Une nouvelle vague de spams ayant pour but l'incitation au téléchargement du célèbre malware Storm a débuté depuis hier. Celle-ci tente cette fois-ci d'appâter l'utilisateur en lui proposant de visionner une vidéo d'un tremblement de terre ayant eu récemment lieu en Chine :

Bien évidemment, un clic sur cette "vidéo" (n'étant en fait qu'une simple image dotée d'un lien hypertexte) provoque le téléchargement du malware. Mais un rapide coup d'oeil au code source de la page nous indique qu'un fichier "ind.php" est chargé en tant que script Javascript. Celui-ci est doublement obfusqué, et se charge d'instancier des contrôles ActiveX vulnérables afin d'exploiter des failles connues, dans le but de provoquer le téléchargement automatique d'un binaire si l'utilisateur ne s'est pas laissé duper par la vidéo. Les créateurs de Storm semble ainsi revenir aux anciennes méthodes, les dernières campagnes se fiant uniquement à la crédibilité des internautes.
Les vulnérabilités exploitées sont les suivantes :

• Vulnérabilités MS05-052, MS06-014 et MS06-057 dans Internet Explorer
• Vulnérabilités dans les lecteurs multimédias Real Player, GOM Player et NCT AudioFile2
• Vulnérabilité dans Baidu Search Bar
• Vulnérabilité dans AOL SuperBuddy

Toutefois, une analyse des codes malveillants inclus dans le script nous a montré que l'exploitation des vulnérabilités conduit au téléchargement du fichier http://myhost/file.php. Bourde des pirates ou simple test ? L'avenir nous le dira peut-être.

Le malware téléchargé n'étant encore que très peu reconnu par les solutions antivirales, soyez prudents et ne suivez pas les liens dans les courriels dont la provenance n'est pas sûre.

Depuis novembre 2007, plusieurs vagues d'attaques sensiblement similaires sont menées par injection de code SQL sur les architectures Microsoft IIS / ASP et SQL Server. Cette menace continue aujourd'hui de se réaliser à grande échelle, et plusieurs centaines de milliers de sites ont été, sont ou seront touchés. Concrètement, depuis le début de la semaine dernière, une vague d'attaque semble toucher plus spécifiquement des sites Web de langue française.

Pourquoi une telle ampleur ? Parce que dans ce cas, il s'agit d'une attaque automatisée utilisant les erreurs de développement Web, et non pas de l'exploitation d'une faille de sécurité connue sur un quelconque CMS, qui pourrait être rapidement corrigée par l'application d'un correctif.

Ainsi l'outil mis en Å“uvre pour l'attaque commence par effectuer une recherche sur Google pour identifier des sites potentiellement vulnérables (recherche de la chaine "ASP" dans l'URL par exemple), puis envoie une seule requête contenant le code d'exploitation et la charge utile. La requête SQL ainsi injectée est encodée afin d'éviter des mots-clés SQL connus tels que "SELECT", "UPDATE" ou "UNION". Celle-ci a souvent la forme suivante :
DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(...[requêteencodée] ...%20AS%20NVARCHAR(4000));EXEC(@S);--

Son effet va être de rechercher dans la base de données sous-jacente les champs de type "varchar" afin d'injecter du code Javascript malveillant. Ce code varie au cours des vagues d'attaques, mais est toujours de la forme :
<script src="http://xxxxx/x.js"></script>.

Bien entendu, de nombreux noms de domaine différents sont utilisés pour le dépôt du code malveillant.

Les visiteurs d'un site touché vont donc charger ce script à leur insu. Celui-ci va ensuite tenter d'exploiter diverses vulnérabilités connues, le plus souvent par le biais de contrôles ActiveX vulnérables, afin de provoquer le téléchargement d'un virus, dont le but est notamment de voler des mots de passe.

Compte-tenu de la difficulté de corriger définitivement la vulnérabilité (ce qui nécessite de passer en revue et d'implémenter un contrôle sur l'intégralité des variables utilisées par l'application), la résolution rapide de l'incident va principalement consister à remettre en état la base de données, et à filtrer cette attaque précise, par exemple par le biais d'un reverse proxy applicatif.

