Microsoft annonce une vulnérabilité critique dans Windows Server
La faille affecte l’interface RPC du service DNS dans Windows Server 2000 et
2003.
Microsoft a confirmé avoir découvert des attaques ciblées exploitant une nouvelle vulnérabilité dans le service DNS de Windows Server. Microsoft a immédiatement mobilisé son équipe SSIRP (Software Security Incident Response Process) pour enquêter sur ces attaques.
Les pirates peuvent exploiter une vulnérabilité dans l’interface RPC (Remote Procedure Call, protocole permettant de faire des appels de procédures sur un ordinateur distant à l’aide d’un serveur d’application, NDLR) de Windows DNS Server entraînant un débordement de la mémoire tampon pour envoyer un paquet RPC au niveau de l’interface afin d’exécuter du code malveillant sur le système.
Cette vulnérabilité permet à un pirate d’exécuter du code avec des privilèges SYSTEM dans le contexte de sécurité du service Domain Name System Server dans Microsoft Windows 2000 Server Service Pack 4, Windows Server 2003 Service Pack 1 et Windows Server 2003 Service Pack 2.
« Si l’attaque semble ciblée et peu répandue, nous nous engageons à surveiller le problème et à collaborer avec nos partenaires MSRA afin de contrôler la situation et de nous aider à protéger le consommateur », a déclaré le chercheur Adrian Stone dans le blog Microsoft Security Response Centre. Les détails sur cette vulnérabilité et les premières solutions pour la contourner sont consultables sur le bulletin de sécurité Technet 965964 de Microsoft.
Microsoft a assuré qu’il examinait actuellement le problème et publierait un correctif lors du prochain cycle de mise à jour mensuel ou dans une mise à jour hors cycle dès qu’un correctif sera disponible.
Les utilisateurs sont invités à suivre à la lettre les recommandations » Protect Your PC » qui consistent à activer un pare-feu, installer toutes les mises à jour de sécurité et installer des logiciels anti-virus et anti-spyware afin de minimiser les risques d’attaque.
Microsoft encourage également ses clients à désactiver la fonction de gestion à distance sur l’interface RPC de DNS Server en modifiant les paramètres de la clé de registre, à bloquer le trafic entrant indésirable sur les ports 1024 à 5000 et à activer l’option de filtrage TCP/IP avancée, qui permettra d’empêcher les pirates d’exploiter cette vulnérabilité.
Traduction d’un article de Vnunet.com en date du 13 avril 2007.