Spécial sécurité : le loup croque IE, c'est la semaine du renard
Régulièrement, LeMagIT ouvre ses colonnes à ses partenaires de CNIS Mag, magazine sur la sécurité des systèmes d’information. Dans cette édition, nos confrères reviennent sur l'exploitation rapide de la faille affectant Internet Explorer. Et crient au loup !
Sommaire
- 1 - Cette semaine, utilisons Firefox !
- 2 - Window : bye bye Mozilla
1. Cette semaine, utilisons Firefox !
Il pleut du ZDE comme il neige en Savoie : par brassées entières. Comme annoncé lors du précédent article de CNIS consacré au « Patch Tuesday » Microsoft, l’exploit Zero Day Chinois est sur le point de devenir international. Revue de détail des vecteurs de développement et d’information.
Prélude à l’après-midi d’un fauve du code : tout commence par le papier de Cedric Pernet qui, dans la journée du 10, s’était déjà lancé dans l’analyse du Shell Code de l’exploit. Sans surprise, son conseil tient en deux mots : « utilisez de préférence un navigateur autre qu'Internet Explorer 7, le temps que la rustine de Microsoft soit prête ! ». Voilà qui tombe à merveille, Firefox entame la seconde phase de sa Beta 3.1, laquelle bénéficie d’une amnésie paramétrable des sites visités. Cet historique des sites était à la fois une menace sérieuse pour la sécurité et une atteinte permanente à la vie privée des internautes.
Episode 2 : l’Empire du Milieu contre-attaque : En parcourant Milw0rm d’un mulot distrait, l’on découvre que quelques idées se propagent. Attention, la dernière url contient un authentique JS.Shellcode.gen réellement dangereux.
Il est Minuit, docteur Zoller. Le chercheur Luxembourgeois publie une synthèse succincte mais très complète de la situation : articles, codes, analyses, exploits. Il signale notamment l’article très fouillé signé par H.D. Moore. Rappelons que Moore est l’initiateur du « month of browser bugs » et père de Metasploit, l’outil open source de pentest.
Pendant ce temps, à Moulinsart : Bill Sisk réagit in-petto et publie un billet inquiet sur le blog du MSRC et signale l’existence d’une nouvelle entrée dans les fiches sécurité du Technet. La nouvelle alerte portera le numéro 961051. Action suggérée : protégez votre ordinateur. Voilà qui est étrangement différent des conseils de Cedric Pernet. Pour le reste, les recommandations sont habituelles : régler le niveau de protection des zones « internet » et « sécurité » au niveau le plus élevé, désactivez l’Active Scripting…
SANS a peur, SANS reproche : le quotidien du Sans n’en finit plus de publier des addenda sur le sujet. L’auteur des lignes, Bojan Zdrnja, fera une longue carrière dans la diplomatie. Suivre les conseils de Microsoft ou changer de navigateur ? Bien que proposant les deux solutions, il ne se prononce pas franchement. Ignace de Loyola ou Pierre Favre n’auraient pas fait mieux.
ShadowServer fait de l’ombre : alors que tous les auteurs susnommés se sont appliqués à « flouter » leurs captures d’écran afin que les adresses des sites infectés et/ou attaquants ne soient pas publiées, voilà que ShadowServer joue les Dancho Danchev et dresse une liste impressionnante des sites d’exploitation. Un simple coup d’œil sur les noms de domaine et sur les netblocs Chinois montre qu’il s’agit là d’une opération très organisée.
Les coulisses de l’histoire : nos confrères de Network World reviennent sur le passé de l’exploit. Un exploit dont la « fuite » provoquée par KnownSec aurait été totalement involontaire, mais qui faisait déjà l’objet de tractations et d’enchères depuis le mois dernier. Le ZDE I.E. 7.0 se serait déjà négocié à plus de 15 000 $ US. Ce petit « détail » de l’histoire renvoie en fond de court les protestations spécieuses des « anti-divulgations » et prouve une fois de plus l’importance d’une information libre et rapide. En commettant cette « bévue », KnownSec a désamorcé une bombe que comptaient employer des gens peu scrupuleux. Certes, une concertation intelligente avec l’éditeur aurait été préférable… ne serait-ce que pour bénéficier d’un correctif le jour de la divulgation. Mais nécessité fait loi.
Question Rouge et Banco : certains témoins affirment avoir vu passer d’autres types d’attaques utilisant ce même exploit. Et notamment accompagnées de quelques injections SQL. Combien de temps faudra-t-il pour que ce ZDE originellement cantonné à Canton devienne, en nos contrées, une arme contondante ? Enfin, question que personne n’ose soulever : combien de temps devra-t-on attendre pour que Microsoft publie son dernier « out of cycle patch » de l’année 2008 ?
La très séduisante Window Snyder, patronne sécurité de la Mozilla Foundation, vient d’annoncer son départ « pour des terres qu’elle a toujours chéri ». Ex-Director of Security Architecture chez @stake (anciennement L0pht Heavy Industries), puis Senior Security Strategist chez Microsoft, elle retrouve l’équipe du @stake qui, après l’OPA de Symantec, se transforme en Matasano. Elle devient CSSOO (Chief Security Something-Or-Other) de la MoFo fin 2006. Elle partage, avec Bruce Schneier, une passion immodérée pour le bon sens appliqué à la sécurité informatique ainsi que pour la vie des poulpes, qu’elle commente parfois au fil de son blog www.dec.net. Ceci n’a probablement pas de rapport avec cela, mais l’on est, depuis plus de deux mois, sans nouvelle du Blog de Matasano. L’actualité sécurité sans les commentaires de Jimmy Rauch, sans les billets acidulés de Thomas Ptacek et Joel Snyder attaquant Joanna Rutkowska, ce n’est plus tout à fait l’actualité sécurité.