Spécial sécurité : IIS, le dernier coup de chaud de l'été des failles

Sommaire : 

1 - ZDE IIS 5.0/6.0 : le ftp était dans le coup 

2 - Bilan juillet : de l’indiscutable nécessité de prendre des vacances

3 - Bilan juillet suite : de l’indiscutable nécessité de rentrer de vacances 

4 - Bilan juillet ter : l’iPhone connaît la gloire…et le hacking 

5 - Bilan juillet FIN : souvenirs d’été à Vegas (vidéo et p0wn à tous les étages) 

1) ZDE IIS 5.0/6.0 : le ftp était dans le coup

L’exploit distant se trouve un peu de partout, depuis lundi matin : sur Milw0rm, dans les archives du Full Disclosure. Cette preuve de faisabilité utilise une vulnérabilité du serveur ftp d’IIS 5 et 6, et ne peut être exploitée, de l’avis même de l’auteur, qu’en présence d’un répertoire accessible avec des droits d’écriture. Un tel répertoire existe pratiquement toujours dès que ftp est configuré… car échanger des fichiers est généralement la fonction première de ce programme. Autre contrainte, il est également nécessaire soit que l’attaquant possède un compte d’accès, soit que le serveur dispose d’un accès « anonymous »… là encore, quelque chose de relativement fréquent dans le monde ftp. Le problème proviendrait de la gestion du mkdir sous ftp. Par défaut, le ftp d’IIS n’est pas activé, ce qui ne minimise en rien la dangerosité de cette faille et de cet exploit. Le Sans a émis un bulletin, le Cert US également. L’équipe de Backtrack, quant à elle, s’est amusée à en tirer une petite vidéo instructive.

2) Bilan juillet : de l’indiscutable nécessité de prendre des vacances

Après un farniente de plus d’un mois, la rédaction de Cnis-Mag reprend, allegro ma non tropo, ses activités épistolaires. Entre temps, la terre ne s’était pas arrêtée de tourner.

Enfin, presque.

Milw0rm a repris ses activités en date du 21 juillet. Frappé par le découragement, Stroke avait jeté l’éponge début juillet. Mais devant l’avalanche de courriers le suppliant de continuer et surtout l’aide bénévole qu’ont décidé de lui apporter quelques amis proches, l’administrateur du site a décidé de reprendre le collier. C’est une excellente nouvelle pour les veilleurs en sécurité, moins bonne pour les partisans de la sécurité par l’obscurantisme. Remarquons au passage que les traditions ne se perdent pas, et que la « suite Office » en prend plein son grade ces jours-ci.

Microsoft nous a fait le coup du « out of band estival », le lot de rustines hors calendrier qui tombe alors que le ban et l’arrière-ban des services informatiques est en train de se faire bronzer. Double rustine avec un « cumulatif I.E. » critique et un défaut dans une bibliothèque Visual Studio considérée comme « modérée ». Une faille « modérée » publiée dans un « out of band »… vous avez dit bizarre ? Comme c’est étrange (GOSUB paragraphe suivant). A noter que, par tradition, les rustines « out of band » sont précieusement mises de côté par une forte majorité de RSSI Français, quelque part entre les Saint Julien et les Haut-Médoc. Il paraît que ça se bonifie en vieillissant et que parfois même, l’on tombe sur des crûs qui font la « queue de paon », tel Conficker.

Adobe corrige son Flash … et quelques 12 bugs périphériques. Les versions d’Acrobat sont à mettre à jour le plus vite possible, la dangerosité de la faille est bien réelle. A noter que, dans le lot, 3 des défauts sont directement liés à la faille ATL de Microsoft (RETURN plus haut). Les responsables de déploiement rentrant de vacances en août vont avoir une semaine chargée.

Et Bind 9 est vulnérable à une attaque en déni de service, la mise à jour est… urgente serait le mot le plus pondéré. L’alerte de l’ISC précise que l’exploit est public. L’Avert Lab, de son côté, explique très simplement comment la procédure de mise à jour dynamique de l’annuaire peut être compromise. Chaque année, Bind attrape une volée de bois verts entre les mois de juillet et d’août. Cette allergie est généralement provoquée par l’intense période de pollinisation des Black Hat, Defcon et autres CCC qui fleurissent à cette période.

