octobre 19th, 2009

SMBv2 est indiscutablement exploitable confirme un billet de Kostya et une nouvelle entrée au tableau Canvas. Les compilateurs doivent tourner à plein régime, du côté de Redmond.

Attaquer un backbone, couvrir le monde de « hackerspaces », pratiquer le « social engineering » en pré-pentesting : toutes les vidéos de la dernière Brucon sont disponibles sur le miroir de la manifestation Bruxelloise

Une nouvelle version de Cain & Abel (4.9.32) outil d’audit et de récupération de mots de passe, est en téléchargement sur le site Oxid.it.

Cisco, 11 trous, dont une faille NTP enfantine à mettre en évidence. L’équipementier publie la liste détaillée des mises à jour nécessaires.

Idaho, Kentucky, New Jersey: c’est le podium des Etats les plus “spammés” des USA, nous apprend une étude de Message Labs/Symantec. Le taux de spam journalier mondial dépasserait les 151 milliards d’email/jour, et les botnets d’émission pèseraient entre 4 et 6 millions de machines compromises.

La semaine passée s’est achevée avec un petit exercice de calcul mental : 33 plus 29 égal… voyons neufétrois-douzej’posedeuxéj’retienzun… 62 vulnérabilités si l’on additionne les failles du dernier patch Tuesday de Microsoft -13 bouchons, 33 trous, un reboot obligatoire- et celles d’Adobe, qui manque de peu le record des 30 trous mensuels dans Acrobat. Rappelons que si Microsoft demeure le leader incontesté en nombre de bugs déclarés, Adobe conserve actuellement une bonne longueur d’avance dans la course aux trous réellement exploités. Une chose est certaine, il est urgent de déployer les mises à jour proposées par l’éditeur.

Record également dans la criticité des défauts ainsi corrigés, puisque 8 bulletins Microsoft portant l’immatriculation MS09-xx sont qualifiés de critique, dont notamment le très célèbre gouffre SMB v2 qui a déjà fait l’objet de nombreux commentaires de la part de Kostya, sans oublier l’impressionnante analyse publiée par l’équipe de SecureWorks (ex Luhrq). Egalement bouché, le « trou IIS/ftp » qui a fait l’objet d’une publication d’exploit sur Milw0rm notamment. C’est la première fois depuis plus de deux ans que Microsoft fait patienter ses clients un mois complet avant d’émettre deux correctifs corrigeant des défauts rendus public et accompagnés d’exploits

Ce mois-ci, l’équipe du MSRC nous offre en prime un tableau très coloré, particulièrement dans les tons chauds, de l’index d’exploitation des failles colmatées. Çà a un petit côté Mondrian absolument adorable… il manque quelques touches de blanc et de vert pour que ce soit parfait. Mais une alerte « verte », çà n’existe pas.

Depuis bientôt 3 semaines, les administrés des serveurs Microsoft Exchange sont systématiquement bombardés de « notes de service » bidon semblant émaner de leur DSI. Voici l’un d’entre eux, pris au hasard du spam

« Attention!

This procedure is quite simple. All you have to do is just to click the link provided, to save the patch file and then to run it from your computer location. That’s all. »

Poulet bien entendu suivi d’une URL empoisonnée semblant émaner précisément de l’un des responsables informatiques.
Après une première vague, que l’on espère rapidement muselée par nos chers « postmasters », une seconde déferlante s’est écrasées sur les plages smtp
« Subject: Microsoft Outlook Notification for the administrator@messagerie.fr

– Download attached setup file and install. »

Est-il nécessaire de préciser que la famille Borgia elle-même, ne saurait distiller un poison aussi radical que celui injecté dans ladite pièce attachée ?

Comme le faisait remarquer Pierre Caron du Cert-Lexsi les liens d’infection ou les pièces attachées étaient truffées avec de véritables morceaux de Zeus dans le cas des attaques à « pièces attachées », et sur une page de phishing ressemblant à un écran de logon OWA (Outlook Web Access) dans le premier cas.

L’attaque en question semble relativement ciblée. Elle vise effectivement des usagers Exchange, et, dans au moins 5 cas relevés par la rédaction de Cnis Mag, le nom de l’administrateur légitime figurait soit dans le lien, soit dans le corps du texte de phishing. On est donc loin d’une campagne de ratissage « tous azimuts », et ce sont clairement des « institutionnels » qui sont cette fois visés. Cette campagne de récupération de crédences semble trop bien orchestrée pour que l’on redoute une vague d’usurpation d’identités et de vol de documents dans les mois ou les semaines à venir. Serait-il temps de changer de mot de passe ?

