En guise d'introduction, MS15-034 est une faille de sécurité critique découverte dans le fichier HTTP.sys de Microsoft. Son exploitation peut permettre l'exécution de code à distance (RCE) ou une attaque par déni de service (DoS). Compte tenu de l'omniprésence des serveurs Windows dans le monde, la gravité de cette faille est capitale. Mais qu'est-ce que MS15-034 ? Quel est son impact sur les systèmes et quelles sont les mesures à prendre pour s'en prémunir ? Cet article de blog explore en détail ce sujet.
La partie principale de cette discussion débute par une présentation de HTTP.sys. Il s'agit d'un pilote de périphérique en mode noyau qui écoute les requêtes HTTP au niveau du noyau. De ce fait, il offre de meilleures performances que les écouteurs HTTP en mode utilisateur. Cependant, cet avantage implique également un risque accru : les vulnérabilités au niveau du noyau, telles que MS15-034, peuvent être extrêmement dommageables car elles donnent à l'attaquant un accès direct à l'espace noyau.
La vulnérabilité MS15-034 exploite principalement l'en-tête HTTP Range utilisé pour les requêtes de contenu partiel. Une valeur spécialement conçue dans cet en-tête peut entraîner une analyse incorrecte par HTTP.sys. La vulnérabilité est principalement déclenchée par deux facteurs : une valeur « Range » élevée et l'absence de l'en-tête « If-Range ». En substance, l'attaquant trompe le serveur afin qu'il renvoie plus de données que prévu, ce qui provoque un dépassement de tampon. Ce dépassement peut entraîner une attaque par déni de service (DoS) ou, potentiellement, l'exécution de code non contrôlé.
L'impact de cette vulnérabilité peut être dévastateur. En cas d'attaque par déni de service (DoS), la panne du système peut perturber les services critiques et menacer le fonctionnement de l'organisation. Dans le pire des cas, l'exécution de code à distance (RCE) peut permettre à un attaquant de prendre le contrôle du système. L'attaquant peut alors installer des programmes, consulter, modifier ou supprimer des données, ou encore créer de nouveaux comptes disposant de droits d'utilisateur complets.
Cette vulnérabilité affecte de nombreuses versions de Windows, notamment Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1 et Windows Server 2012 R2. Elle est particulièrement dangereuse pour les serveurs web exposés au public, car elle peut être exploitée à distance.
Il convient de préciser que la simple présence du fichier HTTP.sys sur un serveur ne le rend pas vulnérable. Pour qu'une vulnérabilité soit présente, HTTP.sys doit être associé à une adresse IP et un port, et être à l'écoute des requêtes. Microsoft a indiqué que ce cas de figure est rare, ce qui est rassurant.
Heureusement, plusieurs mesures permettent aux administrateurs système d'atténuer cette menace. Tout d'abord, il est important de maintenir les systèmes à jour. Les mises à jour de sécurité régulières de Microsoft incluent souvent des correctifs pour des vulnérabilités de ce type ; il est donc crucial de les appliquer rapidement.
Dans d'autres cas, des règles de pare-feu restrictives peuvent contribuer à bloquer le trafic non sollicité. Selon les capacités du pare-feu, il est possible de bloquer les requêtes comportant un en-tête « range » important, généralement révélateur d'une attaque exploitant cette vulnérabilité.
Une autre approche consiste à utiliser un proxy inverse ou un équilibreur de charge. Ces dispositifs peuvent être configurés pour filtrer le trafic entrant et supprimer les en-têtes malveillants avant qu'ils n'atteignent HTTP.sys. Cependant, cette solution présente également des inconvénients. Par exemple, les utilisateurs légitimes demandant des fichiers volumineux pourraient être bloqués.
En conclusion, la vulnérabilité MS15-034 est dangereuse, mais il est possible de s'en remettre. Maintenir les systèmes à jour, configurer des règles de pare-feu restrictives et, le cas échéant, utiliser un proxy inverse ou un équilibreur de charge, sont des moyens efficaces d'atténuer cette faille. La clé, comme toujours, réside dans une vigilance constante et une action proactive. Il est primordial de se tenir informé des dernières vulnérabilités et d'appliquer régulièrement les correctifs et mises à jour nécessaires. Le monde numérique évolue sans cesse, tout comme les menaces qu'il recèle.