Trous Microsoft : des réveils pénibles et des nervoussse brèkdone

Actualités - Alerte - Posté on 17 Déc 2008 at 8:18 par Solange Belkhayat-Fuchs

christian-et-cieLes responsables de parc entament la semaine un peu comme ils ont terminé la précédente : dans une ambiance morose de lendemain de ZDE mal digéré. Avec cependant une lueur d’espoir : il y aura, nous promet Microsoft, un correctif « out of band » dans un délai d’autant plus proche qu’il sera d’autant moins éloigné. Le rigorisme de cette précision étant directement dépendant des tests de régression qu’effectuent à l’heure actuelle les laboratoires de Redmond. Car il serait malvenu que l’anti-bug s’avère aussi destructeur que le bug lui-même.

Il faut avouer, dit-on du côté de MS-France, que les mesures de contournement actuellement suggérées ne sont pas franchement à la portée du premier primo-informatisé venu. Entre les « Disable XML Island functionality » via la clef HKCRCLSID{379E501F-B231-11D1-ADC1-00805FC752D8} et les « Unregister OLEDB32.DLL » par le biais de la commande « Regsvr32.exe /u « %ProgramFiles%Common FilesSystemOle DBoledb32.dll », l’Homo Sapiens Binaris risque d’y perdre son latin. Pour lui, et pour la quiétude de son âme, il y aura un « patch someday » dans les jours à venir (à prévoir le 18 selon Christopher Budd).

Et l’industrie dans tout çà ? Officiellement, « Microsoft a tout fait, dans le cadre de son bulletin d’alerte 961051, pour que les Directions Informatique puissent se protéger contre d’éventuelles attaques ». En théorie, toute menace est écartée. En théorie seulement. Car le caractère procédurier et tatillon de bon nombre de DSIs, nourries au sein des architectures fermées sauce SNA et des déploiements monolithiques planifiés établis à la haute-époque C2I-Honeywell-Bull, a montré qu’il n’en est rien. Le dernier correctif « out of band » du mois dernier, d’une urgence indiscutable et vecteur de plusieurs exploitations, s’est vu « retardé » sine die par certains amoureux de la régularité obtuse. Le résultat ne s’est pas fait attendre : près de 10 entreprises parmi les plus importantes du CAC 40 se sont faites attaquer. Or, le tout dernier ZDE qui frappe Internet Explorer fait, d’ores et déjà partie des vecteurs de pénétration intégrés dans les kits à malware de la famille Zeus. (voir ci-après). On peut donc craindre le pire, pire aggravé par la remontée quasi traditionnelle des attaques aux alentours des fêtes de fin d’année.
Mais revenons au défaut lui-même.

L’alerte du Sans Institute de vendredi, concernant le fameux « ZDE » Internet Explorer, est confirmée : I.E. 5, 6, 7 et 8, tous les noyaux de Windows, de 2000 à 2008, Vista et systèmes 64 bits y compris sont frappés de cette même peste. Les PoC se multiplient. L’alerte 961051 lancée par Microsoft s’est, depuis son édition originale, légèrement étoffée.
Thierry Zoller, de son côté, s’est intéressé à la rapidité avec laquelle les éditeurs d’antivirus ont réagi face au « Zero Day Internet Explorer ». 5 jours après l’alerte, plus d’un tiers des spécialistes du périmétrique n’étaient pas encore parvenus à intégrer la signature en question. Et pendant ce temps, ces deux superbes trous sont activement exploités, nous confirme l’équipe de Trend Micro, tandis que Shadow Server continue, jour après jour, de dresser la liste des domaines qui « servent » l’exploit I.E..

Et ce n’est qu’un début, pense Fabien Périgaud du Cert Lexsi. Car le ZDE Internet Explorer, c’est un peu comme le dernier modèle d’iPod au moment des fêtes de noël : il faut absolument qu’il soit intégré aux kits d’exploitation proposés par les vendeurs de « malware as a service ». Ces temps de réaction quasi foudroyants ne coûtent d’ailleurs pas aussi chers que les « hotlines de phishing localisées » : 50 $ par mois, hébergement, pré-configuration du code, charge d’infection « à jour » et interface d’administration comprise. C’est nettement moins cher qu’un abonnement MSDN et très probablement plus rentable.

Pendant ce temps, Nicolas Ruff s’interroge : Où va la sécurité ? Et de gloser de manière fort instructive sur la sécurité dans le développement et le poids du code hérité… voilà qui rappelle tout ce qu’a pu écrire Michal Zalewski dans son Browser Security Handbook . La faille I.E. qui vient d’être découverte –mais vient-elle réellement d’être découverte à l’instant ?- est faite d’un bois qui fait des Sasser. Est-ce un échec de la politique de « secure coding » entamée par Microsoft depuis la remise à plat du code de Vista ? Que nenni ! Car il en est des failles comme du bon vin : certaines sont bien antérieures à ces « bonne résolutions 2006 », et il serait un peu hâtif de conclure à l’échec d’une politique somme toute récente. Puis, changeant subtilement de sujet, NewSoft nous entraîne dans un petit exercice de dialectique sécuritaire. Ces « über failles » sont, entre autres, l’une des raisons d’être des campagnes de test d’intrusion. Mais pas la seule. Ces tests, explique en substance NewSoft, ne peuvent être remplacés par des audits consciencieux de la « chose écrite », « le (bon) test d’intrusion n’a rien à voir avec l’exploitation de failles d’implémentation … » insiste l’auteur. Le Buffer overflow nous éblouit, la faille Acrobat détourne un peu trop notre attention, explique-t-il en substance. De toute manière, tôt ou tard, si exploit dangereux il y a, l’éditeur finira bien par publier une rustine. Ce contre quoi il n’existe pas de rustine, ce sont les défauts récurrents mis en évidence par les tests d’intrusion simples : comptes sans mot de passe, défauts de conception…

L’autre ZDE, celui qui frappe SQL Server et qui a été découvert pas Sec Consult, semble plus compliqué à éviter qu’il n’y paraît. L’astuce de limitation de risque conseillée par Microsoft- une suppression de procédure stockée- ne peut être appliquée sous SQL Server 2005. Une impossibilité qui nécessite une modification des droits d’exécution sur l’ensemble du rôle. Il n’y aura pas, nous confirme la cellule sécurité de Microsoft France, de correctif « out of band » pour ce trou très précis.

Laisser une réponse