes
Et vous ?
D'après vous, dans cette affaire, Tavis Ormandy a-t-il agit en totale indépendance par rapport à son employeur ?
Fallait-il publier une preuve de faisabilité sur la faille de Windows XP aussi rapidement ?
Partager