Spécial sécurite : Bug DLL, paternités multiples et descendance pléthorique

Sommaire
1 - Bug DLL : paternités multiples, descendance pléthorique
2 - Sondages d'été 

1 - Bug DLL : paternités multiples, descendance pléthorique

Pour l’heure, il existerait plus de 200 applications touchées par la faille « détournement de DLL » médiatisée notamment par les Slovènes de la société Acros Security en début de semaine passée. Une faille qui, selon l’analyse experte de Thierry Zoller, aurait de très nets liens de parenté avec celle découverte au même moment par H.D. Moore… lequel H.D.Moore publie dans la foulée un kit d’exploitation pour Metasploit baptisé DLLHijackAuditKit v2. Mais, nous explique Thierry Zoller, il se pourrait bien que le véritable inventeur de la faille soit Georgi Guninski en 2000. Voilà un trou qui fera parler de lui, estime le chercheur Luxembourgeois, qui avec humour baptise cette faille « CVE-2010-x+n ».

Chez McAfee, l’origine du bug n’est pas propre au monde Windows. Pour Geok Meng Ong de l’Avert, il faut remonter à 2003 pour rencontrer un défaut similaire dans des noyaux Red Hat et Gento. La suite de l’article explique d’une manière excessivement simple comment un exécutable peut appeler une bibliothèque dynamique située sur une ressource distante. Rappelons qu’une partie du problème avait déjà été évoquée en juillet dernier par Nick Harbour... Le trou DLL-Hell, comme beaucoup d’autres, possède de multiples paternités.

Bojan Zdrnja du Sans revient lui aussi sur ce détournement de DLL, et explique également la « logique » qui préside l’ordre de recherche de ladite bibliothèque lorsqu’une requête est lancée par un exécutable.
 

Chez Microsoft, outre une alerte référencée 2269637, Christopher Budd y va de son billet sur le blog du MSRC. Un billet qui débute par une tentative de disculpation : responsable mais pas coupable. « This is different from other Microsoft Security Advisories because it's not talking about specific vulnerabilities in Microsoft products ». Une attitude strictement comparable avait été observée lors de l’apparition des premières fausses urls exploitant les extensions .COM ou les attachements utilisant une extension .PIF (toutes deux acceptées par l’interprète de commande). « C’est une caractéristique héritée, nous n’avions aucune raison de modifier le comportement du noyau ». Une attitude que confirme un billet de Marisa Fagan sur le blog d’Errata Security, qui rappelle qu’en 2009, Aviv Raff avait déjà alerté la cellule sécurité de Redmond. Laquelle avait répondu : « it would be very problematic to fix the whole thing, and would break a lot of third-party Windows applications ». L’excuse du « trop de travail pour corriger çà », avait également été avancée à propos des fichiers .COM et .PIF qui fonctionnaient dans une boîte DOS. Voilà qui rappelle la position du Haut Commandement de l’armée Française à propos de la conservation des pantalons garance chez les fantassins de 1914. Lorsque la force de la tradition transforme chaque soldat –ou chaque exécutable- en cible visible par le plus mauvais tireur ennemi, il est peut-être temps de trouver une parade, et non de fuir les responsabilités sous prétexte de tradition ou de respect des coutumes ancestrales. Le niveau d’exploitation semble tellement simple que déjà de nombreuses attaques recensées « dans la nature » visent des programmes de la gamme Office, Windows Mail, des programmes d’échange P2P…

Pour l’heure, la consigne se limite toujours à bloquer les requêtes WebDAV et verrouiller les ports SMB. A ceci s’ajoute la création d’une nouvelle clef de registre CWDIllegalInDllSearch destinée à modifier l’ordre de recherche des DLL. L’usage de cette parade nécessitant à la fois de connaître l’existence de cette clef et de posséder un minimum de connaissances techniques pour pouvoir la mettre en œuvre laisse prévoir une certaine persistance du « taux de vulnérabilité » du parc de machines Windows en état de fonctionnement. Les gardiens de botnet doivent se frotter les mains et plancher sur de nouveaux vecteurs, vite avant que ne soit publié le prochain correctif « hors calendrier ». Car compte tenu de la dangerosité de cette menace, il serait peu sage d’attendre patiemment le prochain « mardi des rustines ». Cela fera le troisième « out of band » de la période estivale…

2 - Sondages d'été

Dans le cadre des informations d’une profondeur sociologique insondable que nous délivre parfois McAfee, voici que nous est dressée la liste des personnalités les plus utilisées par les auteurs de malwares, que ce soit dans le cadre d’une campagne de phishing ou pour inciter au téléchargement d’un codec faisandé sous prétexte d’admirer ladite célébrité sortant de son bain.

Egérie du piège binaire, c’est Cameron Diaz qui décroche la première place. Une requête du genre « vidéos de Cameron Diaz » retourne en moyenne 19% de résultats pointant sur des sites infectés. Sur les talons de Madame Diaz arrive Julia Roberts, qui, si elle « fait moins de retour » en termes de volume, compte pourtant 20% de sites douteux parmi les réponses d’une requête analogue. Jessica Biel décroche la troisième place (17% des réponses conduisant vers un site ou un fichier dangereux) suivie par Gisele Bündchen, un mannequin en vogue qui mérite une visite sur l’interface « résultats en image » de Google. Le premier homme du classement arrive en 5ème position, et c’est, tout comme l’an passé, Brad Pitt. Le second « homme piège », Tom Cruise n’arrive qu’en 8ème place, devancé par mesdames Jennifer Love Hewitt et Nicole Kidman (ex-aequo). Heidi Klum, Penelope Cruz et Anna Paquin ferment la marche de ce “top 10”. Monsieur Pitt semble indétrônable dans cette course aux fichiers explosifs, puisque ses concurrents masculins sont classés loin derrière : David Beckham 29ème, Tiger Woods 33ème (malgré le battage médiatique relatif à sa « sexothérapie »), Justin Bieber (un éphèbe Canadien de la chanson) 46ème et Barack Obama 49ème. Soit le Web serait légèrement machiste et consulté par une population essentiellement masculine, soit les spécialistes de l’escroquerie en ligne et de l’infection-espionne estiment que ce sont encore les hommes qui possèdent les « cordons de la bourse » et sont par conséquent plus intéressants à cibler*.

*Ndlc Note de la Correctrice : … soit les auteurs de malwares ont compris qu’il était plus facile de flouer un homme en faisant appel à ses instincts … naturels, ou bien encore les femmes savent généralement mieux détecter les pièges grossiers de ce type.