… mais il n’y a pas que les usagers professionnels des messageries qui sont visés. Le secteur grand public microsoftien fait également l’objet d’une attention soutenue de la part des pirates du login/password. Cela commence avec une annonce, celle de la découverte du vol de plus de 10 000 sésames MSN dont le nom commence par les lettres A et B. Un « scoop » déjà ancien, signé Sophos.

Par quel moyen ce genre de fichier a-t-il pu tomber entre des mains inamicales ? Très probablement par le truchement d’opération de phishing. L’une des filières les plus actives du moment prend l’aspect d’une application Web baptisée « Pics for MSN Friends 1.1c », hostée généralement chez des hébergeurs Chinois, avec des noms de domaine gérés par des registrars Chinois, et « poussés » par des vagues de phishing véhiculées via MSN même. Une vague qui succède à une autre campagne qui vantait les mérites de différents services prétendant indiquer « qui vous a banni de sa liste d’amis Messenger ». Un drame d’ado pour une poignée de crédences.

Il s’en est naturellement suivi une avalanche de communiqués, articles et notes de blogs expliquant combien les gens sont méchants, combien le vol d’identité est une mode ravageuse, combien il est urgent de légiférer sur le sujet.

Un détail cependant semble avoir échappé à tous ces témoins, détail qui nous fait dire « on l’a échappé belle ». Petit retour historique sur les crédences MSN.

C’est au début des années 90 que que Redmond –alias « Corp », alias Microsoft- décide de se lancer dans le business de l’identité numérique. Par hasard ? Que nenni, par désir d’occuper une place convoitée par le ban et l’arrière ban de l’industrie. Chez Novell par exemple, çà s’appelle DigitalMe, chez les équipementiers qui ont loupé magistralement le marché de l’annuaire d’entreprise, du service Web et des services télécom, çà prend le nom de Liberty Alliance. Du côté de Microsoft, le projet prend pour nom Passport, produit reposant sur un monumental annuaire inspiré d’X500, et essentiellement destiné aux grandes organisations, instances gouvernementales, structures internationales. Pas question, en ce temps là, d’en faire un mécanisme de reconnaissance pour gamins en mal de kikooo-lol-mdr.

En d’autres termes, le Passport des années 90, c’est la carte d’identité numérique que Microsoft tente de vendre avant tout à l’Administration Clinton, à Matignon et –au passage- à France Telecom. Lesquels, comme un seul homme, déclinent l’invitation sous prétexte de coûts pharaoniques. Le prix des licences MS ? Non, car sur de tels marché, on ne vend pas, Monsieur, on offre. On offre parce que la mise en œuvre d’une infrastructure de gestion d’identité nationale ressemble au picon-citron-curaçao du César de Pagnol : Un petit tiers de logiciel, un tiers d’architecture matérielle/réseau, un très gros tiers de services et un bon tiers de dépenses dérivées imprévues. Les prémices d’un bigbrotherisme transnational des identités reculaient donc devant de vulgaires conditions économiques.

Pourtant, les discours de MM Gates et Balmer ne laissaient place à aucun doute: le système était inviolable, le mécanisme fiable, la protection absolue. Devant le refus dédaigneux des grands clients, Microsoft abandonne le projet et utilise cette danseuse technologique pour sécuriser ses propres services. Et pour commencer sa messagerie instantanée Messenger (à l’origine de MSN) ainsi que l’accès aux abonnements aux divers services tels que le Technet, le Microsoft Developers Network, sa messagerie Hotmail… et peut-être ses futurs services « cloud » ?

En d’autres termes, dans le lot des adresses ainsi collectées, il se trouve statistiquement quelques milliers mots de passe ouvrant la voie à des licences Windows 7, Office, serveurs d’applications et 2008 R2 « officielles »… Tout çà va faire des heureux au marché noir. Et l’affaire aurait pu avoir des conséquences bien plus désastreuses si Passport avait été autrefois adopté pour servir de base à une hypothétique carte d’identité numérique nationale. On l’a échappé belle.

Rétrospectivement,cette fuite d’information est, sur l’échelle de Richter des sinistres informatiques, aussi déflagrante qu’un essai nucléaire comparé au pétard à mèche d’une faille SMBv2 ou d’un trou ftp/IIS. Fort heureusement, seuls quelques milliers de clients Microsoft et une armée de « chateurs » en ont fait les frais, grâces en soient rendues à la clairvoyance des hommes politiques d’antan. De grands commis de l’Etat qui, bien que ne comprenant rien aux annuaires, n’ayant probablement jamais entendu parler de phishing ou de « social engineering », ont su ne pas tomber dans un tel piège. Les raisons et motivations –purement économiques, répétons le- étaient mauvaises, mais le résultat fut le même. Il reste à espérer qu’en cette période de sensibilisation à la sécurité des systèmes Scada –une base d’identité nationale n’est-elle pas apparentée à un système Scada ?- , les politiques d’aujourd’hui sauront agir avec autant de prudence, malgré l’amour immodéré que ceux-ci semblent vouer au fichage systématique et à l’informatisation du moindre bouton de guêtre.

Joanna Rutkowska nous offre un nouvel épisode de sa grande saga mettant en scène la femme de chambre diabolique, dans un chapitre intitulé « la chambrière s’attaque à TrueCrypt »..

Cette fois,le « road warrior prudent, éteint son ordinateur chaque fois qu’il quitte sa chambre d’hôtel, car il a bien sûr lu les paralipomènes d’Yvan le F0u et les pepisefogas de Matthieu Suiche (dont le tout dernier Windd vient de sortir). Cette fois également, la totalité de son disque est chiffré à l’aide de l’excellent logiciel OpenSource et néanmoins gratuit TrueCrypt. C’est alors que la Chambrière Maléfique, profitant de l’absence de l’intéressé, se glisse dans la chambre, et boote le portable laissé par la victime à l’aide d’une clef usb. Deux minutes plus tard, le disque est infecté par le rooktkit maléfique de la femme de chambre maléfique. Laquelle n’oublie pas de bien éteindre le portable une fois le méfait perpétré et de n’y laisser traîner aucune clef usb suspecte.

A peine rentré de sa promenade matutinale, le Road Warrior démarre sa machine, tape son mot de passe, ce qui a pour effet soit de le stocker dans un emplacement secret, soit de le transmettre discrètement via Ethernet ou Wifi. A sa prochaine visite, la Chambrière Démoniaque n’aura plus qu’à voler l’ordinateur portable puisqu’elle en possèdera la clef.

La suite de l’histoire ainsi que le fichier image de la clef usb autobootable sont à consulter sur le blog d’Invisible Things. A lire dans le détail, car les principales objections sont balayées par la redoutable hackeuse Polonaise : ce rootkit-là pourrait bien faire du bruit.

A noter toujours au sujet des indices de dangerosité une très amusante causerie animée par Mr Bryan Lu, de Fortinet, lors de la dernière VB Conference de Genève. La présentation avait pour titre « I’m not a numero ! Assessing globa security threat levels ». Le propos de Lu est simple : il existe, sur le Web, plus d’une vingtaine d’indicateurs de risque informatique, ces « threat level » émis par les éditeurs de firewalls, d’antivirus, de logiciels et équipements divers. Que mesurent-ils et sont-ils exploitables ? Pris indépendamment, ils sont aussi utiles qu’une paire de chaussettes à un lombric. Certains reflètent un accroissement des attaques par rapport à un même mois de référence situé un an plus tôt, d’autres effectuent une moyenne lissée sur les trois derniers mois, d’autres encore ne prennent en compte que le nombre de faille publiées, d’autres enfin comptabilisent les exploits publiés (qui ne sont pas, faut-il insister sur ce point, les plus utilisés « dans la nature »). « L’an passé, à la même époque, le monde entier sabrait le champagne à l’annonce de la fermeture de McColo. Sachant cela, que peut donc bien signifier aujourd’hui, par rapport à l’an passé, un « indice du niveau du spam » ? Une telle donnée brute dégagée de son contexte ne peut que fournir un indice de dangerosité élevé et non significatif, en d’autres termes, du « fud » », explique le chercheur.

Pourtant, de ces taxinomies fantaisistes et de ces statistiques insignifiantes, Bryan Lu parvient tout de même à en tirer des métriques réellement exploitables. En les accumulant toutes, en tenant compte de la manière dont chaque « index d’alerte » est calculé, et en en extrapolant une moyenne non biaisée. Une fois cette prise en compte achevée, il « suffit » à l’administrateur d’auditer son propre parc de la manière suivante :

– Compter le nombre d’usagers frappés par une vulnérabilité répertoriée

– Compter le nombre d’occurrences desdites vulnérabilités par usager et en extraire une première cote d’alerte

– Extraire les vulnérabilités actives en fonction de certains critères tels que leur ancienneté et leur aspect plausible (élimination des faux positifs)

– Déterminer la sévérité de la vulnérabilité et lui attribuer une pondération

– Comparer la valeur globale dérivée des valeurs pondérées

Ouf. S’ajoute à ce savant calcul une estimation de la fréquence générale desdites vulnérabilités détectées, de laquelle dépendra le « niveau » réel de l’alerte. Les plus curieux pourront se reporter sur la série de transparents préparés par l’orateur.

L’on comprend un peu mieux la raison pour laquelle certains grands comptes mettent autant de temps avant que de déployer certains correctifs. Une bonne modélisation mathématique, ça nécessite de longues heures, des jours, des semaines de calcul.