Si cette réponse à l'incident est judicieuse à court terme, il faut prendre en compte que les sites attaqués se retrouve référencés temporairement sur les moteurs de recherche, et on peut donc imaginer que d'autres attaquants vont en profiter pour dresser des listes de sites Web vulnérables, afin d'y revenir ultérieurement de manière manuelle ou automatique.

C'est pourquoi il est particulièrement judicieux de mettre en œuvre dès maintenant une démarche de revue du code applicatif, pour pouvoir prévenir tout nouvel incident.

Pas de bulletin de sécurité concernant Office ce mois-ci, on revient aux sources avec des vulnérabilités concernant Windows, Internet Explorer et DirectX. Trois bulletins critiques, trois importants, et un plus léger constituent les nouveautés du mois.

Pour bien débuter, un bon bulletin critique comme on les aime, concernant la pile Bluetooth de Windows.

MS08-030 : une vulnérabilité dans la pile Bluetooth, comme dit précédemment, permettant à un attaquant de prendre le contrôle d'une machine vulnérable à distance, rien que ça (Réf. Lexsi 10246). Même plus besoin d'être connecté à internet pour être vulnérable. Une aubaine pour les vendeurs de pistolets Bluetooth ? Microsoft indique que cette vulnérabilité est difficile à exploiter.

Voici les autres bulletins critiques :

MS08-031 : deux vulnérabilités affectant Internet Explorer, permettant l'une d'exécuter du code arbitraire et l'autre la divulgation d'information sensible. Une interaction de l'utilisateur est cependant nécessaire pour l'exploitation de ces vulnérabilités (Réf. Lexsi 10247 et Réf. Lexsi 9876)

MS08-033 : en incitant sa victime à ouvrir un fichier média malicieux, un attaquant peut exploiter l'une des deux vulnérabilités concernées par ce bulletin afin d'exécuter du code arbitraire (Réf. Lexsi 10248)

Maintenant, regardons un peu les bulletins qualifiés d'importants :

MS08-034 : une vulnérabilité permettant une élévation de privilèges, située dans WINS (Réf. Lexsi 10249)

MS08-035 : une vulnérabilité dans Active Directory, pouvant mener à une attaque de déni de service (Réf. Lexsi 10250)

MS08-036 : deux vulnérabilités dans le protocole Pragmatic General Multicast (PGM), permettant à un attaquant distant de faire planter une machine par simple envoi de paquets malformés (Réf. Lexsi 10251)

Et enfin, le dernier bulletin, qualifié par Microsoft de modéré, et qui concerne l'API de reconnaissance vocale :

MS08-032 : vulnérabilité dans l'API Microsoft Speech, permettant à un attaquant distant d'exécuter du code arbitraire en incitant sa victime à visiter un site web malicieux. Il faut noter que l'exploitation n'est possible que dans le cas où la victime a activé la reconnaissance vocale, et c'est probablement la raison pour laquelle ce bulletin n'est considéré que comme "modéré" (Réf. Lexsi 10254)

Comme à l'accoutumée, n'attendez pas trop avant de patcher vos systèmes et évitez les sites suspects pour limiter les risques.

Après un Social Event sympathique jeudi soir (n'ayant pas entravé notre faculté à suivre les conférences contrairement à certaines suppositions ), voici donc un résumé de la dernière journée du symposium.

Une architecture de bureaux graphiques distants sécurisée et distribuée

Conférence de Jonathan ROUZAUD-CORNABAS (LIFO), décrivant une architecture de bureaux distants sécurisée (authentification forte, SSH, NX et virtualisation) et offrant une grande disponibilité.

Walk on the wide side

Une présentation fonctionnelle du botnet Storm par Guillaume ARCAS, après plusieurs mois de surveillance et l'analyse de 6 Go de traces réseau. L'architecture du ver y est présentée, avec son canal de contrôle en peer-to-peer, sa diffusion par le biais de sites web simplistes et ses fonctionnalités multiples de spam, DDoS et hébergement.

