Spécial sécurité : 28 cadeaux sous l'arbre à rustines de Microsoft
Régulièrement, LeMagIT ouvre ses colonnes à ses partenaires de CNIS Mag, magazine sur la sécurité des systèmes d’information. Dans cette édition, nos confrères détaillent les livraisons du dernier mardi de la rustine (patch tuesday) de Microsoft. 28 patchs, pas moins : un joli cadeau de Noël pour les RSSI.
Sommaire
- 1 - Les 28 derniers trous de l’année… ou presque
- 2 - Firefox : petit trou et développements subversifs...
- 3 - …et Google, développements préventifs contre les trous
1) Les 28 derniers trous de l’année… ou presque
Conformément aux annonces de la semaine passée, le dernier « Patch Tuesday » de l’année est pléthorique : 8 bulletins concernant aussi bien les noyaux Windows qu’Internet Explorer, les outils de développement ou les outils serveurs, pour un total de 28 failles détectées. Comme il est de coutume, la liste complète des correctifs est dressée sur le blog du MSRC. Parallèlement à cette annonce, un très long article détaille le fonctionnement et les travaux (MS08-075) effectués sur trois composants appartenant à Windows Media (Windows Media Player, Windows Media Format Runtime et Windows Media Services). La faille MS08-075 – un défaut du Windows Explorer sous Vista et 2008 - a également droit à une revue de détail. Bill Sisk, dans son désormais traditionnel papier publié dans les colonnes de Security News, détaille tous les correctifs en insistant particulièrement sur la MS08-070. Dame, il s’agit là d’un contrôle ActiveX lié au RunTime de Visual Basic 6.0. Or, une faille dans un outil de développement n’affecte pas seulement l’éditeur de l’outil, mais tous les programmes ayant utilisé le langage et les bibliothèques concernées. Plus préoccupant encore, sur les deux trous de sécurité colmatés par cette rustine, l’un d’entre eux est connu et rendu public depuis août 2008, ce qui déclenche, dans l’équipe du Sans, une alerte rouge vif accompagnée d’un tonitruant « Patch NOW ! ». Notons également que – la chose n’était pas arrivée depuis longtemps - tous les bulletins de ce mois sont qualifiés de « critiques », tous les bulletins du mois sont susceptibles d’être exploités à distance ou peuvent déboucher sur une compromission importante. Officiellement, exception faite de la « faille VB », aucun autre exploit n’est disponible sur le marché underground.
Reste que ce genre d’affirmation est assez peu significatif. Non seulement parce que les capacités des auteurs de malwares en terme de reverse engineering s’améliorent de mois en mois et de correctif en correctif, mais également parce que la « normalisation du silence par menaces procédurières » a totalement pacifié, ou presque, le monde de la recherche. Rarissimes sont les « chasseurs de faille » professionnels qui osent publier quoi que ce soit sous leur nom propre, de crainte de s’attirer les foudres des éditeurs en général et de leurs avocats en particulier. Une situation qui favorise à loisir le travail des « black hats » et organisations mafieuses, lesquelles préfèrent travailler en silence et voient d’un mauvais œil ces publications « sauvages » qui risquent de réduire à néant les secrets de fabrication de leurs infections. Ce mois-ci, un rapide coup d’œil sur les messages du Full Disclosure montre que les failles liées aux bulletins MS08-0 83, 84, 85, 86 et 87 sont le fait de chercheurs « masqués » derrière le « Zero Day initiative ». 08-071 et 73 sont revendiquées par iDefense, et 08-072 - 74 le sont par Secunia.
Notons que le flux de ce mois compte un nombre important de défauts touchant les produits bureautiques Office, notamment Excel et Word. Généralement, lorsque des failles de ce type sont découvertes, il ne s’écoule pas un mois avant de voir fleurir quelqu’exploit tirant parti de cette faiblesse.
Bouclons ce lot de bouchons avec un dernier bulletin « hors alerte », portant l’immatriculation Technet Security Advisory 960906, qui concerne le convertisseur de texte de Wordpad vers le format Word 97 sous Windows 2000, XP et 2003. Les mesures de protection conseillées par Microsoft sont assez lapidaires : utilisez un firewall et, en cas d’attaque, appelez le FBI. Espérons que le planton de service de Penn Avenue, à Washington, parlera couramment le patois basque ou savoyard.
