À l'occasion de son Patch Tuesday de juin, Microsoft a corrigé une vulnérabilité de sécurité touchant toutes les versions de Windows en cours de support. Dans le cadre du bulletin de sécurité MS16-077, cette faille n'a pas été jugée critique et de type élévation de privilèges.

Selon Microsoft, le problème résidait dans la manière dont Windows gère la découverte d'un proxy avec le protocole WPAD (Web Proxy Auto-Discovery Protocol) qui est utilisé pour localiser l'URL d'un fichier de configuration via DHCP ou DNS.

Il s'avère que cette faille touche des versions de Windows qui ne bénéficient plus d'un support de Microsoft et végétait depuis plus de deux décennies. Un problème présent depuis Windows 95 et jusqu'à Windows 10 qui ne paraît pas si anodin.

tunnel Fondateur du Xuanwu Lab de Tencent, Yang Yu - alias @tombkeeper - a reçu la somme de 50 000 $ de Microsoft pour cette trouvaille qu'il a baptisée BadTunnel. Il est loin d'être un inconnu pour Microsoft puisqu'il figurait déjà dans son tableau d'honneur des chercheurs ayant rapporté des problèmes de sécurité.

Il explique que BadTunnel est un nouveau modèle d'attaque permettant une usurpation d'identité sur les réseaux où les sessions entre les différents ordinateurs sont établies avec NetBIOS (qui est principalement utilisé par Microsoft). Cette technique d'attaque peut contourner le pare-feu et la fonction NAT de translation d'adresse IP.

Naked Security (Sophos) résume la situation ainsi : " BadTunnel peut vous exposer à des attaquants qui ne sont pas sur votre réseau, et vos pare-feux ne vous sauveront pas, à moins de bloquer UDP sur le port 137 (ndlr : utilisé pour NetBIOS) entre votre réseau et l'Internet ". Faute de patch, ce blocage paraît donc être le seul rempart pour d'anciennes versions de Windows qui sont hors du cadre du support de Microsoft.

À Forbes, Yang Yu déclare que " c'est probablement la première fois dans l'histoire qu'il est possible de créer un tunnel pour passer à travers les dispositifs de pare-feu et NAT, et attaquer des appareils sur l'Intranet directement depuis l'Internet. "

Yang Yu assure que pour une exploitation, il suffit que la victime consulte une page Web malveillante avec Internet Explorer ou Microsoft Edge, ou ouvre un document spécialement conçu. L'attaquant peut alors détourner la demande de nom NetBIOS pour se faire passer pour un serveur d'impression ou de fichiers dans le réseau local.

Le chercheur en sécurité présentera BadTunnel début août prochain à l'occasion de la conférence Black Hat 2016 de Las Vegas.