Ces quelques mini-catastrophes mises à part, l’été s’est avéré relativement clément pour les responsables sécurité …

3) Bilan juillet suite : de l’indiscutable nécessité de rentrer de vacances 

Le lendemain du 14 juillet, tous les navigateurs – ou presque - tombent dans le même trou. Les téléphones prétendument intelligents sont également frappés par cette faille pouvant conduire à une attaque en déni de service. Il ne semble pas que cette faille, liée à un langage d’automatisation (EcmaScript), puisse être directement exploitable à distance autrement que pour provoquer un crash. Mais l’universalité de la vulnérabilité prend là une dimension historique.

Encore une catastrophe de juilletiste avant d’entamer le mois d’août ? La censure d’Amazon (ou « erreur stupide » pour reprendre les mots de son Président Jeff Bezos). Cette censure est intervenue après que le diffuseur se soit aperçu que les ebook des romans de Georges Orwell (çà ne s’invente pas) étaient illégalement distribués. Du coup, les livres électroniques Kindle des clients ayant acheté ces fichiers ont vu leur bibliothèque virtuelle concernant certains ouvrages d’Orwell se volatiliser. La faute à l’autorisation accordée par un « ayant droit » qui en avait moins que prévu – des droits, bien entendu. Cela montre à quel point l’achat de musique ou d’ouvrages en ligne est une pratique risquée. Non pas en raison d’une erreur humaine, toujours possible et excusable, mais parce que les infrastructures de vente en ligne imposent une mainmise technologique sur le patrimoine intellectuel et artistique acheté par les particuliers. Sans bien entendu que ledit particulier puisse faire quoi que ce soit. Cette possibilité d’autodafé par simple pression d’un bouton emplit de crainte tout amoureux de la liberté de pensée et d’éducation, et fera probablement rêver tout dictateur en quête de « pensée unique ». L’arrivée du numérique dans le domaine de la reproduction des œuvres a apporté son cortège d’abus de pouvoir, allant de la possibilité de déclencher à distance un virus destructeur (affaire du mouchard Sony Music) à l’effacement pur et simple des archives privées (cas Kindle) en passant par des manœuvres frisant l’abus de position dominante tels des DRM installés sur des ouvrages appartenant au domaine public.

Cette histoire rappelle une autre forme de censure, pratiquée celle-là par Apple en mai dernier. Ce vendeur d’ordinateurs et autres gadgets audio a montré très clairement, en supprimant de son catalogue un « reader » d’œuvres appartenant exclusivement au répertoire classique, que l’éducation peut être mère de tous les vices. Depuis, la pression populaire a fait revenir ce lecteur d’ebook au catalogue. Mais deux actes de censure en moins de 3 mois, tous pratiqués par les plus grands diffuseurs de médias de la planète IP – et probablement de la planète entière pour ce qui concerne Amazon -, ce n’est ni un hasard, ni une regrettable erreur, ni l’acte stupide d’un lampiste, pourrait-ce être un test de réactions et de faisabilité ? Les débuts de l’ère du Cloud Computing sont prometteurs…

4) Bilan juillet ter : l’iPhone connaît la gloire…et le hacking 

C’est la fête à l’iPhone qui, à l’instar de toute plateforme devenue populaire, devient immanquablement la coqueluche de tous les hackers, les blancs comme les noirs. La Black Hat de Vegas fut l’occasion de voir publié un exploit visant la gestion des SMS sur la plateforme Apple. Cette découverte est signée Mulliner et Charlie Miller, authentifiée et corrigée depuis par Cupertino.

Les SMS iPhone sont branlants, mais ce n’est pas pire que la couche de chiffrement, renchérit Jonathan Zdziarski. Interviewé par nos confrères de Wired. Ce chercheur explique que si le 3GS est « largement adopté dans le secteur de l’industrie », ce n’est pas nécessairement pour ses qualités en matière de sécurité. Ses outils de protection des données contenues se contournent en quelques minutes à peine. Apple commence à peine à comprendre ce que Dan Geer entendait par « dangers sécuritaires et monoculture ».

Et c’est ensuite au tour de David Maynor d’en rajouter, avec un long exposé sur les différentes techniques de hacking envisageables sur iPhone, le tout axé sur les recherches de Miller et de Mulliner.

