Spécial sécurité : Microsoft et les difficiles jeudis de lendemain de patch

Sommaire :

1 - BSOD : réseau bleu inattendu chez Microsoft

2 - Cisco chasse la persistance

3 - Virus à vendre : pas cher et sur abonnement

1) BSOD : réseau bleu inattendu chez Microsoft

Présenté sur son blog ainsi que sur Milw0rm et le Full Disclosure, le PoC de Laurent Gaffié fait couler beaucoup d’ascii. Démontrant l’existence d’une faille affectant SMB 2.0, il offre la possibilité de crasher, à distance les machines sous Vista et 2008 Server (Windows 7 et 2008 R2 ne seraient pas affectés). Le MSRC a immédiatement réagi en confirmant l’information et en piquant une colère aussi noire que les écrans de ses stations peuvent devenir bleus à l’aide de ce petit bout de programme. Car le « PoC Gaffié » n’a semble-t-il pas fait l’objet d’une communication à l’éditeur avant divulgation. Voilà qui pourrait nous valoir la publication d’un correctif « out of band » dans les jours qui suivent.

Ce qui nous fait pour l’instant, dans la catégorie des trous laissés béants, une faille FTP (bénigne), un trou SMB (légèrement violent)… A ceci, l’on doit ajouter une correction imparfaite de la toute dernière MS09-048 : Richard Bejtlich explique comment les « systèmes non affectés » que sont les stations de travail Windows XP déployées en entreprise sont cependant vulnérables dans certains cas, et pourquoi ils le resteront.

Le jour du mois le plus pénible chez Microsoft, c’est le JLP, le Jeudi de Lendemain de Patch.

2) Cisco chasse la persistance

L’alerte Cisco 109444 n’est pas une nouveauté pour tout le monde. Ce n’est que la correction d’une faille tcp prenant plusieurs aspects, et ayant pour caractéristique première d’autoriser des connexions persistantes ou de très longue durée. Qu’un attaquant utilise une trame forgée exploitant ce défaut et soit le serveur visé finit par refuser le moindre dialogue passé un temps relativement bref, soit la machine le supportant s’écroule par saturation de ses ressources. Dans les deux cas, le déni de service muselle le port visé, et parfois même toutes les communications. Dans le même genre, l’on se souvient de Slowloris, l’attaque visant les clients http, qui exploitait un défaut similaire avec des conséquences semblables. Dans le cas présent, le défaut est plus préoccupant puisqu’il affecte des équipements de commutation et certains firewalls.

3) Virus à vendre : pas cher et sur abonnement

Pour 850 euros par mois et pour une durée minimale de 12 mois, Frame4 offre une collection régulièrement remise à jour de malwares en tous genres. L’offre de service s’appelle MD :Pro et s’adresse aux spécialistes sécurité, aux agences d’Etat, aux grands groupes possédant une cellule sécurité bien constituée et autres spécialistes de l’analyse de code. Cette entreprise hollandaise s’attire, on s’en doute, des remarques légèrement désobligeantes de la part des principaux éditeurs d’antivirus ou de firewalls. Car les malwares, c’est un peu comme les traités SALT de non-prolifération des armes atomiques. Seuls les grandes puissances ont le droit de posséder des choses aussi dangereuses… on ne sait jamais entre quelles mains de telles bombes logicielles pourraient tomber.

Si, effectivement, il existe un risque de fuite proportionnel au nombre de « clients » ayant souscrit à cet « abonnement virus », force est de reconnaître que les sources d’infections proviennent rarement des laboratoires de recherche, qu’ils soient dépendants d’un acteur industriel ou d’une grande marque de logiciel de protection. Il est peut-être plus plausible qu’il s’agisse là d’une réaction de dépit, furieux que soient certains de ne pas y avoir pensé plus tôt.