SinFP, unification de la prise d'empreinte active et passive des systèmes d'exploitation

Présentation de l'outil de prise d'empreinte SinFP par Patrice AUFFRET. Après une introduction sur la prise d'empreinte à distance, les différents outils "actifs" sont présentés. S'en suit une explication du fonctionnement de SinFP, pouvant fonctionner pour sa part soit en mode actif, en envoyant trois paquets TCP vers un port ouvert et en interprétant les réponses, soit en mode passif, en traitant des paquets déjà capturés.

Recueil et analyse de la preuve numérique dans le cadre d'une enquête pénale

Présentation de l'IRCGN par Nicolas DUVINAGE, son directeur. Les affaires traitées sont dans 90% des cas des analyses de courriels ou conversations MSN sur des postes Windows. Les preuves numériques peuvent être divisées en trois catégories d'affaires : celles pour lesquelles l'informatique est utilisée en tant qu'outil (aboutissant généralement à l'analyse de courriels, de conversations ou de SMS), celles pour lesquelles l'informatique est un support (par exemple, dans le cas de diffusion d'images pédopornographiques) et enfin celles pour lesquelles l'informatique est l'objet du délit (piratage d'un système d'information). Lors d'une perquisition, tout élément susceptible de contenir des données doit être saisi, que ce soit des cadres photo numériques ou la carte micro-SD du téléphone portable du suspect. Il est d'ailleurs inutile de demander à voir un mandat de perquisition, celui-ci n'existant pas en France S'en suivaient des recommandations quant à la conduite à tenir en cas de soupçons pesant sur une personne, en particulier concernant la présomption d'innocence. La conférence s'est terminée en présentant les problèmes rencontrés par les forces de l'ordre, tant techniques (transporter un PC sans l'éteindre ...) qu'organisationnels (savoir retranscrire les conclusions de l'enquête à un juge et un jury).

Voyage au coeur de la mémoire

Damien AUMAITRE a présenté ici quelques outils de manipulation de la mémoire physique dans une optique offensive ou de forensics. Après quelques explications concernant la reconstruction de la mémoire virtuelle à partir de la mémoire physique, plusieurs méthodes d'accès à la mémoire physique ont été présentées, ainsi que des outils permettant la manipulation directe de la mémoire à travers un explorateur de processus et de base de registre. L'auteur a d'ailleurs effectué une démonstration des possibilités de ces outils, en lecture, en écriture (par la modification en mémoire de deux octets, permettant de se loguer sur le système sans aucun mot de passe, en manipulant directement la mémoire d'une machine virtuelle VMWare) et en exécution (en exécutant un cmd.exe avec les droits SYSTEM dans la fenêtre de login de Windows, permettant ensuite de lancer un explorer, le tout par le biais du port firewire de la machine).

Recherche et développement en sécurité des systèmes d'information : orientations et enjeux

Conférence animée par Florent CHABAUD de la DCSSI, visant à expliquer pourquoi la culture de la sécurité est si peu présente chez nos politiciens, alors que nous disposons d'excellentes connaissances dans les domaines de la cryptographies et des méthodes formelles en France. Un exemple a été donné concernant un projet d'utilisation de certaines clés DSA, ayant pris 5 années à se mettre en place.

Dynamic Malware Analysis for dummies

Talk de Philippe LAGADEC concernant l'étude de malware lorsque l'on ne dispose pas de connaissances pointues en assembleur. L'étude peut être effectuée en deux partie, statique (en ne faisant qu'observer le binaire à la loupe) puis dynamique. Le principe de cette dernière repose sur un ensemble de deux machines (virtuelles ou non), l'une représentant un poste lambda (i.e. avec des logiciels ne disposant pas des derniers correctifs de sécurité) et la seconde des services Internet classiques (en émulant DNS, HTTP, FTP, IRC, etc), reliées entre elles directement. Au bout d'un certain temps, les clés de registre et le système de fichier de la machine client sont comparés à une machine témoin, afin de déterminer quelle a été l'activité du malware. A noter que l'analyse automatique de malware sera bientôt disponible pour les abonnés de la veille technologique Lexsi.

