Special sécurité : Microsoft, le quarté du mois
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, actualités du secteur et éclaircissement du Patch Tuesday.
Sommaire :
Microsoft, le quarté du mois
Hacktualités diverses
1 - Microsoft, le quarté du mois
Pas de « bug surprise » ni d’amplification de dangerosité : le « patch Tuesday » de Microsoft s’est déroulé comme prévu, avec ses 4 « bouchons » dont deux qualifiés de critique, colmatant 8 failles au total. Soit, dans l’ordre, deux failles colmatées dans IE 7 à l’aide de la MS09-002, une paire de trous dans Exchange bouchés grâce à la 09-003, un risque d’exploitation distante de SQL Server –mais exigeant une authentification-, et un risque d’exploitation distante passant par une inconsistance Visio. A noter que la vulnérabilité SQL Server a fait l’objet d’un exploit rendu public et que le patch Visio « annule et remplace » le bulletin MS08-019.
2 - Hacktualités diverses
Backtrack Beta, quatrième édition en « préversion publique » : cet outil de pentest voit ses « extensions wireless » sérieusement améliorées. Si cet outil fait partie de toute panoplie de bon hacker ou RSSI qui se respecte, il devrait également être intégré dans la moindre trousse de secours de responsable réseau ou maintenicien logiciel. De la récupération des mots de passe perdus à celle des données bloquées sur un volume NTFS malade, backtrack fait tout, ou presque.
Il y en aura beaucoup, des utilisateurs de Backtrack, à la prochaine Defcon. Une Defcon qui, comme de tradition, se déroulera entre le 31 juillet et le 2 août prochain à Las Vegas. Pour préparer cet événement, les organisateurs lancent leur traditionnel « call for paper », l’occasion pour les Kaminsky, Lichtfield et autres Cerudo de faire leur show et de nous esbaudir les oreilles d’avec d’effrayantes histoires de fin du monde Internet.
Dans les allées de la Defcon, il sera recommandé d’éteindre son téléphone portable. Non pas pour éviter que l’orateur soit perturbé par d’intempestives sonneries, mais surtout parce que Thierry Zoller annonce la disponibilité de la version finale de son BTCrack 1.1, le programme d’attaque en bruteforce des liaisons Bluetooth (PIN, Passkey et Link key). Tout ce qu’il faut pour établir une liaison sans que la victime s’en aperçoive, sans que l’appairage entre les deux appareils soit nécessaire, et sans se soucier d’autres contraintes protocolaires pour s’attaquer au déchiffrement des données transmises. Le programme est disponible en téléchargement sur le site de l’auteur –que voilà un excellent complément à Backtrack- et est accompagné d’une série de transparents résumant ces travaux –les non-germanisants devront se contenter des images-.
Superbe hack, enfin, de la part de Joanna Rutkowska qui, sur son blog, nous offre la capture d’écran d’une machine dans une machine dans une machine… plus exactement d’un Vista dans une VM Xen, lequel Vista exécute Virtual PC… et les deux moteurs de virtualisation font appel aux instructions VT-x du processeur Intel. Un Xen « normal » est totalement hermétique et lui seul peut utiliser lesdites instructions de virtualisation Intel. Las, ce hack demeurera probablement sans suite officiellement divulguée, puisque ledit travail a été effectué pour le compte d’un client.
A hacker hacker et demi, avec la « suite et fin » de l’affaire du hack Kaspersky dans les colonnes de Security New. Après une période de flottement bien compréhensible, la direction US du groupe s’est ressaisie et admet les faits avec une honorable franchise. « This is not a good for any company, especially a company that deals with security. This should not have happened and now we're doing everything in our power to do forensics in this case and prevent it from ever happening again », déclare Roel Schouwenberg, l’un des chercheurs de l’équipe. En ces temps de tentative de « banalisation des hacks », un tel mea culpa méritait d’être signalé.
Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)
-
MongoDB : des bases de données mal sécurisées prises en otage
-
Identifier et prévenir les vulnérabilités des routeurs, commutateurs et pare-feu
-
Spécial sécurité / ENISA : les risques et dangers ne se succèdent pas, ils s’additionnent
-
Spécial sécurité - Hack du FMI : impressionnant rapport signal sur bruit