Le printemps est là, mais toujours pas de beaux jours côté sécurité

A quelques heures du grand top départ du cinquième congrès de la sécurité des systèmes d’informations de santé, je vous propose un petit tour de l’actualité SSI du moment.

Effectivement, si le printemps ose enfin pointer le bout de son nez, côté sécurité ce n’est pas vraiment ça…

Commençons tout d’abord avec une « vulnérabilité » Windows qui fait le « buzz » (exagérément) depuis un peu plus d’une semaine, le fameux « Double Agent » révélé par la société Cybellum.
Les chercheurs annoncent la possibilité d’injecter du code par le biais d’une DLL [1] dans n’importe quel processus démarré sur un système Windows (de XP à W10).
Pour étayer leurs dires, ils ont réalisé cette fameuse attaque sur les processus de plusieurs antivirus du marché.
En vérité cette « fameuse faille » n’est autre qu’une fonctionnalité de « debug » pour les développeurs d’application qui ne peut être exécutée qu’avec un compte à hauts privilèges et qui peut être désactivée. Pas aussi terrible que ça me direz-vous, mais c’est tout de même un bon rappel à l’ordre sur le fait que la configuration des postes est importante et qu’être connecté en tant qu’administrateur local de sa machine représente un risque majeur en cas d’exécution de code malveillant. Faites passer le mot aux éditeurs du secteur de la santé qui développent encore des applications imposant le plus haut niveau de privilèges pour fonctionner ;-)

Plus embarrassant, des chercheurs chinois viennent de découvrir une vulnérabilité sur IIS 6.0, le serveur Web de Microsoft, présent sur les serveurs Windows 2003 server. Cette vulnérabilité ne sera bien entendu pas corrigée, ce système n’étant plus supportée par Microsoft depuis presque deux ans. Des serveurs hébergeant des sites ou des applications Web, mais aussi le webmail Outlook Web Access… De nombreux serveurs connectés à Internet sont impactés, presque 4000 en France selon Damien Bancal. Si vous avez encore un serveur sous 2003 server, voici donc un nouvel argument pour penser à migrer rapidement…. 

Petit dernier qui m’a beaucoup fait rire (l’article bien sûr, le news en elle-même me faire rire plutôt jaune, même si ça n’a rien d’étonnant). L’article est intitulé « Un lave-vaisselle connecté permet de pirater le réseau informatique des hôpitaux ». Il s’avère en fait d’un laveur utilisé par les établissements de santé pour assurer le nettoyage des instruments chirurgicaux sur lequel un chercheur en sécurité vient de trouver une faille permettant d’infiltrer un réseau par le biais de ce laveur. Cette trouvaille rappelle une nouvelle fois l’importance de segmenter ses réseaux et d’isoler les dispositifs médicaux souvent très vulnérables.

Pour celles et ceux qui auront la chance d’être eux aussi au Mans cette semaine, je vous souhaite un excellent congrès !

[1] Bibliothèque de fonctions pouvant être chargées en mémoire par un processus