Ainsi s'est terminée cette 7e édition du SSTIC. Même si certains trouvent que c'était mieux avant, ces trois jours d'immersion dans le petit monde de la sécurité française ont été particulièrement enrichissants. Prochain rendez-vous : juin 2009 !

Suite au billet précédent, voici un aperçu des conférences de la deuxième journée au SSTIC 2008.

Sécurisation des Green Data Centers

Conférence présentée par Christophe WEISS (APL). Une conférence qui sort de l'ordinaire puisqu'elle concerne la sécurité physique des datacenters d'un point de vue de la disponibilité, du refroidissement et de la consommation électrique.

Déprotection semi-automatique de binaire

Conférence proposée par Alexandre GAZET et Yoann GUILLOT (SOGETI/ESEC), montrant l'utilisation de Metasm (déjà présenté au SSTIC 2007) pour déprotéger de manière entièrement statique un binaire. Après avoir rappelé les faiblesses de la plupart des désassembleurs comme IDA Pro sur du code un tant soit peu obfusqué, la suite commence par la résolution d'un des challenges de Securitech 2006. Les principales techniques utilisées sont les prédicats biaisés et les éléments neutres. Suit la résolution du challenge T2. Ce challenge implémente une machine virtuelle et Metasm est utilisé, en plus du nettoyage de code comme pour le challenge Securitech, pour décrypter les handlers d'opcodes, puis pour générer un code C et un binaire déprotégé. Metasm possède aussi une interface permettant de réaliser des graphes de flot.

ERESI : une plate-forme d’analyse binaire au niveau noyau

Conférence présentée par l'équipe du projet ERESI. Il s'agit de la suite du projet ELFsh. Celui-ci a été amélioré au fil du temps par des bibliothèques de scripting et d'analyse dynamique. Kernsh propose un framework pour la lecture et l'écriture au niveau du noyau. Une démonstration propose de calculer un hash de certaines parties du noyau afin de vérifier son intégrité face aux rootkits. La deuxième démonstration montre le dump d'un processus lorsque celui-ci se ptrace lui-même.

Cryptographie : attaques tous azimuts

Conférence présentée par Jean-Baptiste Bédrune (SOGETI/ESEC). Il existe déjà certains plugins (Kanal pour PEiD, FindCrypt pour IDA Pro, etc) permettant la recherche de patterns en mémoire, correspondant typiquement aux tables d'initialisation des algorithmes cryptographiques. Est ici présenté, entre autres, un plugin pour IDA permettant en plus une analyse dynamique afin de repérer les fonctions d'initialisation, de mises à jour, etc, qui apportent encore plus d'informations pour la cryptanalyse. La méthode peut aussi être appliquée aux flux chiffrés.

Sécurité dans les réseaux de capteurs

Conférence présentée par Claude CASTELLUCCIA (INRIA). Les réseaux de capteurs peuvent être utilisés dans un contexte militaire, mais aussi pour la sécurité routière (état des routes, etc) ou par exemple la défense contre les feux de forêts. Leur faiblesse provient de leur mode d'alimentation : lorsque la batterie est épuisée, le capteur est perdu. Le premier exemple déroulé concerne les applications médicales, principalement pour les implants comme les pacemakers. La sécurité n'a pas vraiment été intégrée dans ces produits (jugée inutile par les fabricants car son exploitation nécessite d'être physiquement très proche de la victime). Un compromis doit être trouvé entre "sécurité" et "sûreté" : typiquement, l'accès aux données ou la désactivation ne doivent pas être possibles... sauf en cas d'urgence. Une solution pourrait être d'intégrer du RFID pour gérer la partie contrôle d'accès. Le dernier exemple discuté concerne les capteurs en environnement militaire, et les problématiques de chiffrement et d'authentification entre capteurs, et avec l'agrétateur de données. Sur ce dernier, il est possible d'utiliser des fonctions homomorphes afin de garantir que les données ne seront pas compromises, même en cas de perte.

Dépérimétrisation : futur de la sécurité réseau ou pis aller passager ?

