4 faits no-bull sur la vulnérabilité HTTP.sys de Microsoft

Plus tôt cette semaine, entre toutes ses autres fusions de correctifs, Microsoft a publié des détails sur une vulnérabilité (MS15-034) qui affecte la pile HTTP Windows.

Cela ressemble à un problème qui n'affecte que les serveurs Windows, non? Mauvais - il touche toute une gamme de produits Windows, y compris les versions de bureau de Windows.

Voici quatre des notes les plus cruciales sur cette vulnérabilité, pour laquelle Microsoft a déjà préparé un correctif.

1. Le problème affecte les systèmes qui ne sont pas des serveurs ou qui exécutent même IIS

HTTP.sys, le composant Windows vulnérable dans ce problème, est un pilote de périphérique en mode noyau utilisé pour traiter les requêtes HTTP à grande vitesse. IIS 6.0 et les versions ultérieures l'utilisent, ce qui signifie qu'il fait partie de Windows depuis 2003. (Tous les programmes qui fonctionnent comme des serveurs Web dans Windows n'ont pas utilisé HTTP.sys, comme ce post de 2011 l'a documenté.)

Le vrai problème est que HTTP.sys n'est pas présent uniquement dans les versions serveur de Windows - il est également présent dans Windows 7 et Windows 8 (et 8.1). Cela signifie que tous les systèmes de bureau qui ne sont pas corrigés avec diligence sont également vulnérables à ce problème.

2. C'est facile à exploiter

Microsoft a été délibérément vague sur ce qu'il faudrait pour exploiter cette vulnérabilité, affirmant que seule «une requête HTTP spécialement conçue» pourrait être utilisée pour la déclencher. Mattias Geniar du fournisseur de solutions d'hébergement Nucleus affirme avoir retrouvé "les premiers extraits de code d'exploitation" pour le problème.

3. Cette variété d'attaques a été utilisée sur d'autres serveurs Web

Selon Geniar, l'attaque peut être exécutée en envoyant simplement une seule requête HTTP avec un en-tête de requête de plage mal formé, une technique normalement utilisée pour permettre à un hôte de récupérer une partie d'un fichier à partir d'un serveur Web.

En 2011, une attaque vaguement similaire a été documentée pour le serveur Web Apache HTTPD. Cette vulnérabilité a été corrigée assez tôt, et une solution de contournement (note: texte néerlandais sur la page) pourrait également être implémentée en éditant le fichier .htaccess pour un site Web donné. Mais cette attaque fonctionnerait sur des systèmes qui n'exécutent pas officiellement un serveur Web, ce qui complique les choses.

4. Vous pouvez facilement vérifier si vous êtes vulnérable

Maintenant, quelques bonnes nouvelles: il est relativement facile de dire si un serveur avec lequel vous traitez a été corrigé ou non. Le développeur "Pavel" a créé un site Web (avec du code open source) qui permet à tout serveur Web public d'être testé pour la présence du bogue. Si l'outil indique autre chose que "[domaine] est corrigé", vous feriez mieux de mettre à jour le système en question.

Bottom line: Corrigez si vous ne l'avez pas fait, et méfiez-vous de la façon dont ce problème peut potentiellement affecter des systèmes qui n'ont jamais été censés être des serveurs en premier lieu.