Pour la deuxième fois en trois ans, une vulnérabilité a été découverte dans Microsoft Skype, risquant d’entraîner des problèmes de communication, au niveau de petits emojis kitten bondissants (ou de tout autre type d’emojis animés).
SEC Consult a annoncé la semaine dernière avoir découvert que le lancement de 100 emojis animés (l’entreprise de sécurité a, en effet, choisi de se concentrer sur les kittens) dans Skype Entreprise a généré une sorte de flottement, provoquant un léger délai de réactivité au niveau de l’application.
En envoyant 800 emojis animés vers l’application, les emoji maraudeurs ont sombré dans les ténèbres, victime d’une attaque par déni de service (DoS), mettant Skype Entreprise à genoux,…
… du moins pendant quelques secondes. Cependant, même dans ce cas, si votre entreprise dépend de Skype pour organiser des conférences avec votre personnel, des appels clients ou toute autre forme de communication, installez sans plus attendre les correctifs appropriés. Microsoft a publié un patch pour cette vulnérabilité (désignée par CVE-2018-8546) qui affecte Office 365 ProPlus, Microsoft Office, Microsoft Lync et Skype.
C’est une très bonne initiative que d’installer ce correctif. Vous ne voulez pas que certaines personnes malintentionnées, comme, par exemple, un ancien employé mécontent, lancent en continue une horde de kittens sur votre entreprise. Si une telle personne devait exister, une entreprise se retrouverait coincée dans une crique et sans rame pour s’en sortir, a déclaré SEC Consult :
Lorsque vous recevez environ 800 kittens à la fois, votre client Skype Entreprise cessera de répondre pendant quelques secondes. Si un expéditeur continue à envoyer des émoticônes, votre client Skype Entreprise ne sera plus utilisable jusqu’à la fin de l’attaque.
Une telle situation s’est déjà produite auparavant : en 2015, Skype Entreprise présentait le même type de vulnérabilité liée à une surcharge en emojis. Selon SEC Consult, de multiples émoticônes animés “entraîneraient une utilisation excessive du CPU du client en question”.
Le correctif pour la vulnérabilité de 2015 était simple : fermez les fenêtres de discussion. En effet, vous ne pouviez pas empêcher votre processeur de s’emballer tant qu’elles étaient ouvertes. Une fois fermées, les utilisateurs pouvaient désactiver l’animation des émoticônes au niveau de la boîte de dialogue “Option”.
Cette fois-ci, Microsoft n’a identifié aucune solution de contournement, ni aucun facteur de mitigation. Peut-être que cela ne valait pas la peine : Microsoft a corrigé la manière dont Skype Entreprise traite les émoticônes et a sorti le patch à toute vitesse !
Qui est touché ?
SEC a développé cette preuve-de-concept pour vérifier si votre client se bloque ou non lorsqu’il reçoit une surcharge massive d’emojis. Là encore, vous pouvez simplement vérifier si votre client est :
- Skype Entreprise 2016 MSO (16.0.93). 64 bits ou antérieur, ou
- Lync 2013 (15.0) 64 bits intégré à Microsoft Office Professional Plus 2013 ou une version antérieure, et enfin
- La version sous Windows.
Il ne semble pas qu’il s’agisse d’une vulnérabilité très risquée, ni d’un correctif particulièrement important, mais la plupart des entreprises qui utilisent Skype Entreprise ou Lync sont de petites (41%) ou moyennes (19%) entreprises.
L’installation de correctifs n’est pas une action sans importance. Tout comme ne l’est pas non plus le fait de voir son équipe de vendeurs être la cible d’une attaque DoS. SEC a souligné que : les petites entreprises dont le personnel de sécurité et informatique est limité ont-elles vraiment besoin de se retrouver dans une telle panique face à ce type d’attaque ?
Si vous êtes responsable informatique et/ou sécurité de votre entreprise, la gestion constante des correctifs est essentielle. Combien cela vous coûterait-il si votre équipe de vendeurs était victime d’une attaque par déni de service ? Combien de temps faudrait-il à votre service informatique pour y mettre fin (s’il est capable de le faire sans compromettre votre productivité) ? Faites le calcul !
Billet inspiré de Patch Skype for Business now or risk DoS via emoji kittens!, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.