JASBUG, le bug âgé de 14 ans qui fait peur aux entreprises

JASBUG... C’est le mot du jour qui anime la communauté des responsables sécurité des entreprises, mais aussi celles des hackers, geeks et cybercriminels. C’est le nom donné à une vulnérabilité Windows âgée de 15 ans, mais uniquement découverte en 2014 par les experts de JAS Global Advisers (d’où son nom) et corrigée hier par Microsoft via ses correctifs du « Patch Tuesday » (Microsoft pousse les correctifs Windows tous les seconds mardis du mois).

Bien plus qu’un simple Bug, JASBUG est en réalité un défaut de conception au cœur même des protocoles de l’Active Directory qui touche toutes les versions de Windows depuis Windows 2000 et tout particulièrement les versions « Windows Server ».

Cette vulnérabilité ne concerne pas le grand public, mais uniquement les ordinateurs Windows connectés aux réseaux d’entreprise via l’Active Directory. Elle permet à des hackers de prendre le contrôle des machines des utilisateurs pour peu qu’ils arrivent à les convaincre de se connecter à un réseau qu’ils contrôlent. Elle permet aussi à des cybercriminels d’intercepter les échanges de fichiers entre le poste et le serveur (via un mécanisme de « Man In The Middle »).

JASBUG est donc corrigé depuis hier sur toutes les machines qui reçoivent les correctifs de Windows Update. Jugé « Critique » par Microsoft, il demande à tous les responsables informatiques d’y porter une attention particulière. Il est en effet urgent de patcher au plus vite les postes clients, mais aussi les serveurs !

Malheureusement, le correctif ne couvre pas tous les Windows. Les versions Windows 2000 et XP n’étant plus supportées par Microsoft, il n’existe pas de correctifs. Plus gênant, il n’existe pas de solution pour Windows Server 2003 (dont la fin de vie est prévue pour le 14 juillet 2015), mais les entreprises qui ont conservé cette édition comme contrôleur de domaine sont rares (et auraient dû migrer depuis longtemps déjà). Pas vraiment simple à mettre en œuvre, la vulnérabilité n'aurait pas encore été exploitée "in the wild" (dans la nature). Mais la révélation de son existence va certainement attiré rapidement l'attention des cybercriminels.

Posez une question dans la catégorie Les news : vos réactions du forum
Cette page n'accepte plus de commentaires
1 commentaire
Commenter depuis le forum
    Votre commentaire
  • turlupin en ptard
    Citation:
    Mais la révélation de son existence va certainement attiré rapidement l'attention des cybercriminels.

    Il n'y a donc pas que David qui fasse ce genre de boulette... [:patch] :hello: