août, 2015

« Une vuln de fonte unique pour les commander tous », de Mateusz Jurczyk (j00ru pour les intimes) pour le Google Project Zero, se penche sur l’exploitation des défauts des fontes de caractères. Premier épisode , second volet , troisième acte , et les transparents de ReCon .

Tous les systèmes de communication distribués font, un jour ou l’autre, l’objet d’études visant à transformer leurs « correspondants » en un formidable botnet ou leur système d’échange en un énorme canon à déni de service distribué. Déjà, par le passé, certains spywares (Gator par exemple, ou les DRM de Sony Music) ont révélé des failles offrant un tel potentiel. En attendant qu’un chercheur trouve un défaut dans le système de mise à jour d’un antivirus ou d’un système d’exploitation connu, quatre chercheurs universitaires Britanniques et Allemands sont parvenus à modéliser une attaque par amplification en utilisant les clients d’un réseau d’échange Peer to Peer conçu à partir du protocole ouvert Bittorrent. Les logiciels uTorrent, Mainline, Vuze sont vulnérables à ce genre d’attaque.

En substituant son adresse IP à celle de la cible à attaquer, un faux client P2P transforme alors tous les systèmes de retransmission accessibles du réseau P2P en attaquants. Des attaquants qui, du fait d’un manque de vérification de validité de l’adresse IP et d’une absence de contrôle des accusés de réception de paquets (ACK), parviennent à submerger la cible sous un déluge de paquets jusqu’à 54 fois plus important que le volume initial émis par l’attaquant. En jargon de téléchargeurs, l’attaquant fait passer sa cible pour un Leecher et incite tous les Seeders d’un Swarm à bombarder la cible de paquets*.
L’attaquant est indétectable puisque son adresse IP ne peut apparaître dans les trames de dénis de service. Masqué par les « serveurs intermédiaires », il peut également viser plusieurs cibles différentes sans qu’il n’ait besoin d’une liaison Internet à large bande passante. Ce genre d’assaut est appelé DRDos, pour Distributed Reflective Denial-of-Service (et non pas en hommage au noyau de Digital Research).
Les attaques en Ddos se professionnalisent de plus en plus depuis ces 2 dernières années, et font partie des techniques de racket les plus utilisées à l’encontre des grandes entreprises utilisant Internet. Elles peuvent également cacher, par « foisonnement », d’autres actes agressifs tels que des tentatives d’intrusion qu’il devient alors très difficile de détecter dans des logs parfois saturés.

*NdlC Note de la Correctrice : j’ai bien tenté de passer la phrase sur Google Translate, mais il n’y a pas d’option L33tsp34k.

La dernière fournée en date des « fichiers Snowden » confirme la longue collaboration de l’opérateur AT&T avec les services de renseignement US, et fournit une idée plus précise de l’ampleur de cette « machine à surveiller » intérieure qu’on construit, année après année, les deux entités. L’article conjoint de Propublica et du New York Times reviennent sur ces amitiés particulières qui remontent à 1985.

Lorsqu’ont été publiés les premiers fichiers Snowden, l’opérateur avait immédiatement réagit en précisant que seules les lignes terrestres faisaient l’objet d’une telle surveillance. Il semble qu’il n’en soit rien, puisque dès 2011, AT&T fournissait déjà à la NSA jusqu’à 1,1 million d’enregistrements de communications entre téléphones cellulaires par jour, sous le couvert du Patriot Act.

Plus grave encore, cette affaire dévoile un pan entier de la politique d’espionnage systématique des diplomates et personnes détachées au service de l’ONU, dont le siège est à New York. Si le fait était déjà connu, on ignorait l’implication directe d’AT&T dans cette opération, ni même le fait que ces écoutes étaient autorisées par une décision de justice qui chapeautait l’ensemble des opérations désignées par le nom de code Fairview.

Un Fairview tentaculaire, qui capturait tout ce qui passait sur le réseau de l’opérateur. Dès les premiers mois de fonctionnement, écrivent les journalistes, près de 400 milliards de métadonnées ont ainsi été enregistrées et environ un million d’emails par jour se sont retrouvés aiguillés vers les centres d’analyse et de recherche de mots-clefs de Fort Meade, siège de la NSA. En 2011, précise l’article, le volume de métadonnées frisait les 1,1 milliard d’enregistrements d’appels par jour. Des métadonnées indiquant notamment l’origine de l’appel, sa destination, sa durée et, par recoupement, la fréquence des appels passés entre telle et telle personne. En 2008, cette analyse de trafic s’étend aux autres opérateurs utilisant les services et réseaux d’AT&T dans le cadre d’accords de peering.

