Spécial sécurité : Mini-mardi des rustines
Depuis le début du mois d’août, LeMagIT vous propose de découvrir en avant-première des extraits de CNIS Mag, service d’informations en ligne sur la sécurité des systèmes d’information qui ouvrira en septembre.
Sommaire
- 1 - Mini-mardi des rustines
- 2 - HyperV : retards comblés pour 2008 R2
- 3 - Quicktime, 9 d’un coup !
- 4 - Nippons hachés
- 5 - http-cible et babel web
- 6 - Excès d’XSS
- 7 - Maiffret chez Digitrust, Blanchard chez Dr Web
- 8 - Kevin Finisterre met de l’eau dans le gaz américain
- 9 - Chrome malin
Mini-mardi des rustines
Il ne fera probablement pas date, ce Patch Tuesday de septembre 2008. 4 bulletins, pas un de plus, et exceptionnellement pas le moindre « I.E. cumulative ». Une vulnérabilité dans la gestion des URI sous OneNote, hautement critique mais peu encline à inspirer les auteurs de malware, compte tenu de l’importance très relative du logiciel affecté. Un patch attendu du Media Encoder 9, un autre destiné à Media Player 11, bref, jusqu’à présent, pas de quoi inquiéter tout ce qui touche à l’informatique d’entreprise.
La dernière faille, MS08-052, pose en revanche plusieurs problèmes (http://www.microsoft.com/technet/security/bulletin/ms08-052.mspx). Elle est du bois dont on peut faire de belles flèches empoisonnées. Tout d’abord parce qu’elle fait partie de la famille des correctifs cumulatifs complexes et qu’elle touche un composant vital du noyau –il s’agit d’une série de failles GDI- et que la liste des programmes affectés est longue comme un jour sans pain. A l’heure où nous rédigeons ces lignes, il n’existe pas d’exploit « officiellement » répertorié s’attaquant à l’un de ces défauts. Ni sur Milw0rm, ni sur l’un de ses proches cousins white hat. Les seuls bulletins publiés à ce sujet en dehors du monde Microsoft relèvent de la sphère iDefense ou ZDI, et ne laissent par conséquent filtrer aucun renseignement supplémentaire. Les tests de non-régression peuvent donc être envisagés avec une certaine sérénité.
Et ce ne sera pas du luxe. Cette rustine n’est pas, dans le cadre d’un déploiement d’envergure, particulièrement simple à appliquer. Car elle peut tout aussi bien colmater une faille système ou un trou situé dans une application. L’on risque donc de devoir prévoir des mises à jour multiples, en plusieurs « passes ». Bill Sisk, dans son désormais traditionnel billet « post-patch », insiste particulièrement sur l’éventuelle complexité du déploiement. « I encourage you to review the bulletin carefully, since there are other considerations to keep in mind when planning your deployment strategy » insiste-t-il. Ce genre d’insistance est assez rare pour que l’on en tienne doublement compte.
HyperV : retards comblés pour 2008 R2
Plusieurs blogs et témoignages relatent une déclaration de Bob Muglia, déclaration qui concernent les retards de certaines parties de l’hyperviseur intégré dans 2008 Server. Selon le VP de la division Serveur, le Live Migration d’HyperV ne verra pas le jour avant la sortie, prévue en 2010, de Windows Server 2008 « R2 ». Live Migration est le concurrent potentiel du VMotion de VMWare, programme qui permet de déplacer une VM en cours d’exécution d’un serveur physique à un autre. C’est donc un élément stratégique pour toute DSI cherchant à assurer soit une continuité de service reposant sur une architecture virtualisée, soit un équilibrage de charge dynamique dans le cadre d’un centre de traitement.
D’ici là, on peut être certain que VMWare saura mettre à profit cette période de flottement pour conforter ou accroître son avance technique.
Quicktime, 9 d’un coup !
C’est principalement le ZDI qui est à l’origine de ces découvertes de failles : au total, Apple corrige 9 trous dans Quicktime, versions touchant indifféremment les éditions Windows et OS/X. Certaines exploitations peuvent exceptionnellement conduire à une exécution de code à distance, la plupart ne pourrait, estime l’éditeur, que conduire à un déni de service.
Signalons au passage que la précédente fournée de correctifs Quicktime fait l’objet d’un commentaire composé sur GNU Citizen, sous la plume de PdP. Ce papier constitue à priori le premier volet d’une série, une suite abordant les conséquences de l’attaque décrite devant être publiée avant la fin de cette semaine.