Conférence présentée par Cédric Blancher (EADS). Faut-il supprimer le firewall de l'entreprise ? Le forum Jericho répond "oui" à cette question plutôt provocatrice. Effectivement, un pare-feu n'est pas une barrière absolue (ne protège par contre l'envoi d'un mail piégé, etc) mais la dépérimétrisation n'est pas clairement définie et n'apporte pas de réponse technique claire. D'un point de vue réseau, ceux-ci seraient de plus en plus à plat (à mettre en parallèle avec le déploiement, ou pas, d'IPv6) ; au niveau système, les mêmes moyens sont utilisés (tunnels SSL/TLS). Sans parler des failles au niveau client et du fait que de nombreuses données confidentielles ne circulent pas sur les réseaux (clé USB, vols dans les camions de transport des sauvegardes, etc). Une notion pas encore vraiment convaincante, donc.

Pentests : "Réveillez-moi, je suis en plein cauchemar !"

Conférence présentée par Marie BAREL (Orange Business Services). Les risques juridiques autour des test d'intrusion ont été discutés. Ce sont des problématiques bien connues chez Lexsi au sein de notre pôle audit.

Rump Sessions

Les fameuses rump sessions du SSTIC sont l'occasion de présenter en 4 minutes un sujet sérieux (ou pas) en rapport (ou pas) avec la sécurité. Des images valant mieux qu'un long discours, voici quelques photos :

Depuis mercredi se déroule à Rennes la 6ème édition du Symposium sur la Sécurité des Technologies de l'Information et de la Communication (SSTIC), rendez-vous français incontournable sur toutes les thématiques liées à la sécurité (techniques, juridiques, etc). Voici un rapide résumé de la première journée de conférences.

Sécurité : anatomie d'un désastre annoncé

Conférence présentée par Marcus RANUM (Tenable Security). Une présentation assez pessimiste (mais réaliste ?) sur la manière dont les entreprises gèrent, ou plus précisément ne gèrent pas la sécurité. Le fait de mentionner un problème de sécurité est souvent considéré comme négatif par la hiérarchie, et les personnes travaillant dans la sécurité "préférant avoir un travail plutôt qu'avoir raison", ses impacts ne seront pas considérés comme ils devraient l'être. Quant à la gestion des risques, elle se résume souvent à "la multiplication d'un facteur approximatif par un coefficient farfelu". Il vaut mieux en rire...

Exploitation des failles humaines par les prédateurs informationnels

Conférence présentée par Michel IWOCHEWITSCH (Strateco), sur l'exploitation des failles dans un système d'exploitation un peu particulier : le cerveau humain (alias "tests d'intrusion humains"). En sécurité informatique, on a l'habitude de parler de "social engineering" pour désigner les méthodes humaines pour arriver à ses fins (récupération d'information, incitation à réaliser une action, etc). Il ne s'agit en fait que d'une partie de l'iceberg des "prédateurs". Ceux-ci exploitent des failles opérationnelles, humaines, physiques, ou techniques et adaptent leur méthodologie en fonction du profil la victime (extravertie, en conflit avec son entreprise, etc) et du contexte (situation de stress, etc) pour arriver à faire parler ou persuader la cible. On comprend qu'il est difficile de se protéger contre ce type d'attaques.

Activation des cartes à puce sans contact à l'insu du porteur

Conférence proposée par Gemalto. Les périphériques sans contact sont désormais entrés dans notre quotidien, en particulier avec les titres de transport (exemple du Pass Navigo pour les plus Parisiens d'entre vous). Après avoir rappelé la structure électronique d'une carte à puce sans contact, les attaques sont présentées : passives (écoute, tracking d'une personne, etc) et actives (envoi de commandes, perturbation physique du composant, etc). La distance d'attaque, en utilisant un matériel non standard, peut atteindre de l'ordre de 50 cm (au-delà, gagner quelques centimètres de plus devient très vite rédhibitoire). A moins bien sûr de mener une attaque par relais. Des solutions existent (étui en métal ou bouton d'activation sur la carte par exemple). On peut aussi envisager des capteurs vérifiant que l'environnement (luminosité, température, etc) du lecteur et de la carte sont bien identiques. Des composants sans contact commencent à être déployés sur les téléphone portables, avec la technologie NFC (Near Field Communication), principalement pour des applications de paiement. Des attaques contre NFC ont d'ailleurs été présentées à EuSecWest 2008.