Par pur désir d’impartialité, signalons également cette forme d’escroquerie ne touche pas exclusivement les terminaux Apple. F-Secure nous apprend qu’il commence à se répandre une forme de détournement de facturation fort semblable aux escroqueries « au numéro surtaxé ». Un classique dans le monde de la téléphonie cellulaire « old school ». L’abonné est attiré vers un site en particulier – technique de phishing -, lequel site exploite indûment les mécanismes de facturation propre aux échanges WAP. Les chasseurs de virus Finlandais ne précisent pas dans quel pays ce genre de détournement a été constaté. Chez d’autres, ces rumeurs de catastrophes en séries et à grande échelle sont des sujets d’inspiration. Ainsi chez Etisalat, opérateur des Emirats, qui a aimablement offert un spyware à l’ensemble des 100 000 abonnés de son réseau Blackberry. Ledit spyware était camouflé sous la forme d’un « patch d’amélioration de performances ». Les améliorations en questions étaient plutôt en faveur de l’opérateur car, outre une surconsommation de la batterie du portable, le logiciel espion était « potentiellement capable de lire l’intégralité des emails et des SMS contenus dans le terminal » nous apprend itp.net. Ce qui prouve une fois de plus que les assurances avancées par un opérateur concernant sa « sécurité réseau » n’ont aucune signification lorsque l’attaque vise directement le « endpoint ».

5) Bilan juillet FIN : souvenirs d’été à Vegas (vidéo et p0wn à tous les étages) 

L’événement de juillet, c’était, comme chaque année, la BlackHat (BH) et son poisson-pilote, la DefCon. Les transparents, enregistrements audio et vidéo de la BH sont disponibles en téléchargement sur le site de la BH. Les archives de la 17ème DefCon sont également récupérables sous forme d’image de CD. Les organisateurs précisent que le contenu de ce disque peut provoquer le déclenchement d’un faux-positif, TR/Crypt.ZPACK.Gen, dans le fichier Extras/bin/crackmes/manifest.exe. Le fichier est garanti sain… et ne semble pas encore avoir détruit les ressources des machines de CNIS-Mag. Les transparents de l’équipe d’InvisibleThings sur les « rootkits matériels » sont diffusés sur le blog de Joanna Rutkowska. Le code de mise en évidence n’est pas encore disponible.

S’il ne fallait retenir qu’une seule conférence de tout ce qui a pu se raconter durant ces deux semaines de hacking intensif, ce serait celle de Moxie Malinspike. Moxie est déjà connu pour avoir donné SSLstripe au monde de la sécurité. Un utilitaire capable de détourner et de réécrire une session SSL. Cette fois, c’est un peu plus sérieux. Le chercheur a découvert que l’autorité de certification, lors de la vérification d’un certificat, ne contrôle pas la validité d’un éventuel sous-domaine. Or, nous apprend Moxie, il est possible de séparer par un caractère « null » le nom de deux autorités différentes, l’une « officielle », l’autre réelle. Du genre www. CreditLyonnais. fr[espace]parissilamonai. com. La chaine « Credit Lyonnais » – véritable identité affichée - sera prise pour un sous-domaine par les machines du CA, et seul sera accepté et émis le certificat de parissilamonai.com. Las, le phénomène inverse arrive lorsque le navigateur du client doit interpréter cette dénomination hors norme. Dans bien des cas, le caractère « null » est interprété comme une fin d’adresse, et, aux yeux de l’internaute, c’est un certificat estampillé www. CreditLyonnais. fr qui s’affichera.

On ne pouvait imaginer une BH sans son inévitable attaque SSL. Plus de détails techniques et le source de sslsniff sur le site de l’auteur.

Comme pour enfoncer le clou, Infoworld, qui prépare le prochain Usenix Security Symposium, nous offre un petit avant-goût de ce que nous offriront les chercheurs de Carnegie Mellon : une étude sur le niveau d’attention porté à ces fameux certificats SSL. Il apparaît que ces certificats sont ignorés dans 55 à… 100 % des cas. (L’on parle là de sessions provoquant une alerte, et non d’une ouverture de page https « silencieuse »). Usenix, qui se déroulera du 10 au 14 août 2009, sera notamment l’occasion pour Google de parler un peu de l’avenir de Chrome – au cours d’un keynote très attendu de Rich Canning - et à Microsoft de présenter son nouveau projet de navigateur/système d’exploitation à micronoyau Gazelle (fruit des cogitations du département chargé du développement de MashupOS)