novembre 6th, 2009

Une session SSL dont l’en-tête serait truffée de caractères ascii offrirait diverses possibilité d’attaque « man in the middle », et notamment à l’encontre de l’authentification des certificats https clients sur des serveurs web IIS et Apache. Une affirmation argumentée au fil d’un document de 8 pages publié par Marsh Ray et Steve Dispensa, de Phone Factor. Dire que c’est là une « fin du monde » de l’authentification ou un « gouffre SSL » serait un peu prématuré. La faille de conception semble complexe à exploiter et ne peut être appliquée sans le recours à d’autres vulnérabilités pouvant faciliter l’injection (tel un routeur compromis). Ajoutons que cette faille ne semble pas compromettre le chiffrement de la cession. Mais une atteinte à SSL signifie un danger potentiel pour toutes les communications utilisant ce mécanisme de protection. A commencer par les transactions sur les sites de banques en ligne, les accès OWA, les échanges de fichiers sécurisés pour ne citer que les plus évidents. Il est donc nécessaire que tous les éditeurs utilisant SSL corrigent leurs intégrations du protocole, opération complexe et généralement longue. Il y a déjà eu de nombreux « bugs de conception » qui ont frappé la sphère Internet –Bind notamment- qui ont parfois mis plus d’une année pour se faire corriger par l’ensemble des éditeurs-intégrateurs. Une période généralement assez longue pour que, d’un papier d’universitaire évoquant une faille ésotérique et complexe, l’on passe à « une faille simple à exploiter à l’aide d’un « kit malware » vendu dans toute bonne boutique des pays de l’Est ».

L’équipe de Sophos s’est amusé à prendre les discours marketing de Microsoft au pied de la lettre, et a souhaité vérifier si les UAC de Windows 7 étaient aussi efficaces qu’on voulait bien le dire du côté de Redmond. Le résultat n’est pas brillant, et montre que 8 infections sur 10 sont efficaces contre ce nouveau système, même lorsque les fameux « user access control » sont activés. Test effectué bien sûr sans la moindre protection antiviral installée.

De tels tests n’ont bien entendu que très peu de signification et d’objectivité, surtout lorsqu’ils sont menés par des personnes travaillant précisément pour le compte d’un éditeur d’A.V. Des éditeurs qui digèrent généralement assez mal la mise à disposition gratuite du Microsoft Security Essentials. Il n’en demeure pas moins que ce coup d’éclat contient un message de prudence visant à atténuer les propos parfois un peu trop triomphants de Microsoft relatifs à la sécurité de Windows 7.

Réaction de Bernard Ourghanlian, CSO et CTO Microsoft France
Je voulais juste réagir à propos de votre article sur la sécurité de Windows 7 et du test effectué Sophos. Ce test se fonde sur une argumentation portant sur l’utilisation d’UAC et sur le fait qu’UAC n’empêche pas certains malwares de s’exécuter. Ceci n’a strictement rien d’étonnant et constitue donc un non-événement. En effet, contrairement à ce que semble impliquer l’analyse de Sophos, UAC n’est en aucune façon une frontière de sécurité ; l’objectif d’UAC est simplement de permettre l’utilisation de Windows sans privilège. Ceci était, en effet, très difficile à réaliser avec Windows XP et donc avant Windows Vista et l’introduction d’UAC.

Ceci a été expliqué, il y a déjà plus de deux ans, de manière très approfondie par Mark Russinovich dans la conclusion de son post disponible en : http://technet.microsoft.com/en-us/magazine/2009.07.uac.aspx :

To summarize, UAC is a set of technologies that has one overall goal: to make it possible for users to run as standard users. The combination of changes to Windows that enable standard users to perform more operations that previously required administrative rights, file and registry virtualization, and prompts all work together to realize this goal. The bottom line is that the default Windows 7 UAC mode makes a PA user’s experience smoother by reducing prompts, allows them to control what legitimate software can modify their system, and still accomplishes UAC’s goals of enabling more software to run without administrative rights and continuing to shift the software ecosystem to write software that works with standard user rights.

Ceci a été explicité également dans un autre post de Marc disponible en http://blogs.technet.com/markrussinovich/archive/2007/02/12/638372.aspx :

It should be clear then, that neither UAC elevations nor Protected Mode IE define new Windows security boundaries. Microsoft has been communicating this but I want to make sure that the point is clearly heard. Further, as Jim Allchin pointed out in his blog post Security Features vs Convenience, Vista makes tradeoffs between security and convenience, and both UAC and Protected Mode IE have design choices that required paths to be opened in the IL wall for application compatibility and ease of use.
Because elevations and ILs don’t define a security boundary, potential avenues of attack , regardless of ease or scope, are not security bugs. So if you aren’t guaranteed that your elevated processes aren’t susceptible to compromise by those running at a lower IL, why did Windows Vista go to the trouble of introducing elevations and ILs? To get us to a world where everyone runs as standard user by default and all software is written with that assumption.

Autrement dit, la « découverte » de Sophos n’en est pas vraiment une.