L'expertise judiciaire des téléphones mobiles

Conférence présentée par David Naccache (ENS Ulm). Après avoir rappelé les parts de marché des différents constructeurs de portables, les données qu'il est possible de retrouver sont listées (IMEI, IMSI, SMS, dernière borne connectée, etc). Le PIN est nécessaire pour retrouver les informations de la carte SIM ; solution simple : le demander au propriétaire... Il est aussi bien sûr possible de passer par le code PUK. Ensuite, des méthodes de "piratage légal" (sic) sont présentées, comme la mise en place d'un mouchard sous la batterie, l'injection de fautes (pour contourner le code PIN) et l'installation d'une appliquette Java hostile. La deuxième partie de la conférence est un peu particulière puisque la technique de "machine telepathy" a été présentée, consistant à échanger de l'information via l'activité du processeur et donc de sa température et de la vitesse de rotation du ventilateur. La conférence se termine par un mouchard à coller derrière un PC avec de la Patafix...

Outils d'intrusion automatisée : risques et protections

Conférence présentée par Mathieu Blanc (CEA). Les frameworks d'exploitation Metasploit, CORE IMPACT et Immunity CANVAS sont présentés. La conférence s'attache aux moyens permettant de détecter l'exploitation d'une machine par ces outils, plus particulièrement l'installation d'un agent. Comme l'upload de celui-ci n'est chiffré par aucun de ces outils, il est possible d'écrire des règles Snort/Snort-Inline en se basant sur des constantes contenues dans les paquets. La détection est aussi possible au niveau de l'hôte lui-même, en passant par des outils d'API hooking comme Detours sur Windows ou par exemple systemtap sur Linux.

Bogues ou piégeages des processeurs: quelles conséquences sur la sécurité

Conférence présentée par Loïc DUFLOT (DCSSI). Certainement une des conférences les plus originales de la journée. Sachant que des bogues existent au niveau des processeurs (on se rappelle du message de Theo de Radt à propos du Core 2 d'Intel), la conférence part de l'hypothèse d'un processeur piégé (contenant une backdoor aux niveau du traitement de certaines opcodes) et étudie les moyens de l'exploiter. L'activation de la backdoor consiste à placer le processeur dans un certain état via ses registres puis à appeler une opcode piégée (l'exemple donné était l'instruction salc, non documentée), pour par exemple exécuter du code arbitraire en Ring 0. Des exemples sont donnés concernant une élévation simple de Ring 3 à Ring 0. Dans le cas où un moniteur de machine virtuelle comme XEN est présent, l'exploitation est plus complexe.

Autopsie et observations in vivo d’un banker

Conférence présentée par Frédéric Charpentier et Yannick Hamon (XMCO). Est présentée ici une étude du troyen bancaire Torpig. Sont présentées l'architecture en termes de serveurs, puis les techniques utilisées pour la résilience (FQDN généré en fonction de la date, fast flux).

GenDbg : un débogueur générique

Conférence présentée par une équipe du CELAR. GenDBG est un projet interne de débogueur générique, c'est-à-dire non lié à l'architecture ou à l'OS (contrairement à RR0D par exemple, qui reste spécifique à x86). Son architecture est très modulaire, et permet par exemple de poser des points d'arrêts dans une machine virtuelle type Java ou .NET, avec une interface à la SoftICE. Une démonstration est donnée sur la machine virtuelle Visual Basic et son fameux P-Code.

Une nouvelle extension de domaine -.me, correspondant au Monténégro-, est disponible depuis quelques jours. L'extension est gérée par une joint-venture à vocation commerciale opérée par Affilias (gestionnaire des extensions .org et .info notamment) et GoDaddy (le plus important bureau d'enregistrement du monde avec près de 29 millions de domaines). L'extension est ainsi "marketée" selon le sens particulier qu'elle peut prendre dans la langue anglaise. Effectivement, l'extension pouvant être associée à un verbe (anglophone), les domaines ainsi formés sont facile à retenir pour les internautes : call.me, love.me, etc.