Que récupérait cette fantastique pêche au chalut ? Bien sûr un volume immense de communications (emails, téléphones fixes et mobiles) de citoyens US. Mais également, et surtout, les échanges provenant de pays étrangers. Car, explique le NYT, s’il faut l’aval d’un juge pour surveiller les communications d’un citoyen US, le Foreign Intelligence Surveillance Act (Fisa) permet de s’en passer lorsqu’un étranger communique avec ce même citoyen. Et strictement aucune limitation ou entrave légale ne vient interdire l’enregistrement d’une communication (ou métadonnées, ou détournement d’email…) établie entre deux ressortissants étrangers. Et au nombre de ces étrangers, les plénipotentiaires des Nations Unies.

S’ajoute à cette longue liste de vol de données et d’écoutes les échanges de pays à pays qui doivent, pour des raisons purement techniques, transiter sur le sol Américain, et, dans bien des cas, via un des hubs de AT&T. 60 millions d’échanges par jour estime-t-on, qui ont souvent «volontairement adressées » à l’agence de renseignements US.

Si les estimations du NYT ou du Guardian sont exactes, les fichiers Snowden publiés à ce jour ne représenteraient que seulement 1% du volume détourné des ordinateurs de la NSA.

71 alertes CVE disparaissent avec l’arrivée d’IOS 8.4.1. On se demande presque comment tant de liège peut tenir dans de si petits flacons tels que les Iphone à partir de 4s (la génération 3 est oubliée depuis longtemps), Ipod Touch 5ème édition et Ipad 2 et suivants. Dans le lot, on remarque que Webkit totalise à lui seul 26 trous de sécurité.

OS X Yosemite v10.10.5 s’est, quant à lui, alourdi de 135 rustines. Webkit, Safari, le noyau lui-même, les fonctions Bluetooth, Quicktime etc., ce bulletin de sécurité constitue à lui seul une véritable cartographie du système.

OS X Server v4.1.5, pour sa part, ne bénéficie que d’un seul bouchon logiciel, mais de taille, puisqu’il s’agit de la fameuse faille Bind 9 vulnérable au Poc de la « requête qui tue ».

Aucune indication technique complémentaire, aucun indice d’exploitation ou niveau de criticité, comme à l’accoutumé.

John McAfee, entre deux échanges de coups de feu avec la police, créée une entreprise. La dernière en date, BlackCert, une autorité de certification qui propose une offre de base en mode « illimité » à 69 dollars .

Le buzz du 15 août est signé Elastica, un vendeur spécialisé dans la sécurisation des application Cloud. Salesforce, ou plus exactement une plateforme de blogging professionnel faisant partie du catalogue de service, est vulnérable à une attaque en cross-site scripting. L’attaquant aurait la possibilité de pouvoir faire exécuter un Javascript dans le contexte de l’application. Compromission qui conduit à son tour à d’autres formes d’exploitation visant d’autres applications, puisque Salesforce utilise un contrôle d’accès basé sur un SSO.

L’exécution Javascript peut, par exemple, conduire à aiguiller l’utilisateur vers des sites externes compromis avec tous les risques que cela comporte (drive by download et assimilés) ou tenter de le piéger avec des pages de phishing. On imagine la suite : fausse page de login, récupération des crédences, utilisation de ces identifiants pour, grâce au SSO, organiser un pillage des données situés sur d’autres services plus stratégiques.

Il signe « Administrator » et révèle au monde entier (via Aeronet, un portail Tchèque spécialisé dans l’agrégation d’informations tapageuses) que la nouvelle version de Windows 10 fonctionne plus en mode Terminal que comme un ordinateur autonome. Une quantité impressionnante de données est expédiée sur les serveurs de Microsoft affirme l’article. A commencer par tout ce qui est frappé au clavier, bufferisé puis envoyé toutes les 30 minutes sur les hosts oca.telemetry.microsoft.com.nsatc.net, pre.footprintpredict.com et reports.wes.df.telemetry.microsoft.com.

