Petit patch day pour Microsoft (une seule vulnérabilité), mais Oracle et Adobe en ont aussi profité pour publier des mises à jour de sécurité critiques.

Microsoft n'a publié qu'un seul bulletin ce mois-ci :
MS10-001 : vulnérabilité dans le parsing des polices EOT, permettant d'exécuter du code arbitraire (Réf Lexsi 12790)

La vulnérabilité dans le composant SMB de Windows 2008 R2 et Windows 7 (Réf Lexsi 12542) n'est toujours pas corrigée, alors que le code d'exploitation est publié depuis 2 mois.

Quant à la vulnérabilité dans IIS dans la gestion du caractère ";" dans les URL (permettant de faire exécuter en tant que script ASP un fichier nommé foo.asp;bar.jpg) (Réf Lexsi 12724), elle reste sans correctif alors qu'elle est triviale à exploiter ; les conditions nécessaires (un répertoire accessible à la fois en écriture et en exécution) ne sont pas celles par défaut et sont même officiellement déconseillées, mais il n'est malheureusement pas rare de les rencontrer dans la nature.

Dans le cadre de sa publication trimestrielle, Oracle a publié de nouvelles versions de ses principaux produits (Database, Application Server, etc) corrigeant un total de 24 vulnérabilités. Trois vulnérabilités ont un score CVSSv2 de 10.

Adobe a également publié les versions 8.2 et 9.3 d'Acrobat/Reader, corrigeant plusieurs vulnérabilités critiques dont la récente 0-day dans la méthode JavaScript "newPlayer()" (Réf Lexsi 12676).

Petite digression sur les codes d'exploitation. Il est couramment admis qu'à mesure que les vulnérabilités système vont devenir de plus en plus difficile à trouver et/ou à exploiter, les vulnérabilités dans les applications tierces courantes vont être de plus en plus utilisées, de façon massive ou ciblée. Parmi ces applications, Adobe Flash Player et surtout Adobe Acrobat/Reader sont les plus exploitées. F-Secure a par exemple récemment indiqué qu'Adobe Acrobat/Reader était utilisé dans près de 50% des attaques ciblées en 2009 utilisant des documents malveillants, soit quasiment deux fois plus qu'en 2008.

Dans ce contexte, il semble pertinent de s'intéresser de près à l'efficacité des produits antivirus sur ce type de document malveillant. Prenons par exemple la 0-day dans Adobe Acrobat/Reader évoquée ci-dessus, pour laquelle un code d'exploitation est disponible dans le framework Metasploit depuis le 15/12. D'après nos tests, le PDF généré par Metasploit est aujourd'hui détecté par 6 antivirus sur les 19 principaux du marché :

Plaçons-nous maintenant dans un cas réel. Pour cela, nous allons prendre un fichier PDF légitime quelconque et y injecter le code d'exploitation et la payload fournis par Metasploit grâce au framework Origami présenté au SSTIC en 2009. Il existe de nombreuses manières de lancer du code JavaScript (ici celui directement issu de l'exploit Metasploit) automatiquement à l'ouverture d'un PDF ; nous allons ici choisir d'ajouter une annotation à une page. L'utilisateur lira ainsi tranquillement son document soi-disant légitime, jusqu'à atteindre la page piégée qui déclenchera l'exécution de la payload (de quoi augmenter la crédibilité de l'attaque :).

La surprise provient alors de la détection antivirale qui chute brusquement (le code d'exploitation étant identique) lors de l'utilisation de ce PDF légitime piégé, comparé au PDF directement fourni par Metasploit : seulement 2 sur les 19 testés.

Que penser de ces résultats ? Au premier abord, on pourrait se dire que ce n'est pas le rôle des antivirus de détecter des codes d'exploitation, mais plutôt les malware éventuellement droppés. Pour ainsi dire, on n'en voudrait pas à un antivirus de ne pas lever d'alerte sur un code d'exploitation exécutant calc.exe. Cependant, la plupart des antivirus intègrent effectivement des signatures pour les codes d'exploitation PDF ; les détecter dans le premier cas mais pas dans le second peut donc être considéré comme une faiblesse des moteurs d'analyse de documents.