« Mitigating factor » : parce que le tort est facteur…

Actualités - Hack - Posté on 08 Nov 2012 at 3:43 par Solange Belkhayat-Fuchs

… et que le facteur (de risque) a souvent tort. Cette semaine, deux articles nous racontent le déroulement d’une attaque USB sur plateforme Windows 7 64 bits. L’une technique, l’autre moins. Dans les deux cas, le risque est considéré comme étant « à minimiser en raison de plusieurs contraintes : interaction de la part de l’utilisateur (lequel utilisateur doit brancher un « machin » usb), accès à la console, ouverture de session nécessaire ». Bref, assez pour qu’un danger digne de porter la pourpre cardinalice se transforme en un traîne-savate du risque informatique à la limite du vert à peine orangé…

Le premier exploit est un véritable bijou de p0wning, et il est signé Mateusz “j00ru” Jurczyk. Son principe est simple, il utilise une faille du driver ntfs.sys pour obtenir une élévation de privilège « System ». Les détails les plus croustillants sont à lire sur le blog de l’auteur, les personnes allergiques aux dumps et à l’assembleur peuvent se reporter en bas de page, où une séquence vidéo donne une idée très précise du niveau de danger que constitue cette attaque.

La seconde exploitation, signée Andras « vsza » Veres-Szentkiralyivsza, est aussi Hongroise que la précédente était Polonaise. Elle est réalisable avec un microcontrôleur doté d’une interface USB, se fait passer pour un composant USB de type HID (donc ne nécessitant pas de pilote spécifique), genre clavier ou souris, peut activer un exécutable et faire fuir des données via les leds du clavier véritable (une astuce assez ancienne mais toujours efficace, qui pourrait même être améliorée). Une pratique assidue de la brasure des composants à montage de surface permettrait à ce « micro-espion » des temps modernes de se camoufler sans grande difficulté.

Il est assez cocasse de remarquer que les éditeurs invoquant l’excuse du « mitigating factor » lié à un accès console ou à l’ouverture d’une session sont précisément les mêmes qui crient au loup en expliquant qu’il est dangereux d’utiliser une clef USB de provenance inconnue, et également les mêmes qui distribuent, dans les allées des conférences et salons spécialisés, des clefs USB contenant communiqués de presse, programmes de démonstration, matériel promotionnel et autres innocents fichiers. Clefs dont le contenu a généralement très peu de chances de subir un contrôle sécurité aussi stricte que celui précédant la sortie d’un CD-Rom contenant une nouvelle version de [……………..…] (inscrire ici le nom de votre logiciel système ou de sécurité favoris).

Laisser une réponse