Ce mois-ci, en même temps qu'il livrait une mise à jour critique pour plusieurs versions de Windows Server, Microsoft a également sorti un correctif pour plusieurs versions du système d'exploitation client Windows, y compris la Technical Preview de Windows 10. Le patch pour Windows Server était urgent : un exploit affectant Windows Server 2008 R2 et les versions antérieures avait déjà été détecté et Windows Server 2012 et les versions ultérieures sont vulnérables à une attaque liée, mais plus complexe.

Cependant, cette vulnérabilité n'affecte pas les versions desktop de Windows. Dans Windows Server, la faille permet à des attaquants d'utiliser un nom d'utilisateur et un mot de passe quelconque dans le domaine Active Directory pour obtenir les mêmes privilèges système que l'administrateur. L'attaque utilise un faux certificat d'attribut de privilège pour tromper le contrôleur de domaine Kerberos qui gère l'accès à distance. Si, comme le précise l'avis accompagnant le correctif, la sécurité des versions client de Windows n'est pas menacée, on se demande pourquoi l'éditeur a également décidé de livrer un correctif pour Windows Vista, Windows 7, Windows 8, Windows 8.1 et Windows 10 Technical Preview.

Pas de correctif pour Windows XP

Selon un responsable de Microsoft, même si ces versions de Windows ne sont pas affectées par cette vulnérabilité spécifique, un examen de leur code source a permis de voir que certaines anciennes portions de code de Windows pouvaient permettre de falsifier le certificat d'attribution des privilèges, et donc de rendre possibles certaines attaques, sans donner plus de détails. « Ce renforcement côté client permet de remplacer l'ancien code avec un code plus récent. Notre enquête ne nous a pas permis de découvrir la présence d'une vulnérabilité sur ces plateformes, mais nous avons estimé qu'une partie de code devait être améliorée pour répondre aux normes de sécurité actuelle », a déclaré le responsable de Microsoft.

L'éditeur n'a pas dit si Windows XP était concerné par le problème, mais compte tenu de l'âge du code mis en cause, cela semble plus que probable. Cependant, étant donné que Windows XP ne bénéficie plus d'aucun support, seules les entreprises qui ont prolongé leurs contrats de maintenance pour XP devraient recevoir la mise à jour concernée. Cet épisode pourrait aussi inciter ceux qui tournent encore avec l'ancien OS à mettre à jour leur système. La mise à jour concerne donc aussi la Technical Preview de Windows Server, mais Microsoft a indiqué qu'il ne donnait jamais d'indice de gravité pour les previews. « Les clients savent qu'une version bêta n'est pas parfaite », a déclaré le responsable de Microsoft.