Depuis la semaine dernière, Microsoft est sur le qui-vive suite à la découverte d’une faille à exploitation immédiate identifiée dans plusieurs versions de Windows. Aucune exploitation n’est pour l’heure à déplorer pour cette vulnérabilité qui selon Microsoft peut permettre une élévation de privilèges de la part d’un utilisateur authentifié. Sont concernés Windows XP Pro SP2 et toutes les versions et éditions de Windows Server 2003, Windows Vista et Windows Server 2008.

Cette vulnérabilité est due à une erreur présente au niveau de la manipulation de code via IIS (Internet Information Services) et SQL Server. Jusqu’à présent, peu d’autres détails étaient connus à ce sujet, mais la publication de l’avis de sécurité de Microsoft a bien évidemment titillé les esprits torturés de plusieurs chercheurs en sécurité informatique qui ont apporté leur pierre à l’édifice, parfois au risque d’en dire trop et ainsi donner matière à inspiration à des individus mal intentionnés.

Un dénommé Cesar Cerrudo a par exemple pointé du doigt les faiblesses sécuritaires de plusieurs services dans Windows Vista et Server 2008 comme le relativement connu WMI (Windows Management Instrumentation) qui possède le droit d’accéder au compte Système Local. Cerrudo affirme par ailleurs avoir déjà conçu une application qui démontre comment une DLL d’une page Web ASP.NET est injectée dans le service RPCSS (Remote Procedure Call Subsystem) fonctionnant dans le compte Network Service, et comment le service injecte alors la DLL dans le service IIS exécuté avec des privilèges système.

Cerrudo ne prévoit pas pour l’instant de publier son code avant la mise en ligne d’un patch made in Microsoft, probablement lors du prochain Patch Tuesday du 13 mai à moins que d’ici là, la menace ne soit passée à un échelon supérieur.

• 31-07-2008 Vista de plus en plus mal aimé en entreprise
• 28-07-2008 Mojave Experiment, ou comment réhabiliter Windows Vista.
• 25-07-2008 Microsoft se réorganise pour tenter de repartir à la conquête d'internet
• 25-07-2008 Windows Vista veut une deuxième chance
• 25-07-2008 Microsoft va prochainement booster Vista
• 25-07-2008 Kevin Johnson, 1ère victime de l'impuissance de Microsoft ?
• 25-07-2008 Vista et les TIC : une adoption désastreuse ?
• 25-07-2008 Bientôt une campagne de pub pour Windows Vista "pour rétablir la vérité"
• 25-07-2008 Microsoft emploie des ruses de sioux pour faire aimer Vista
• 25-07-2008 Microsoft plomberait les netbook ?
• 25-07-2008 Mojave : Microsoft lance un nouvel OS
• 25-07-2008 Microsoft investit comme jamais dans l'open source
• 25-07-2008 Windows 7 est vraiment sur les rails, assure Microsoft
• 24-07-2008 DirectX 11 nouvelles infos
• 24-07-2008 Linux encore plus sexy qu'Apple