Spécial sécurité : savez-vous planter les trous, à la mode à la mode…
Aujourd'hui, nos confrères de CNIS, magazine spécialisé en sécurité des systèmes d'information, reviennent sur une nouvelle alerte aux DLL pièges. Avant de se pencher sur une faille du logiciel ColdFusion, minorée dans un premier temps par Adobe.
Sommaire
1 - Savez-vous planter les trous, à la mode à la mode…
2 - Le bug ColdFusion qui jette un froid chez Adobe
1) Savez-vous planter les trous, à la mode à la mode…
Across Security publie une série d’alertes débutant toutes par « plantation à distance de binaires dans xxx », xxx pouvant être n’importe quelle application accédant à un partage réseau – Lan ou Wan. Deux exemples sont donnés, utilisant les VMware tool et iTunes. Le principe de fonctionnement semble simple : il suffit d’adjoindre à un fichier multimédia servant d’appât, une DLL-piège utilisant un nom très particulier. Cela n’est pas sans rappeler la méthode régissant l’ordre de priorité de lecture des DLL par le noyau Windows lorsque celles-ci ne sont pas stockées dans le répertoire System32. Tout comme dans l’affaire de la faille .LNK, les mesures de contournement sont radicales et les experts conseillent de désactiver les ports liés à SMB (445, 139… mais qui donc ne l’a pas déjà fait ?) ainsi que WebDAV, ce qui ne sera pas apprécié par toutes les applications. Depuis le début de la période estivale, l’enfer semble toujours pavé de DL-Hell.
2) Le bug ColdFusion qui jette un froid chez Adobe
Alors, dangereux ou pas dangereux ? Selon Adobe, cette faille affectant Coldfusion était « importante mais pas critique », rustine à appliquer donc, mais sans alarmisme de mauvais aloi. Pourquoi « seulement » importante ? Car, de l’avis du Response Team d’Adobe, toute exploitation à distance était fort improbable. Opinion que contestent plusieurs chercheurs, à commencer par les inventeurs eux-mêmes, qui se fendent d’un communiqué plus qu’alarmiste. C’est un véritable désastre, estiment les chercheurs de la société Britannique ProCheckup. Le correctif Adobe corrige effectivement les dernières versions (8 et 9) de Coldfusion, mais le trou reste béant sur les versions 5 à 7, encore largement exploitées. Le nombre de sites vulnérables dépasserait la dizaine de milliers. Ce danger peut être écarté en interdisant l’accès au répertoire d’administration, précise le rédacteur du blog de ProCheckup.
Adrian Pastor, de Gnu Citizen, abonde dans le sens de Richard Brain, le patron de l’entreprise britannique susmentionnée et, pour prouver la dangerosité potentielle de cette faille, signale l’existence d’un exploit rendu public sur exploit-db. Auteur anonyme, mais menace bien identifiée. Depuis, Adobe est revenu sur sa position et reconnaît que le trou CVE-2010-2861 est bien exploitable à distance.