A ceci s’ajouterait une foultitude d’informations de profilage et de télémétrie, tels que numéros de téléphone faisant l’objet d’une requête dans Edge le nouveau navigateur, ou la mention (dixit l’auteur) d’un titre de film dactylographié dans un fichier enregistré localement. Et à chaque installation de caméra vidéo, les 35 premières minutes d’images prises par la caméra font partie du voyage, accompagnant la totalité de ce qui passe à portée du microphone, même lorsque l’assistant Cortana est désactivé.

Le reste de l’article est rédigé à l’identique. A côté, les fichiers Snowden font figure de conte pour enfant. Inutile de préciser que la blogosphère et les forums de discussions se sont littéralement enflammés à l’énoncé de cette nouvelle… on ne prête qu’aux riches. L’indiscrétion déjà dénoncée des mécanismes de télémétrie de Windows 10 n’ont fait qu’étayer la crédulité des lecteurs.

Une fois de plus, le langage technique de la sécurité et de l’analyse réseau est utilisé pour avancer des informations sans preuve, sans exemple, sans description de la moindre plateforme de test ni mention de l’édition considérée. Le tout publié par un « non-journal » qui certifie qu’aucune des informations contenues ne sont vérifiées et n’engagent la responsabilité du site. En d’autres termes, le National Lampoon ou la Bougie du Sapeur, l’humour en moins.

Que la moitié de ce qui est écrit dans cet article soit vrai, et l’on est certain que tous les experts en sécurité patentés auraient immédiatement relayé l’information ou auraient revendiqué la paternité de la découverte. Un scoop de cette taille, c’est toujours bon pour l’image de marque et ne souffre certainement pas l’anonymat.

Il reste que les noyaux NT ont toujours été très bavards. Contrôle de licence, échanges d’authentification avec le compte Microsoft de l’usager… même les services d’accès distants ont fait l’objet d’échanges avec des serveurs situés à « corp. ». Les choses ne se sont pas arrangées avec l’arrivée de Cortana, et même lorsque cet assistant est désactivé, le noyau expédie régulièrement un certain volume d’informations de télémétrie. Nos confrères de Ars Technica s’en émeuvent, sans toutefois jouer sur la corde du FUD comme le fait l’AAA (Administrateur Anonyme Antimicrosoftien) ni affirmer qu’il y a collecte manifeste de données sensibles. Plus qu’un éventuel vol d’informations, on pourrait craindre, avec la multiplication de ces échanges station/cloud, qu’un jour les mécanismes de sécurité desdits outils soient victimes d’un exploit. Le fantasme « push » de mises à jour de rutines ou de signatures d’antivirus transformé en un formidable botnet, ça aussi, ça mérite la première page d’un portail d’information Tchèque.

Rom, l’unique objet de mon ressentiment ! Rom, à qui vient ton bras d’immoler mon routeur… l’équipe sécurité de l’équipementier US prévient ses usagers d’un risque d’attaque pas banal : l’infection d’un routeur ou commutateur par mise à jour d’une amorce de firmware compromise. Le microcode des appareils Cisco (IOS) utilise un système de démarrage, l’IOS RomMon. Et dans « de rares cas », explique le bulletin d’alerte, une personne mal intentionnée et ayant obtenu à la fois l’accès à l’équipement et les droits d’administration pourrait télécharger un RomMon forgé. Agents de la NSA, admin délégué aigri, barbouze Chinoise ou Russe… il y a de quoi écrire tout un roman avec un tel scénario de départ.

Plutôt que de fantasmer sur un super-vilain possédant des droits extraordinaires dans l’administration de réseau d’une entreprise (Scada pour le moins) il serait même plus simple d’imaginer une compromission dudit fichier au stade de sa récupération. Par une attaque MIM lors d’une émission de mise à niveau, par exemple, ou en compromettant le serveur de stockage intermédiaire.

Le « mardi des rustines » d’août 2015 restera marqué dans les annales. Pour son foisonnement de correctifs tout d’abord, puisqu’Adobe bouche la bagatelle de 34 trous, Microsoft publie 14 correctifs lourds pour un total de 56 alertes CVE. Oracle fait le « buzz de la semaine » avec une bourde monumentale commise par Mary Ann Davidson, la CSO du groupe.

Chez Microsoft, ce mois d’août est une première à triple titre.