Le registre a cependant pris soin de réserver pour son utilisation personnelle ainsi que pour celle du gouvernement monténégrin 407 domaines. De plus, une deuxième liste de 2576 domaines "Premium" (sic) a également été produite. Le registre signale que ces domaines seront disponibles dans un second temps, selon les modalités qu'il souhaite.

Il n'est pas besoin d'être grand devin pour imaginer quelle solution a été retenue : il s'agira de rentabiliser au maximum ces domaines qui leur sont apparus comme les plus "profitables", en les mettant aux enchères. Ce procédé est d'ailleurs déjà utilisé dans les procédures de dépôts de domaine appelées "Sunrise" (période réservée pour les titulaires de marques) et "Landrush" (pour tout le monde et pendant 20 jours, à partir du 6 juin). La règle qui prévalait jusqu'alors du "first come, first serve" n'est donc pas conservée dans ce cas, puisque les domaines qui ont fait ou font l'objet de sollicitations par plus d'un demandeur seront en effet mis aux enchères. Autre spécificité, un enregistrement de domaine ne pourra avoir une durée inférieure à 2 ans.

Alors que ces domaines sont accessibles pour 50$ environ (soit déjà parmi les extensions les plus chères), les enchères commenceront elles à partir de 75$. Mais le registre va sans doute faire "monter" les enchères bien au-delà de ces montants pour les domaines "Premium" qu'il s'est réservé...

Après de nombreuses vagues d'attaques par injection SQL à l'encontre des serveurs Microsoft IIS utilisant ASP et SQL Server -la dernière en date ayant soufflé un vent de panique à cause de l'exploitation d'une vulnérabilité dans Adobe Flash (qui s'est finalement révélée ne pas être une 0-day)- les hackers chinois s'attaquent cette fois-ci au plus célèbre des frameworks de pen-testing.

C'est en effet vers un forum chinois sur lequel apparaissent des captures d'écran montrant un supposé "defacement" du site www.metasploit.com, que les visiteurs du dit-site étaient redirigés hier soir. Le pirate n'a pas cette fois-ci attaqué le serveur d'hébergement mutualisé, puisque Metasploit dispose de son propre serveur dédié.

Quelques investigations de la part de H D Moore, mainteneur du projet Metasploit et chercheur en sécurité informatique reconnu (ayant notamment récemment publié certaines clés ...), ont permis de déterminer qu'aucune compromission du serveur n'avait eu lieu.
Le pirate, disposant d'un serveur sur le même segment que celui hébergeant www.metasploit.com (l'histoire ne dit pas si ce serveur avait été compromis ou acquis légalement), n'a eu qu'à lancer une attaque de corruption de cache ARP entre le routeur et les différents serveurs du segment. Se plaçant ainsi en homme du milieu ("man in the middle"), celui-ci a pu aisément rediriger le trafic à destination des serveurs vers la destination de son choix.
L'incident a rapidement été corrigé par l'ajout de l'adresse MAC du routeur en statique dans la table ARP du serveur.

Même si les attaques contre le protocole ARP sont courantes et faciles à mettre en place, il est beaucoup plus commun de les voir appliquées sur le segment réseau de la machine client, plutôt que du côté du serveur. Espérons que les hébergeurs sauront mettre en place des solutions pour éviter à l'avenir ce type de désagrément.

"Le plus mauvais jour pour Debian". La vulnérabilité découverte par Luciano Bello dans le paquet openssl de Debian n'en finit pas de provoquer l'émoi au sein des utilisateurs de cette distribution GNU/Linux.

Tout est parti d'une bonne intention du mainteneur du paquet de vouloir supprimer certains messages d'avertissement émis par Valgrind. Rappelons que ce dernier est un débogueur utilisant la technique de traduction dynamique de code (QEMU utilise une technique similaire) afin d'intrumentaliser un binaire à des fins de recherche de fuites de mémoire ou de double "free". Dans le cas présent, c'est l'utilisation d'une zone mémoire non initialisée qui provoquait un message jugé gênant.

