mars 4th, 2010

Amusante découverte, que celle que Jerry Bryant nous dévoile sur le blog du MSRC : un double problème affectant Internet Explorer et win32hlp (fichiers d’aide) permettrait à un attaquant, via une page Web forgée, de compromettre la machine d’un internaute de passage en le convainquant d’appuyer sur la touche F1 de sa machine. Un fichier .hlp est une sorte d’exécutable capable de lancer des actions automatiques. Le reste du communiqué laisse également entendre que cette attaque doit être prise très au sérieux, car de « dangereux irresponsables » n’auraient pas respecté les règles de divulgation souhaitées par Microsoft. Il ne faut pas chercher très loin pour découvrir qu’en effet, cette faille et son exploitation ont été signalées par Maurycy Prodeus sur le site Polonais Isec. L’explication théorique et la preuve de faisabilité montrent à quel point le principe de fonctionnement de cette attaque est simple et efficace. A noter que les machines 64 bits ne sont pas affectées par ce PoC très précis, et qu’aucune exploitation « dans la nature » n’a encore été relevée… pour l’instant.
Un bulletin d’alerte a été, depuis, émis sur les canaux Technet. Deux méthodes de contournement sont proposées, l’une d’entre elles recommandant de… ne pas utiliser la touche F1 et de n’appeler l’aide sous aucun prétexte lors d’une navigation sur Internet. La seconde est plus réaliste, et consiste à modifier les ACL à l’aide de l’ordre

echo Y | cacls "%windir%\winhlp32.exe" /E /P everyone:N

Las, cette fois, c’est la totalité de l’aide qui est supprimée. En attendant l’arrivée d’un véritable exploit, il est peut-être plus sage d’attendre et de voir venir.

« Guide forensique à l’attention des forces de l’ordre » titre Public Intelligence. Ce sont là cinq documents prétendument à diffusion restreinte, qui expliquent dans les grandes lignes les particularités techniques de Windows 7 et de Vista susceptibles de poser quelques problèmes aux enquêteurs TIC et NTech de tous pays. Les habitués du Ressource Kit n’y apprendront probablement que très peu de choses, mais les formateurs en sécurité y puiseront bien des astuces. Ces quelques fichiers Powerpoint synthétisent de manière très claire ce qu’est Bitlocker, les « volume shadow copy services », les points clefs de la virtualisation (et notamment tout ce que l’on doit savoir sur la lecture des disques virtuels VH) ainsi que les ajouts effectués autour de NTFS (notamment TxF, le nouveau secteur de boot et partition réservée à Bitlocker, WinFS et ses attributs…). A récupérer avant qu’une demande de censure ne soit émise par un avocat un peu trop zélé.

C’est pour la bonne cause ! clame Stephan Esser qui relance un « month of PHP bug » rebaptisé pour les besoins du politiquement correct « month of PHP security ». Le principe est inchangé : toute personne en possession d’un bel exploit PHP est prié de communiquer le fruit de ses recherches au comité de patronage. Les résultats seront publiés dans le courant du mois de mai. Pour encourager les vocations de hacker, des prix seront attribués aux 16 meilleurs inventeurs. Le premier prix est récompensé par un chèque de 1000 dollars, un ticket d’entrée à la prochaine Syscan et une licence de CodeScan offerte.