Cela faisait longtemps que l’on n’avait entendu parler d’une régression aussi intéressante : une vulnérabilité relativement confidentielle (autrement dit non exploitée « dans la nature ») a fait l’objet d’un colmatage lors du précédent patch Tuesday du 13 août dernier. La rustine en question rectifiait une instabilité dans un rouage plutôt critique des infrastructures serveur : les Active Directory Federation Services. Jusque-là, tout va bien… ou presque, puisque certains blocages ont commencé à se produire après application du remède, allant parfois, affirme Graham Clueley, jusqu’à bloquer le service d’authentification inter-annuaires. Redmond a donc dû « repousser » un correctif en date du 19 août, passé pratiquement inaperçu.
Cet incident ne concerne que les entreprises travaillant avec une fédération d’annuaires hétérogènes ne dépendant pas nécessairement d’un même domaine ou forêt. Ces entreprises de taille respectable possèdent en général une équipe de sécurité qui effectue systématiquement des tests de non-régression avant tout déploiement de correctif, surtout si celui-ci concerne une pièce maîtresse telle que les Active Directories. Cette habitude remonte à l’époque des « service pack maudits » qui étaient, à la haute époque NT 3.5/NT4.0, capables de ravager une armée de PDB/BDC aussi sûrement qu’une charge de uhlans déferlants sur Somosierra.
