La semaine dernière, Microsoft a publié un Tuesday Patch plutôt copieux. Dans le lot des vulnérabilités corrigées, se trouve une vulnérabilité baptisée BadTunnel  par son découvreur.

Microsoft décrit cette vulnérabilité (MS16-077 - 3165191) simplement comme permettant une élévation de privilèges. Mais selon les informations que son découvreur le chercheur chinois Yang Yu a donné à Forbes et à Dark Reading, les choses sont plus complexes que cela.

Yang Yu décrit cette vulnérabilité comme ayant le plus grand impact de l'histoire de Windows. Elle existait dans tous les systèmes Windows de Windows 95 à Windows 10 inclus et elle pouvait être exploitée silencieusement.

Il ne s'agit pas en fait d'une vulnérabilité localisée à un endroit précis de l'OS, mais d'une série d'imperfections dans des implémentations, qui mises bout à bout aboutissent au fait qu'il était possible de faire du spoofing sur le protocole NetBIOS et ainsi réaliser des attaques de type homme du milieu et intercepter tout le trafic réseau de la machine attaquée.

Nul besoin pour y parvenir d'installer un malware ou quelque chose de ce genre. Une simple page Web malveillante pouvait réaliser le spoofing et être vue comme un serveur de fichiers ou un serveur d'impression et être en position d'intercepter le réseau. Bien sûr  une attaque réalisée par une application déposée sur la machine our sur une clé USB était possible. Yang Yu a donné un scenario d'attaque à Dark Reading.

Yang Yu a informé Microsoft de la faille en janvier dernier. La firme de Redmond l'a récompensé pour cela d'une prime de 50 000 dollars dans le cadre de son bug bounty et a publié des correctifs comme nous l'avons dit.

Mais les systèmes encore populaires mais plus supportés par Microsoft (tous les regards se tournent vers Windows XP :-) restent vulnérables. Il existe une parade qui consiste (lorsque cela est applicable) à configurer le pare-feu de Windows afin de bloquer totalement le port 137 qui est le port utilisé par NetBIOS.