– C’est le tout premier « patch Tuesday » pour Windows 10, et 40 % des 56 failles colmatées proviennent de ce nouveau noyau

– C’est le premier lot de correctifs pour Edge, le successeur d’Internet Explorer à qui il ne manque que la parole (et pas mal de fonctionnalités), mais qui bénéficie de la même stratégie de bouchons cumulatifs : MS15-091, riche de 4 trous, dont 3 critiques

– C’est surtout la première régression W10… ce qui laisse présager des réveils pénibles lorsque sera mis en place la politique du « non stop patching »

Cette régression fait l’objet d’un court billet sur le blog de Graham Clueley. Après application du pansement logiciel, le système redémarre sans cesse. Situation dramatique dans laquelle peu de « non informaticiens » parviennent à s’en sortir. La liste des fichiers concernés par la mise à jour cumulative est tellement impressionnante qu’il est difficile de déterminer le véritable coupable.

Internet Explorer a droit également à son correctif d’été, une faille non critique WebDAV – CVE-2015-2476. Office, pour sa part, est frappé par une faille qualifiée de critique ouvrant la voie à des attaques distantes. Au sein de ce bouchon, l’alerte CVE-2015-1642 est actuellement exploitée « dans la nature ». Egalement exploité, le trou CVE-2015-1769 dans le gestionnaire de « montage » de ressources ( correctif MS15-085 )

A côté de ce déferlement, les 34 trous éliminés dans la nouvelle édition de Flash Player font figure de parents pauvres. Ce n’est toutefois pas une raisons pour ne pas se demander si cet habitué des patchs Tuesday est vraiment indispensable.

Mais le plus beau correctif du trimestre, et probablement de l’année toute entière, c’est Oracle qui en est la source. Le lot est important : CVE-2015-3107, CVE-2015-5124, CVE-2015-5125, CVE-2015-5127, CVE-2015-5128, CVE-2015-5129, CVE-2015-5130, CVE-2015-5131, CVE-2015-5132, CVE-2015-5133, CVE-2015-5134, CVE-2015-5539, CVE-2015-5540, CVE-2015-5541, CVE-2015-5544, CVE-2015-5545, CVE-2015-5546, CVE-2015-5547, CVE-2015-5548, CVE-2015-5549, CVE-2015-5550, CVE-2015-5551, CVE-2015-5552, CVE-2015-5553, CVE-2015-5554, CVE-2015-5555, CVE-2015-5556, CVE-2015-5557, CVE-2015-5558, CVE-2015-5559, CVE-2015-5560, CVE-2015-5561, CVE-2015-5562 and CVE-2015-5563. (une telle liste est toujours impressionnante et ne compte pourtant que 34 trous répertoriés).

Mais il y a pire que les 34 trous d’Oracle : la réaction de la CSO du groupe qui, dans un billet de blog, conspue les spécialistes de la recherche de faille. « Ce sont des spécialistes du FUD, écrit-elle en substance, dont le travail quasiment inutile ne représente que 3% des failles découvertes, la majorité d’entre elles relevant du travail de notre response team ». C’est probablement pour cette raison d’ailleurs qu’Oracle ne possède pas, contrairement à la majorité des autres éditeurs, de politique de prime au bug. « Bug bounty is the new boy’s band » lâche-t-elle au détour d’une phrase.

Et de continuer « Cette chasse au bug n’est qu’une forme de reverse engineering déguisée, une atteinte manifeste à la propriété intellectuelle d’Oracle ».

Ce genre de discours, tellement en vogue dans les années 90, a poussé Oracle à bâillonner toute recherche indépendante durant des années. La sécurité par la menace juridique, Alexander Kornbrust, le patron de Red Database Security ou David Litchfield en ont fait les frais par le passé, et l’on croyait cette époque révolue.

Le billet de Mary Ann Davidson est-il un pas de clerc ou une tentative mûrement réfléchie de la part du groupe pour tester les réactions de la communauté ? Test concluant, car la réaction en question a été relativement vive. Même nos confrères de Hackaday, pourtant plus versés dans le hacking que dans la vie quotidienne du landerneau Infosec, en ont tiré un article indigné. Le poulet provocateur a, depuis, été retiré, mais peut toujours être récupéré dans la cache Google. Les RSSI terrassés par les chaleurs aoûtiennes et les épreuves du déploiement peuvent se détendre en parcourant les messages hashtagués #oraclefanfic.

Microsoft annonce la sortie de Windows 10 pour l’internet des objets « W10 IoT Core » destiné notamment aux plateformes Raspberry Pi 2. Le noyau est disponible en téléchargement gratuit