En mai 2006 a donc été appliqué le correctif suivant (qui ne deviendra effectif qu'en septembre de la même année car il avait été appliqué dans un autre fichier que celui entrant en jeu dans la compilation) :

• commentaire de la ligne MD_Update(&m,buf,j); dans la fonction ssleay_rand_bytes(). Cette fonction, utilisée généralement par l'intermédiaire de RAND_bytes(), extrait de l'entropie du "pool" pour la mettre dans un buffer, ici buf. Vis-à-vis de la fonction ssleay_rand_bytes(), ce buffer est utilisé en tant que buffer de sortie, donc cela n'a pas d'impact sur l'aléa du générateur.
• commentaire de la ligne MD_Update(&m,buf,j); (donc la même), cette fois-ci dans la fonction ssleay_rand_add(). Cette autre fonction, utilisée généralement par l'intermédiaire de RAND_add(), sert à ajouter de l'entropie au "pool", buf étant cette fois-ci utilisé en tant que buffer d'entrée. Comme il s'agit de la seule ligne de la fonction utilisant buf pour ajouter de l'entropie au "pool", l'aléa global du générateur en est réduit au simple PID du processus générant la clé.

Par défaut, la valeur maximale du PID sous Linux est 32768 (sysctl kernel.pid_max) et la numérotation commençant à 1 avec le processus init, cela laisse donc 32767 possibilités de clés par algorithme et par longueur sur un système donné. Autant dire très, très peu. Sont principalement impactées les clés SSH et SSL, mais aussi DNSSEC et OpenVPN, à partir du moment où elles ont été générées sur Debian (ou une distribution dérivée comme Ubuntu) avec la version vulnérable d'OpenSSL, donc depuis septembre 2006.

En plus de l'application de la version corrigée de la bibliothèque, toutes les clés devront être regénérées. Debian fournit différents outils afin de mener un "audit" des clés présentes sur un système dans le but de déterminer les clés compromises. Le problème ne saurait être pris à la légère puisque l'intégralité des clés faibles pour DSA-1024, ainsi que RSA-2048 et RSA-4096 a été publiée par H D Moore...

Et une mauvaise nouvelle n'arrivant jamais seule, cette mise à jour Debian corrige aussi deux autres vulnérabilités, dont une permettant l'exécution de code arbitraire datant d'octobre 2007... Une mise à jour à appliquer de toute urgence, donc.

Le deuxième mardi du mois amène comme d'habitude son lot de correctifs Microsoft. Tout comme en Mars, les vulnérabilités Office sont à la fête, puisqu'elles accaparent les 3 bulletins critiques. Le seul bulletin qualifié d'important est quant à lui dédié au moteur de protection antivirale inclus dans plusieurs produits Microsoft.

Voici le détail des vulnérabilités critiques :

MS08-026 : deux vulnérabilités de corruption de la mémoire permettant l'exécution de code arbitraire en faisant ouvrir des fichiers RTF ou HTML malveillants à sa victime dans Word (Réf. Lexsi 10127)

MS08-027 : vulnérabilité dans Publisher, permettant une corruption de la mémoire lors de l'ouverture d'un document malveillant (Réf. Lexsi 10126)

MS08-028 : vulnérabilité de type débordement de tampon dans le tas dans le composant Jet Engine Database de Windows, exploitable via un fichier MDB malveillant (Réf. Lexsi 9333)

Pour finir, voyons le bulletin important :

MS08-029 : deux vulnérabilités de type déni de service par corruption de la mémoire et occupation de l'espace disque lors de l'analyse de fichiers spécialement formés par le moteur de protection antivirale (Réf. Lexsi 10128)

Si la vulnérabilité MS08-028 semble familière, c'est parce qu'elle avait déjà été publiquement dévoilée par Microsoft en Mars dernier, alors qu'elle était exploitée "dans la nature".

Les vulnérabilités critiques de ce mois-ci nécessitent une interaction de l'utilisateur pour être exploitées, celui-ci devra donc être vigilant et ne pas ouvrir de documents dont il ne connait pas avec exactitude la provenance.