MS09-008 ou le 'patch' de Microsoft qui ne corrigeait rien…

Le correctif de Microsoft diffusé la semaine dernière ne réparerait pas totalement le problème à en croire certains spécialistes de la sécurité. Les quatre vulnérabilités du serveur DNS seraient toujours exploitables par des mains expertes

Le dernier ‘patch’ de Microsoft en date du 10 mars nourrit des interrogations au sein de la communauté des spécialistes en sécurité. Selon Tyler Reguly, expert au réseau de sécurité nCircle estime que la mise à jour MS09-008 ne réglerait pas les problèmes de faille DNS observées sur les éditions Windows 2000, 2003 et 2008.

« Lorsque vous installez un patch sur votre machine vous êtes en droit d’attendre un certain niveau de sécurité mais le dernier patch atténue les risques mais ne corrige pas le problème. Il ne le patche pas ! » lâche cet expert dans les colonnes du site Computerworld.

Pourtant, la mise à jour signée des développeurs de Redmond délivre trois nouvelles solutions de sécurité couvrant quatre failles séparées du DNS (Domain name Server) mais oublierait de réparer les fonctionnalités sur le WPAD (Web Proxy Auto-Discovery).

Le spécialiste commente : « Le WPAD sert a configurer de manière automatique les serveurs proxy sur les machines. Lorsqu’un navigateur comme Internet Explorer est configuré pour détecter automatiquement les réglages, il va chercher à atteindre wpad.company.com et tenter de résoudre par lui-même la faille.Mais si un pirate peut manipuler les entrées WPAD, tout le trafic provenant de ces machines passera par ce même serveur. Une attaque de type homme du milieu peut alors être initiée (personne tierce) afin de voler les mots de passe et bien d’autres informations« .

Après que Tyler Reguly a publié ses recherches, Microsoft a tenu à défendre son approche. Sur le blog, la firme explique sa position : « Le WPAD est une fonctionnalité courante pour les entreprises et Microsoft est très attentif lorsqu’il diffuse une mise à jour de sécurité pour s’assurer qu’elle protège correctement nos utilisateurs. Il ne s’agit en aucun cas d’un cassage d’outils en lesquels notre public à toute sa confiance ». Le commentaire publié par Maarten Van Horenbeeck, un responsable programmeur du MSRC (Microsoft Security Response Center) tente de calmer le jeu.

Après cette critique, Microsoft a publié un document explicatif baptisé : « Les craintes à l’égard du serveur DNS après installation de la mise à jour du serveur DNS« . Tout est dans le titre.

La guerre de position continue donc, par blogs interposés….