Nippons hachés
Avalanche de documentation sur les bureaux des RSSI. Avec notamment cette étude très détaillée d’Akamai intitulée sans modestie aucune « l’Etat d’Internet » (enregistrement préalable obligatoire). Un document de 25 pages consacré principalement à la volumétrie des activités et des équipements, vu sous l’œil des sondes et des serveurs cache de l’entreprise. Un tableau parfois étonnant, où l’on apprend notamment que le japon, peu souvent cité dans les rapports de sinistralité, totalise « 30% du total du trafic mondial véhiculant des attaques ». Et par attaque, les auteurs du rapport entendent déni de service distribué, assaut contre les serveurs Web et détournement de DNS principalement. Derrière le Japon, arrivent les Etats Unis (qui essuient 21 % des agressions) puis la Chine, loin derrière les Nippons, avec 17% des offensives cybermafieuses. La France ne représente que 2% de cette triste comptabilité, étonnamment devant la Grande Bretagne (1,6%), l’Italie (1,2%) et l’Espagne 1,6%), mais nettement derrière l’Allemagne (5,6%).
Moins sinistres, les chiffres concernant le nombre d’adresses IP uniques per capita : 0,33 au Danemark, 0,36 en Finlande, 0,37 en Islande… les pays tels que la France, l’Allemagne, la Belgique, l’Espagne, oscillent entre 0,21 et 0,29. La Chine, avec un pauvre 0,03%, compte tout de même 34 millions d’adresses uniques.
Mêmes écarts dans la répartition des infrastructures haut débit… Dans les pays nordiques, entre 13 et 32% (Suède) des connectés à Internet bénéficient de lignes à plus de 5 Mb/s (6,2% en France, 10% en Allemagne). D’autres pays de la zone Euro ont beaucoup de mal à décoller. Ainsi la Grèce, avec plus de 63 % de la population « branchée » qui se traîne en dessous de 256 Kb/s.
http-cible et babel web
Quittons le monde des flux pour retrouver celui des « fast flux », avec ce très intéressant travail de compilation patiemment effectué par le Web Applications Security Consortium. Il s’agit là de la réunion des statistiques portant uniquement sur les attaques d’applications Web, réalisées mois après mois par des opérateurs, des entreprises spécialisées dans la surveillance de trafic, des prestataires de services de sécurité hébergés… on y retrouve les noms de British Telecom, Booz Allen Hamilton, Hewlett Packard, Veracode…. Et le « top ten » des nuisances arrive sans surprise : en premier, les XSS, ou Cross Site Scripting, avec 41% des failles détectées in vivo. En second, les fuites d’information potentielles, avec 30 % des résultats de tests. Loin derrière (aux environs de 8 à 9%), les injections SQL, les ressources prévisibles… Il est important de remarquer l’écart qui existe entre le nombre de failles officiellement répertoriées et celles réellement détectées dans la « vraie vie ». Dans certains cas, tels les XSS, l’on peut constater une certaine proportionnalité. Dans le cas des problèmes d’authentification, de localisation de ressources, de spoofing de contenu, l’on rencontre une proportion de sites vulnérables plus importante que le nombre de vulnérabilités répertoriées. La faute au manque de médiatisation relative à ces défauts ? La faute à l’uniformité des équipements ?
Nous ne refermerons pas ce chapitre sur les attaques Web sans revenir une fois de plus sur la taxinomie des principales menaces Web dressée par l’Owasp, récemment traduite en Français, inventaire accompagné d’un certain nombre de bonnes pratiques que tout administrateur de site devrait lire avec attention.
Excès d’XSS
Encore de l’attaque Web. Mais côté client cette fois. Car si les statistiques donnent souvent la part belle aux dangers que risquent les professionnels, il serait fort peu sage d’oublier que les malversations qui visent le poste client via des serveurs Web vulnérables (les fameuses attaques XSS, ou Cross Site Scripting) totalisent plus de 70 % des actions cyberdélinquantes dans le monde.
Vient donc s’ajouter à la bibliothèque de l’honnête homme sécurité le blog de Christian Seifert, qui nous offre cette semaine deux articles nécessaires. Le premier recense tout ce qui s’est publié ces derniers temps en matière de « rapports de sinistralité » chez les différents éditeurs du domaine. Les Sophos, Fijan, ScanSafe, Microsoft, McAfee, Websense… voilà qui évite de partir à la pêche aux URL au petit-bonheur. L’autre article « Types of Web-Based Client-Side Attacks », bien plus profond et pertinent, décrit simplement comment se déroulent généralement les intrusions côté client, ainsi que leurs impacts en terme de confidentialité, de disponibilité et d’intégrité.