Le traditionnel ZDE de jour de rustine arrive, cette fois-ci, à pied par la Chine. Il s’agit d’un troyen exploitant un problème de gestion des tags XML dans I.E. 7.x. La lecture de cette alerte par des non sinologues peut suivre deux chemins. Soit par l’utilisation d’un outil de traduction automatique, méthode relativement pénible et hermétique utilisée par Evil Fingers, soit par la lecture de l’Avert blog de McAfee. Dans les deux cas, cela nous promet d’intéressantes fêtes de fin d’année.
2) Firefox : petit trou et développements subversifs…
Disons-le fort et clair, ce n’est pas la fin du monde Mozilla. Tout au plus un sujet de préoccupation qu’il serait inconscient de négliger. En début de semaine, les chercheurs du labo de Bit Defender sont tombés sur un « add-on » de Firefox camouflant un programme de vol de mots de passe. Il est très intéressant de noter, dans les détails suivant l’analyse du malware, que ce sont essentiellement les banques européennes qui sont particulièrement visées par ce logiciel-espion.
Cette forme d’attaque fait philosopher GNUCitizen, pour qui l’idée du développement d’un add-on faisandé n’est pas nouvelle. Ces presque-systèmes d’exploitation que deviennent les navigateurs, cet empilement de langages, d’interprètes de commandes et d’accessoires divers – dont la plus grande partie provient de tierces parties -, rend quasi impossible le contrôle de l’ensemble d’un Firefox, d’un Chrome et programmes assimilés. Qu’un add-on prétende remplir une fonction miracle, et l’usager se fera prendre à ce miroir aux alouettes. Et, contre ce genre d’attaque en ingénierie sociale, la Fondation n’y peut rien.
L’une des meilleures preuves qui vienne étayer cette thèse est cette petite bombe médiatique lancée par les étudiants en communication de la Kooning Academy Hogeschool de Rotterdam. Lesquels ont annoncé la disponibilité d’une extension Firefox pouvant indiquer à tout internaute parcourant le catalogue de musique d’Amazon si le morceau en question est ou non disponible sur l’un des principaux sites d’échange P2P dans le monde. Ainsi, sur la page Bach : toccata et fugue en ré mineur BWV 565 par Marie-Claire Alain, disponible au prix de 15 euros, apparaîtrait un bouton « Download on Pirate’s Bay Now for Free ! ». Bien entendu, les avocats d’Amazon ont réagi plus vite que leur ombre, et les étudiants ont transformé leur bombe médiatique en « parodie du système de diffusion de contenu sur Internet ». Une rectification qui, subtilement, les met à l’abri de toute poursuite pour incitation au piratage : certaines lois américaines protègent la liberté de brocarder.
Mais parodie ou pas, cet exemple – ainsi que la publicité qui en a été faite -, prouve que n’importe quel add-on peut conquérir le public. Toutes les précautions que pourront déployer les concepteurs de logiciels seront vaines dès lors que les attaques reposeront sur des leviers plus psychologiques que techniques.
3) …et Google, développements préventifs contre les trous
Pendant ce temps, Google lance l’opération Native Client, une technologie (une émulation/virtualisation ?) capable d’exécuter un code natif X86 confiné dans le cadre étroit d’un navigateur… quelle que soit la plateforme. Du http « niveau 7 » en quelque sorte, qui risque de faire dresser les cheveux sur la tête de plus d’un administrateur de firewall. C’est d’ailleurs pour couper court à toute spéculation catastrophique que Google lance un appel à l’aide et offre cet outil aux développeurs et responsables sécurité souhaitant le tester.
La technique, insistent les ingénieurs de Google, est avant tout une mesure de sécurité, car l’exécution du programme s’effectue dans une véritable sandbox, totalement isolée du noyau du système hôte. Souvenons-nous que c’est avec ces mêmes mots que les gourous de Sun ont présenté, à l’époque, le monde merveilleux de Java. Gardons à l’esprit que Google, ennemi juré de Microsoft, est affecté d’un handicap certain par rapport à son adversaire : l’absence de système d’exploitation à son catalogue. Native Client pourrait bien n’être que la première pierre d’un édifice capable de concurrencer Windows. Depuis plusieurs mois d’ailleurs, d’incessantes rumeurs font état de développements secrets conduits par les équipes d’Eric Schmidt. Native Client est également une réponse ou un contre-feu partiel à Softgrid (Microsoft Application Virtualization) ou à VDI (Virtual Desktop Infrastructure) de VMWare, voire aux produits de Citrix.