Il pleut du ZDE comme il neige en Savoie : par brassées entières. Comme annoncé lors du précédent article de CNIS consacré au « Patch Tuesday » Microsoft, l´exploit Zero Day Chinois est sur le point de devenir international. Revue de détail des vecteurs de développement et d´information.
Prélude à l´après-midi d´un fauve du code : tout commence par le papier de Cedric Pernet qui, dans la journée du 10, s´était déjà lancé dans l´analyse du Shell Code de l´exploit. Sans surprise, son conseil tient en deux mots : « utilisez de préférence un navigateur autre qu’Internet Explorer 7, le temps que la rustine de Microsoft soit prête ! ». Voilà qui tombe à merveille, Firefox entame la seconde phase de sa Beta 3.1, laquelle bénéficie d´une amnésie paramétrable des sites visités. Cet historique des sites était à la fois une menace sérieuse pour la sécurité et une atteinte permanente à la vie privée des internautes.
Episode 2 : l´Empire du Milieu contre-attaque : En parcourant Milw0rm d´un mulot distrait, l´on découvre que quelques idées se propagent. Attention, la dernière url contient un authentique JS.Shellcode.gen réellement dangereux.
Il est Minuit, docteur Zoller. Le chercheur Luxembourgeois publie une synthèse succincte mais très complète de la situation : articles, codes, analyses, exploits. Il signale notamment l´article très fouillé signé par H.D. Moore. Rappelons que Moore est l´initiateur du « month of browser bugs » et père de Metasploit, l´outil open source de pentest.
Pendant ce temps, à Moulinsart : Bill Sisk réagit in-petto et publie un billet inquiet sur le blog du MSRC et signale l´existence d´une nouvelle entrée dans les fiches sécurité du Technet. La nouvelle alerte portera le numéro 961051. Action suggérée : protégez votre ordinateur. Voilà qui est étrangement différent des conseils de Cedric Pernet. Pour le reste, les recommandations sont habituelles : régler le niveau de protection des zones « internet » et « sécurité » au niveau le plus élevé, désactivez l´Active Scripting…
SANS a peur, SANS reproche : le quotidien du Sans n´en finit plus de publier des addenda sur le sujet. L´auteur des lignes, Bojan Zdrnja, fera une longue carrière dans la diplomatie. Suivre les conseils de Microsoft ou changer de navigateur ? Bien que proposant les deux solutions, il ne se prononce pas franchement. Ignace de Loyola ou Pierre Favre n´auraient pas fait mieux.
ShadowServer fait de l´ombre : alors que tous les auteurs susnommés se sont appliqués à « flouter » leurs captures d´écran afin que les adresses des sites infectés et/ou attaquants ne soient pas publiées, voilà que ShadowServer joue les Dancho Danchev et dresse une liste impressionnante des sites d´exploitation. Un simple coup d´œil sur les noms de domaine et sur les netblocs Chinois montre qu´il s´agit là d´une opération très organisée.
Les coulisses de l´histoire : nos confrères de Network World reviennent sur le passé de l´exploit. Un exploit dont la « fuite » provoquée par KnownSec aurait été totalement involontaire, mais qui faisait déjà l´objet de tractations et d´enchères depuis le mois dernier. Le ZDE I.E. 7.0 se serait déjà négocié à plus de 15 000 $ US. Ce petit « détail » de l´histoire renvoie en fond de court les protestations spécieuses des « anti-divulgations » et prouve une fois de plus l´importance d´une information libre et rapide. En commettant cette « bévue », KnownSec a désamorcé une bombe que comptaient employer des gens peu scrupuleux. Certes, une concertation intelligente avec l´éditeur aurait été préférable… ne serait-ce que pour bénéficier d´un correctif le jour de la divulgation. Mais nécessité fait loi.
Question Rouge et Banco : certains témoins affirment avoir vu passer d´autres types d´attaques utilisant ce même exploit. Et notamment accompagnées de quelques injections SQL. Combien de temps faudra-t-il pour que ce ZDE originellement cantonné à Canton devienne, en nos contrées, une arme contondante ? Enfin, question que personne n´ose soulever : combien de temps devra-t-on attendre pour que Microsoft publie son dernier « out of cycle patch » de l´année 2008 ?