Fermons le ban en signalant la mise à disposition par son auteur de CookieMonster, un outil facilitant, comme son nom l’indique, le vol de cookies tel qu’il a été récemment popularisé dans le hack des sessions Gmail. « J’insiste sur le fait que, contrairement à ce qui a été raconté dans la presse, mon kit n’est absolument pas spécialisé dans les attaques Gmail » insiste le chercheur Mike Perry. Faisant suite à sa présentation DefCon consacrée au détournement de cookies dans le cadre d’une session https, il nous offre le résultat édifiant des sites qu’il pense vulnérables à ce genre d’attaque. United, Expédia, US Airways, Bank of America, Discover Card, les Apple Store en ligne, eBay, Google Search et Blogger… il n’y a pas de quoi dormir tranquille.
Maiffret chez Digitrust, Blanchard chez Dr Web
Deux Marc, que l’on croyait indéboulonnables dans leurs fonctions, viennent brusquement de quitter leurs pénates. En France, c’est Marc Blanchard, le « virus Doctor » qui, jusqu’à présent, œuvrait pour le compte de Kaspersky, et qui vient de rejoindre un concurrent direct : Dr Web, « l’autre » éditeur Russe de solutions antivirus. Le communiqué officiel ou le blog de l’intéressé se ressemblent comme deux gouttes d’eau.
L’autre Marc, Maiffret, le CTO et la conscience de eEye, a également décidé de cultiver un autre jardin. Désormais, ce sera celui de DigiTrust, entreprise dans laquelle il devrait s’attacher au développement des services managés (externalisation de la sécurité). C’est Paul Roberts qui, le premier, a publié cette information.
Kevin Finisterre met de l’eau dans le gaz américain
Pas de panique, mais une certaine inquiétude dans les infrastructures SCADA des gaziers américains, depuis que Kevin Finistère a publié un exploit destiné à la plateforme de pentest Metasploit, et visant CitectSCADA, logiciel de contrôle de processus utilisé dans les infrastructures stratégiques du secteur de l’énergie (usines à gaz, raffineries etc).
Cette publication, si l’on se réfère à l’explication donnée par Kevin Finisterre, serait essentiellement motivée par l’attitude de Citect, l’éditeur, qui minimise l’importance des travaux du chercheur en sécurité. Citect rassure ses clients en affirmant qu’il ne peut existe le moindre danger, les programmes Scada étant, d’une part, isolés des réseaux de communication public par des couches de firewalls, et d’autre part soumis à des règles architecturales rendant l’accès à ces programmes pratiquement impossible.
Ce à quoi Finistère rétorque en substance « c’est là de la sécurité par obscurantisme. Ce buffer overflow peut très bien être exploité par un employé aigri ». On se souvient comment un ingénieur informaticien avait, cet été, pris en otage les fichiers administratifs de la ville de Los Angeles. La position de Finisterre est bien plus plausible que celle de Citect, même si certains peuvent juger sa réaction un peu excessive.
A remarquer cette sentence finale qui clôt la publication de l’exploit : « If you outlaw SCADA exploits, only outlaws will have SCADA exploits » : Si vous rendez hors la loi cet exploit SCADA, seul les hors la loi utiliseront cet exploit SCADA. Un plaidoyer en faveur d’une divulgation responsable et entière des failles de sécurité critiques, qui avait déjà mis Kevin Finisterre sur le devant de la scène il y a quelques temps, lors de l’inoubliable « Month of Apple Bug », en compagnie de LMH.
Chrome malin
Après le lancement de Chrome, et une fois retombée l’euphorie de la nouveauté, les réactions publiques sont de plus en plus mitigées. Le « gentil open source » d’hier s’efface devant le « géant hégémoniste Google qui ne vaut pas plus cher que Microsoft ». Le superbe navigateur se transforme en une chausse-trape mortelle pour qui s’intéresse, tel Bruno Kerouanton, aux détails de son contrat de licence. Et depuis que l’appel au peuple chasseur de bugs a été lancé, la liste Full Disclosure ou le serveur MillwOrm sont constellés d’exploits, de bulletins, de découvertes et de remarques concernant la stabilité de la préversion. Ca va en faire, des manchettes sur l’éclat du Chrome qui se ternit et autres traits d’humour douteux.
Cette vague de défiance a de fortes chances de retomber aussi brusquement que la précédente. Après tout, qui peut donc bien s’émouvoir d’une Eula que l’on parcoure d’un derrière distrait ou d’une faille qui montre à quel point tous les navigateurs se ressemblent. Querelles d’experts, effets de manche de quelques happy few… Chez Google, on tente de retourner la situation à l’avantage du programme, et l’on sort un blog. Même si le contenu ressemble plus à un long lamentoso de bulletins de sécurité qu’aux cogitations profondes d’une équipe de gourous prêts à changer la face du monde Internet.