juillet 13th, 2011

Nettement moins « glamour » que le bug Bluetooth, l’« Update Rollup 4 for Exchange Server 2007 SP3 » corrige 20 trous de sécurité. Ces mises à jour typiquement serveur passent généralement inaperçues car elles sont surveillées de très près par les administrateurs, avec d’autant plus d’attention que les serveurs de messagerie sont d’une importance stratégique pour la majorité des entreprises utilisatrices. Mais ce qui distingue ce « patch » des autres, c’est l’ancienneté du logiciel qu’il corrige : Exchange 2007… en 2011, il fait figure d’ancêtre, surtout depuis qu’Exchange 2010 a pris la relève. Mais contrairement au monde mouvant des noyaux grand public, la course à l’inflation fonctionnelle et technologique n’est jamais aussi rapide dans le monde professionnel. Les grands comptes étaient déjà entrés en guerre contre Microsoft à ce sujet après une première décision visant la clôture du support de ce déjà « trop vieux » serveur… et les grands comptes ont fini par avoir gain de cause. La vie d’Exchange Server 2007 a été prolongée. La publication dudit « update rollup » s’accompagne même d’une note de bas de page précisant que le prochain rollup (numéro 5) devrait être rendu public courant août.

Le « patch Tuesday » Microsoft le plus dense jamais publié vient de sortir. Comme annoncé, 22 failles dans 4 rustines dont une purement applicative (une faille dans Visio) , et deux autres menaçant le noyau Windows ( 11-056 et 11-054), toutes deux qualifiées d’importantes. Mais celle qui décroche la première place (avec le titre enviable de « faille critique ») porte l’immatriculation MS11-053 et concerne un défaut de la pile Bluetooth dans Vista et Seven. Pourquoi ces deux systèmes uniquement ? Parce que le stack Bluetooth a été réécrit après la génération des systèmes XP. Pourquoi critique ? Car il permettrait d’injecter un code exécutable à distance… pour peu que l’on soit dans l’immédiate proximité de la victime (entre quelques mètres et environ 1 ou 2 kms à « vue directe »). Mais, comme l’explique un membre du MSRC sur son blog, les possibilités d’exploitation demeurent assez faibles (même si l’on peut émettre quelques doutes quant à l’estimation chiffrée d’un équipement capable de sniffer le trafic radio). Par défaut, le mode « découverte » est occulté sous Vista et Seven. Mais il ne faut pas perdre de vue que bon nombre d’usagers préfèrent se faciliter la vie et supprimer cette fonction de sécurité afin de faciliter l’appairage des périphériques Bluetooth. En outre, le « bruteforcing » d’un code PIN Bluetooth est toujours un exercice d’une difficulté extrême pour les enfants de moins de 12 ans. Enfin, si le stack de Windows est sécurisé grâce à ce correctif, ce n’est pas nécessairement le cas de l’intégration de Bluetooth dans le périphérique connecté.

Encore un coup d’éclat de la campagne AntiSec, désormais pilotée par les Anonymous : un lot de fichiers, dont près de 90 000 emails émis par des militaires US, ont été offerts en téléchargement sur Pirate Bay. La fuite a pour origine les serveurs de Booz Allen Hamilton (BAH), un sous-traitant civil travaillant pour le Ministère Américain de la Défense. La semaine passée, un autre sous-traitant travaillant pour le compte du FGI, IRC Federal, avait fait les frais d’une opération analogue

La presse d’Outre Atlantique reprend dans les grandes lignes le contenu du message des Anonymous publié sur Pirate Bay. Et notamment le mobile du crime : BAH aurait été piraté sous prétexte qu’il collaborerait à un projet visant à infiltrer et espionner les réseaux d’hacktivistes. Cette « atteinte à la vie privée et à l’anonymat » des participants aurait dicté cette contre-offensive.

Une phraséologie idéologique qui cache cependant certains aspects techniques de l’opération. Si l’attaque semble le fruit d’une injection SQL, l’origine de la cible est en revanche laissée secrète. Tout comme le volume réel des documents compromis, BAH n’ayant pas publié d’inventaire ni communiqué ouvertement sur le sujet à l’heure où nous rédigeons ces lignes. Si l’on en croit toujours le mémo de présentation des fichiers à télécharger, le niveau de protection des courriels en question aurait été relativement faible… un simple MD5 sans « salage », alors que les services de sécurité US insistent pour que chaque organisme gouvernemental et chaque contractant utilisent SHA1, puis SHA2. Enfin, un dernier facteur aurait grandement facilité le travail des AntiSec : l’usage fait par les administrateurs de mots de passe communs pour accéder à plusieurs systèmes ou types de ressources. Là encore, une mauvaise pratique difficilement excusable venant d’un contractant dans le domaine de la défense.

Avec un brin d’humour morbide, le clan AntiSec adresse aux responsables de BAH une facture de 310 dollars représentant le montant d’une prestation de service « audit de sécurité ». Gageons que les montants de facturation de BAH sont généralement légèrement plus élevés.

Bref, le billet de Fortinet. Bref, mais éloquent : Zitmo (Zeus In The Mobile), après avoir frappé les smartphones sous Symbian, Blackberry et Windows Mobile, s’attaque à la base Android.

Zeus est la preuve (s’il en fallait une) qu’il est vain de donner une absolue confiance aux systèmes d’authentification à deux facteurs. Ce malware est spécialisé dans l’interception de « codes confidentiels de confirmation » émis par les banques sous forme de SMS. Il agit de manière assez simple. Dans un premier temps, une attaque en ingénierie sociale convainc l’usager de télécharger une appliquette de « sécurité » sur son téléphone. Cette attaque est généralement initiée lors de la visite d’un site web compromis. La phase suivante consiste à infecter l’ordinateur de l’usager pour qu’il serve de proxy. Le malware situé sur le pc pourra ainsi émettre des ordres de virement, lesquels provoqueront l’envoi d’un SMS de « double authentification » qui sera détourné par le malware situé sur le téléphone… pour être transmis au pirate supervisant Zitmo. Lequel peut alors prendre la main sur le transfert, expédier le « bon » code d’activation et récupérer le montant du virement, sur un compte situé quelque part entre la Bosnie-Herzégovine, le bas-Berry et le Kamchatka inférieur.

Ce portage de code prouve à la fois la bonne santé du marché Android (les auteurs de virus ne travaillent que sur des systèmes qui en valent la peine) et la difficulté qu’ont les banques à réagir rapidement lorsque leurs systèmes « inviolables » ont été compromis. L’usage des claviers virtuels à position aléatoire (une autre technique à « double facteur ») a commencé à se généraliser plus de 2 ans après que de nombreuses publications et recherches aient prouvé la fragilité de cette méthode. Les techniques de « call back » par SMS avaient déjà été compromises de très nombreuses fois, notamment il y a plus de 10 ans sur le réseau SFR lorsqu’un procédé analogue avait été mis en place pour authentifier l’accès au réseau WiFi de l’opérateur (accès aux contenus sms via Bluetooth, refus de la part de SFR de considérer la chose comme une « faille de sécurité directement liée à son réseau »).

Protecting moving targets : une étude de 16 pages sur la protection, la gestion des vulnérabilités et le déploiement de correctifs édité par Secunia (éditeur de logiciels d’inventaire de failles).

Encore une faille Bind ouvrant la voie à un déni de service, signalée par l’ISC. L’indice de gravité est de 7,8, niveau relativement élevé dénotant une exploitation distante envisageable.