Passer au contenu

Microsoft comble une faille critique vieille de 15 ans

Un mauvais design dans la gestion de l’authentification d’utilisateurs professionnels vient d’être revu et corrigé. Il datait de l’année 2000.

Chez Microsoft, on aime parfois prendre son temps pour bien faire les choses. Hier, à l’occasion de son traditionnel Patch Tuesday, l’éditeur a publié un énorme paquet de rustines Windows : neuf mises à jour pour combler pas moins de 56 failles de sécurité ! Parmi elles figure une faille critique baptisée « Jasbug » qui existe dans le système d’exploitation depuis… 15 ans. Elle a été découverte il y a un an par la société de sécurité « JAS Global Advisors » (d’où le nom de la faille) et elle est particulièrement méchante. Elle permet à des pirates de réaliser des attaques de type « man in the middle » sur des PC portables connectés sur un réseau d’entreprise par le service d’authentification Active Directory, avec à la clé l’exécution de code arbitraire.

Attaque "Jasbug"
Attaque “Jasbug”

Mais corriger cette faille n’était pas si facile, car le problème résidait dans le design même d’une partie de Windows, créée il y a quinze ans. Une simple mise à jour du code n’était donc pas suffisante. Il fallait refaire tout un travail d’ingénierie, qui a duré un an. Il paraît, pourtant, que cette faille n’a jamais été exploitée… Ouf !

Sources :

Forbes, Microsoft

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn