Le 10 juin, Microsoft a publié un avis de sécurité après qu’un collaborateur de Google ait divulgué sur la liste de diffusion Full Disclosure du code à propos d’une faille Windows susceptible de servir à une attaque « zero-day » (à peine divulguée, déjà exploitée par des pirates).

La vulnérabilité, découverte par l’ingénieur Tavis Ormandy, affecte la « fonction du centre d’aide et de soutien Windows livrée avec Windows XP et Windows Server 2003″, selon Microsoft.

Les autres versions du système d’exploitation ne seraient pas affectées par ce bug.

“Normalement, le fait de lancer le Centre d’assistance et de maintenance [Help and Support Center] via un lien hcp:// est inoffensif », peut-on lire sur une contribution du blog Security Research & Defense de Microsoft. « C’est grâce en partie à une ‘liste de permission’ de pages sécurisées. Elle permet au Centre d’assistance et de maintenance d’effectuer une vérification avant d’entamer la navigation dans cet espace. »

« L’ingénieur expert en sécurité de Google a trouvé une page d’aide intégrant une vulnérabilité de type Cross Site Scripting (XSS), ainsi qu’un mécanisme permettant de détourner la fonction « liste de permission » par le biais d’un programme exploitant une faille dans la chaîne de requêtes [exploit querystring]« , est-il écrit. « En cliquant sur un lien malveillant de type hcp://, on exploite la vulnérabilité XSS afin de contourner les dispositifs de sécurité (helpcrt.exe). Au final, du code arbitraire est installé sur la machine. »

Jusqu’à présent, Microsoft n’a pas eu vent d’attaques exploitant cette vulnérabilité. Bien qu’il puisse y en avoir par la suite car le code de Tavis Ormandy est désormais disponible pour tout.

Dans son message laissé sur Full Disclosure, l’ingénieur de Google assure avoir informé Microsoft de la faille Windows dès le 5 juin.

Sa décision de publier une preuve de concept [proof-of-concept] du code d’attaque et les détails du bug sur le Web a suscité de vives critiques de la part des professionnels de la sécurité IT.

Ainsi, Andrew Storms, directeur des opérations de sécurité chez nCircle (éditeur de solutions technos d’audit de sécurité), considère que cette manoeuvre de Tavis Ormandy vise à forcer la main à Microsoft.

« Il a utilisé la même technique pour un bug qu’il a découvert plus tôt cette année…On peut se demander s’il ne tente pas de mettre de l’huile sur le feu dans la bataille Microsoft – Google en continuant de souligner le manque d’attention de Microsoft vis-à-vis des process de sécurité relatifs à ses produits et services », commente-t-il.

Microsoft ne fait pas de cadeau à Google et vice-versa

Ces dernières semaines, Google et Microsoft se sont livrés à des joutes verbales.

Ainsi, Google recommanderait à ses équipes de délaisser Windows au profit d’autres systèmes d’exploitation en partie à cause des problèmes de sécurité.

Microsoft ne s’est pas laissé faire. L’éditeur avait posté une contribution blog en insistant sur les efforts de sécurité sur l’OS Windows 7, en rappelant que le Mac pouvait également faire l’objet de malwares et l’Université de Yale (Royaume-Uni) a décidé de délaisser Gmail pour des raisons de sécurité.

Dans son avis de sécurité, Microsoft a déclaré qu’il travaillait sur un patch pour réparer cette faille Windows « zero-day ». L’éditeur propose des alternatives temporaires en attendant une solution définitive.

Microsoft ne fait pas de cadeau à Google. “L’ingénieur de Google affirme qu’il existe un outil pour boucher le trou rapidement. Malheureusement, il est inefficace en termes de prévention. Et il peut être aisément contourné. Nous recommandons d’éviter de se fier à cet outil Google pour obtenir une protection. »

Tout en poursuivant : « la meilleure alternative est de se désabonner du gestionnaire de protocole hcp://. Cela évite la réaction en chaîne qui mène à l’exécution du code », affirme Microsoft.

Adaptation en français d’un article d’eWeek UK en date du 11 juin 2010 : Google Engineer Exposes Microsoft Windows Bug