La semaine dernière, Microsoft a diffusé un Tuesday Patch copieux, corrigeant notamment une vulnérabilité très grave - et vieille de 19 ans :-) - dans SSL. Quelque chose d'équivalent à la vulnérabilité HeartBleed qui avait défrayé la chronique de Linux et autres systèmes utilisant Open SSL.

Mais cela n'a pas été suffisant. Redmond vient en effet de corriger une autre vulnérabilité très grave et diffuse le correctif hors cycle, en raison de cette gravité.

Il s'agit d'une faille dans Kerberos Key Distribution Center, alias KDC, qui permet de se connecter dans un domaine Active Directory.

Un exploit de la faille permet à l'attaquant d'obtenir les mêmes privilèges que l'administrateur du domaine. Autant dire que le loup est lâché dans la bergerie... :-)

Microsoft dit avoir connaissance d'exploits de cette faille sous la forme "d'attaques limitées et ciblées". En clair, pour un administrateur système, cela se comprend par : c'est vraiment la cata et il faut appliquer le patch immédiatement.

La faille impacte les Windows Server 2003, 2008, 2012, 2012 R2, mais pas uniquement. Les Windows de Vista à Windows 8.1 sont également vulnérables, mais dans ce cas, c'est tout de même moins sensible. Quoi que...