vlan.org

Webzine des anciens étudiants de l’IUT Serecom St-Raphaël

Accueil > Actu > Microsoft tarde à corriger une faille de sécurité dans les serveurs (...)

Microsoft tarde à corriger une faille de sécurité dans les serveurs Exchange

jeudi 27 novembre 2003

Le numéro un du logiciel a fourni aujourd’hui la marche à suivre pour contourner une faille de sécurité critique dans Exchange Server 2003, découverte le 14 novembre. Elle permet d’usurper les droits d’accès au compte de messagerie. Un patch est à l’étude.

Il aura fallu douze jours à Microsoft pour corriger, partiellement, une faille pourtant jugée critique dans la dernière version de son serveur de messagerie Exchange Server 2003, sorti fin octobre.

Cette faille, qui permet ni plus ni moins d’accéder au compte de messagerie d’un autre utilisateur depuis Outlook, avec l’ensemble des droits, a été révélée sur la liste de diffusion NT-Bugtraq spécialisée dans la sécurité informatique, le 14 novembre.

Ce mercredi, Microsoft a publié, non pas un patch, mais une description détaillée pour les administrateurs réseaux afin qu’ils paramètrent eux-mêmes le système et éviter tout risque. Un correctif est toujours à l’étude, nous a précisé l’éditeur.

« Cette faille apparaît suivant un scénario très spécifique », relativise Nicolas Mirail, chef de produit technique chez Microsoft France. Il faut, selon-lui, que trois conditions soient réunies.

Un scénario touchant les grandes entreprises

Tout d’abord, le réseau doit être dans une configuration dite "front-end / back-end", c’est-à-dire avec la présence d’une zone ultra-sécurisée pour les entrées et sorties de données, qui fait office de sas de contrôle des informations. Pour que la faille soit exploitable, le serveur Exchange doit donc être placé dans cette zone.

« Ce type de configuration est plutôt rare dans les sociétés de 50 à 100 employées », précise Nicolas Mirail. « On la retrouve plutôt dans les grandes entreprises. »

Par ailleurs, il faut que le système d’authentification Kerberos, que fournit Microsoft avec Exchange, soit désactivé. « Par défaut, ce système est activé » dans tous les serveurs Exchange, indique le responsable de Microsoft.

« Mais il peut être désactivé par l’administrateur s’il fait un autre choix technologique. Il est également désactivé par l’installation de Windows Sharepoint Services 2.0 », poursuit-il. Ce dernier service permet de créer des mini-sites dans l’intranet de l’entreprise.

Pourquoi Windows Sharepoint Services 2.0 désactive Kerberos ? Microsoft n’a pas été en mesure de nous répondre sur ce point. Reste que son paramétrage est au cœur des mesures d’urgence décrites par l’éditeur pour contourner la faille. Une incompatibilité entre différents programmes de Microsoft pourrait donc être une des sources du problème.

Christophe Guillemin


Voir en ligne : Article de ZDNet - 26/11/2003

Un message, un commentaire ?

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Votre message

Pour créer des paragraphes, laissez simplement des lignes vides.