MS patch du vendredi : Le retour du trou RPC L’annonce a retenti comme un petit coup de tonnerre, en cette soirée du 22 octobre : « rustine « hors calendrier» à prévoir dans la nuit de jeudi à vendredi. Faille kernel variant d’importante à critique, RSSI, restez à l’écoute, tous les éclaircissements vous seront donnés ce jeudi soir à 10 H, par le biais d’un Webcast spécial. Inscription préalable obligatoire ». Bien entendu, mutisme de rigueur dans les rangs Microsoft France en attendant l’heure fatidique.
A l’heure dite, le bulletin Français de Microsoft révélait les dessous de l’affaire : vulnérabilité RPC dans les « server services », de Windows 2000 à Vista et 2008, exploitable à distance sans authentification nécessaire. Le trou de sécurité est jugé critique de 2000 à la génération XP/2003, important sur les systèmes Vista/2008. Tous les détails dans l’alerte MS 08-067. Le défaut, précise Bernard Ourghanlian (Directeur technologie & sécurité chez MS France), était connu des chercheurs du MSRC depuis un certain temps déjà. Mais, depuis peu, des preuves d’exploitation « underground » laissaient clairement entendre que le problème avait manifestement été découvert par d’autres.
Le mélange « faille RPC/exploitation à distance/Pre-auth » a déjà prouvé son instabilité. Souvenons-nous. C’était avec cette même formule chimique qu’est né, en 2003, Blaster (rpc), Sasser (lsass) et ses cousins. Et une simple requête Google « faille RPC » ou « requête RPC forgée » dresse en quelques secondes un petit musée des horreurs et pas mal de mauvais souvenirs. « Il n’y a pas, à l’heure actuelle, précise Bernard Ourghanlian, de ver connu exploitant ce défaut. Ce n’était pas non plus le cas lorsque la faille ayant donné naissance à Blaster a été découverte, puis corrigée ». Le message est clair : correctif à déployer de toute urgence, compte-tenu de la rapidité des black hats en matière d’ingénierie inverse.
Quelles sont les premières personnes visées ? Les sociétés en premier chef, estiment les hommes sécurité de Microsoft. Car les particuliers, TPE, artisans sont, dans la majorité des cas, protégés par le firewall natif de XP, Vista, voir celui directement intégré dans leur routeur. Il n’en va pas toujours de même lorsque les services informatiques d’entreprises plus importantes activent les services RPC à l’extérieur. L’ouverture des ports 139 et 445 –Dcom et Locator- (voir parfois même les 137 et 138 Netbios !) est parfois une « nécessité suicidaire ».
Afin de minimiser un peu plus ce danger latent, les signatures de Forefront Line Security et Live One Care ont été mises à jour… en se basant sur les méthodes d’exploitation connues jusqu’à présent. Mais il suffit de si peu de choses pour rendre invisible une mutation, pour créer une variante qui passera inaperçue. La première des prudences est de respecter le traditionnel conseil que le Sans Institute émet dans de pareilles circonstances : Patch ! Patch ! Patch !… et par la même occasion, il est sage de vérifier s’il n’existe pas de ports Wan inutilement ouverts.
Ouvrons une parenthèse en signalant qu’une seconde faille « noyau » a généré la mise à jour d’un bulletin conseillant une extrême vigilance. Un bulletin qui porte le numéro 951306 et qui a également fait l’objet d’une publication d’exploit, plus officielle, celle là, sur l’initiative de César Cerrudo d’Argenis.
Son niveau de dangerosité est nettement moins élevé, puisque n’étant exploitable que localement. Mais tout est relatif, la criticité d’une faille s’appréciant en fonction de la situation de l’exploitant. Un virus, troyen ou crack local, entre les mains d’un employé déçu ayant accès au réseau local possède un potentiel de destruction bien plus important qu’une faille exploitable à distance lancée par un script-kiddy ignorant tout des ressources réelles qu’il peut mettre en danger. Mais à priori, estime-t-on chez Microsoft, pas de quoi provoquer un second correctif « hors calendrier » ce mois-ci.
Il est assez ironique de constater que la publication de ces deux exploits survient le mois même à partir duquel le traditionnel « patch Tuesday » s’enrichit d’un indice statistique de possibilité d’exploitation … Indice qui n’aura servi strictement à rien, puisque des deux exploits en question, aucun n’a fait partie des bulletins d’alerte du 14 octobre.