Kostya Korchinsky, au fil d’un billet toujours aussi brillant, explique ce qu’est la faille MS12-022, alias « faille RDP du siècle ». Il en profite au passage pour rappeler le travail de Luigi Auriemma sur le sujet. « Il s’est écrit beaucoup de bêtises alarmistes à propos de cette vulnérabilité » écrit en substance l’expert de Miami. « S12-020 ne me semble pas super exploitable à distance. Localement c’est une autre histoire… ». Ouf. De toute manière, les alertes rouge-vif du Sans et de Microsoft ont probablement incité le ban et l’arrière-ban des administrateurs à déployer cette rustine d’urgence. Et comme les psychoses n’effacent plus les données ou ne bloquent plus les systèmes depuis le SP3 de NT3.5, on peut donc en conclure qu’il y a eu plus de peur que de mal.
« Mais en quoi qu’il cause, ce virus ? » La question taraudait depuis un certain temps l’équipe de recherche de Kaspersky en général et Igor Soumenkov (http://www.securelist.com/en/blog/667/The_Mystery_of_the_Duqu_Framework) en particulier. Des choses pas banales faisaient que le désassemblage du code du sinistre Duqu ne correspondait pas franchement à ce qu’aurait fourni un compilateur connu. Le mystère est « enfin » résolu (il faut avouer que 3 personnes au moins n’en dormaient plus entre les rives de Brest et les bords de la Léna). On y trouve donc du C Microsoft compilé avec des options de compilations spéciales, étendu de OO C et de C&C… C clair, C pas des choses qui peuvent s’inventer.