S’ils ne sont plus supportés depuis quatre ans, Windows XP et Windows Server 2003 ont eu droit à un correctif de sécurité corrigeant une vulnérabilité particulièrement sévère.
Surprise ! Alors que Redmond a mis fin à tout support de Windows XP, correctifs de sécurité compris, en 2015, après avoir retardé la mise à mort de son vénérable système d’exploitation de quelques années, voilà que l’éditeur publie un patch corrigeant une vulnérabilité présente dans XP. Sont concernées Windows XP SP3, Windows Server 2003 SP2, Windows XP Professional x64 Edition SP2 et Windows Embedded XP et 2009.
« Microsoft a conscience que certains clients exécutent des versions de Windows qui ne bénéficient plus d’un support standard » explique le géant. En effet, selon les chiffres de Statcounter, Windows XP occupe toujours 1,6% du parc tournant sous l’OS de Microsoft. Quant à Windows Server 2003, il représente encore 2,6% des systèmes d’exploitation serveurs, tous éditeurs confondus. Or le patch en question vient corriger sur les anciens Windows (mais toujours supportés), à savoir 7 et Server 2008, une bien méchante faille.
Sauts de puce
CVE-2019-0708 est caché dans l’outil Remote Desktop Services et permet une exécution de code à distance, « quand un attaquant non authentifié se connecte au système cible à l'aide de RDP [Remote Desktop Protocol] et envoie des requêtes spécialement conçues ». Mieux encore, cette vulnérabilité est « pré-authentification et ne nécessite aucune interaction de l'utilisateur ». En d’autres termes, par son biais, un ver pourrait se répandre de machine vulnérable en machine vulnérable sans grande difficulté.
Si la faille n’est pas documentée, le correctif la comble en modifiant la manière dont Remote Desktop Services gère les requêtes. « Compte tenu de l'impact potentiel sur les clients et leurs entreprises, nous avons pris la décision de rendre disponibles les mises à jour de sécurité pour les plates-formes qui ne sont plus prises en charge par le support standard ». Pour les utilisateurs de systèmes XP ou Server 2003, il est conseillé très vivement d’installer le patch, en le récupérant sur le Microsoft Update Catalog puisque, bien évidemment, la mise à jour ne sera pas automatiquement poussée sur Windows Update pour les anciens systèmes.