Présenté sur son blog ainsi que sur Milw0rm et le Full Disclosure, le PoC de Laurent Gaffié fait couler beaucoup d’ascii. Démontrant l’existence d’une faille affectant SMB 2.0, il offre la possibilité de crasher, à distance les machines sous Vista et 2008 Server (Windows 7 et 2008 R2 ne seraient pas affectés). Le MSRC a immédiatement réagi en confirmant l’information et en piquant une colère aussi noire que les écrans de ses stations peuvent devenir bleus à l’aide de ce petit bout de programme. Car le « PoC Gaffié » n’a semble-t-il pas fait l’objet d’une communication à l’éditeur avant divulgation. Voilà qui pourrait nous valoir la publication d’un correctif « out of band » dans les jours qui suivent.
Ce qui nous fait pour l’instant, dans la catégorie des trous laissés béants, une faille FTP (bénigne), un trou SMB (légèrement violent)… A ceci, l’on doit ajouter une correction imparfaite de la toute dernière MS09-048 : Richard Bejtlich explique comment les « systèmes non affectés » que sont les stations de travail Windows XP déployées en entreprise sont cependant vulnérables dans certains cas, et pourquoi ils le resteront.
Le jour du mois le plus pénible chez Microsoft, c’est le JLP, le Jeudi de Lendemain de Patch.
Il semblerais en plus que ce trou soit causé par un corréctif de sécurité:
http://g-laurent.blogspot.com/2009/09/windows-vista7-smb20-negotiate-protocol.html?showComment=1252641046567#c6675490285476420705