Bug DLL : paternités multiples, descendance pléthorique

Actualités - Alerte - Posté on 25 Août 2010 at 3:48 par cnis-mag

Pour l’heure, il existerait plus de 200 applications touchées par la faille « détournement de DLL » médiatisée notamment par les Slovènes de la société Acros Security en début de semaine passée. Une faille qui, selon l’analyse experte de Thierry Zoller, aurait de très nets liens de parenté avec celle découverte au même moment par H.D. Moore… lequel H.D.Moore publie dans la foulée un kit d’exploitation pour Metasploit baptisé DLLHijackAuditKit v2. Mais, nous explique Thierry Zoller, il se pourrait bien que le véritable inventeur de la faille soit Georgi Guninski en 2000. Voilà un trou qui fera parler de lui, estime le chercheur Luxembourgeois, qui avec humour baptise cette faille « CVE-2010-x+n ».

Chez McAfee, l’origine du bug n’est pas propre au monde Windows. Pour Geok Meng Ong de l’Avert, il faut remonter à 2003 pour rencontrer un défaut similaire dans des noyaux Red Hat et Gento. La suite de l’article explique d’une manière excessivement simple comment un exécutable peut appeler une bibliothèque dynamique située sur une ressource distante. Rappelons qu’une partie du problème avait déjà été évoquée en juillet dernier par Nick Harbour… Le trou DLL-Hell, comme beaucoup d’autres, possède de multiples paternités.

Bojan Zdrnja du Sans revient lui aussi sur ce détournement de DLL, et explique également la « logique » qui préside l’ordre de recherche de ladite bibliothèque lorsqu’une requête est lancée par un exécutable.

Chez Microsoft, outre une alerte référencée 2269637, Christopher Budd y va de son billet sur le blog du MSRC. Un billet qui débute par une tentative de disculpation : responsable mais pas coupable. « This is different from other Microsoft Security Advisories because it’s not talking about specific vulnerabilities in Microsoft products ». Une attitude strictement comparable avait été observée lors de l’apparition des premières fausses urls exploitant les extensions .COM ou les attachements utilisant une extension .PIF (toutes deux acceptées par l’interprète de commande). « C’est une caractéristique héritée, nous n’avions aucune raison de modifier le comportement du noyau ». Une attitude que confirme un billet de Marisa Fagan sur le blog d’Errata Security, qui rappelle qu’en 2009, Aviv Raff avait déjà alerté la cellule sécurité de Redmond. Laquelle avait répondu : « it would be very problematic to fix the whole thing, and would break a lot of third-party Windows applications ». L’excuse du « trop de travail pour corriger çà », avait également été avancée à propos des fichiers .COM et .PIF qui fonctionnaient dans une boîte DOS. Voilà qui rappelle la position du Haut Commandement de l’armée Française à propos de la conservation des pantalons garance chez les fantassins de 1914. Lorsque la force de la tradition transforme chaque soldat –ou chaque exécutable- en cible visible par le plus mauvais tireur ennemi, il est peut-être temps de trouver une parade, et non de fuir les responsabilités sous prétexte de tradition ou de respect des coutumes ancestrales. Le niveau d’exploitation semble tellement simple que déjà de nombreuses attaques recensées « dans la nature » visent des programmes de la gamme Office, Windows Mail, des programmes d’échange P2P…

Pour l’heure, la consigne se limite toujours à bloquer les requêtes WebDAV et verrouiller les ports SMB. A ceci s’ajoute la création d’une nouvelle clef de registre CWDIllegalInDllSearch destinée à modifier l’ordre de recherche des DLL. L’usage de cette parade nécessitant à la fois de connaître l’existence de cette clef et de posséder un minimum de connaissances techniques pour pouvoir la mettre en œuvre laisse prévoir une certaine persistance du « taux de vulnérabilité » du parc de machines Windows en état de fonctionnement. Les gardiens de botnet doivent se frotter les mains et plancher sur de nouveaux vecteurs, vite avant que ne soit publié le prochain correctif « hors calendrier ». Car compte tenu de la dangerosité de cette menace, il serait peu sage d’attendre patiemment le prochain « mardi des rustines ». Cela fera le troisième « out of band » de la période estivale…

2 commentaires

  1. marc

    En effet, le Webdav sous Linux n’est absolument pas concerné par un problème de DLL (donc de noyau Windows). Les défauts sur RH et Gentoo ne sont qu’un rappel historique d’un défaut de conception analogue rencontré dans le monde GNU.

  2. Donc normalement un WebDAV sous Linux n’est pas concerné ?

Laisser une réponse