mars, 2009

« Mais corrigez moi le firmware de ces imprimantes HP » s’écrie HongZheng Zhou dans un papier publié sur le blog de l’Avert. Des imprimantes qui avaient fait l’objet d’un bulletin d’alerte CVE-2008-4419–I, précisant qu’il est possible d’accéder à la page Web d’administration de l’appareil sans posséder le moindre mot de passe. Bien que le correctif se trouve aisément dans les pages « support » de Hewlett Packard, un rapide Googlehacking prouve que bon nombre de ces imprimantes sont accessibles depuis le réseau public. Ce qui prouve non seulement que les rustines des équipements autres que les ordinateurs (et peut-être les routeurs) sont rarement déployées, et que les accès à ces dits appareils ne sont pas toujours filtrés par le firewall ou le proxy de défense périmétrique.

Cette alerte rappelle la très récente publication du Sans attirant l’attention des administrateurs sur le pullulement des équipements sans-fil déployés dans les hôpitaux, et pouvant constituer autant de portes dérobées fragilisant le réseau local. Et parmi les appareils « wifisés », le rapport dénonçait très clairement les imprimantes « Dell, HP, Lexmark, Canon, Samsung and Epson (to name but a few) » (sic). Ces deux alertes ne sont jamais qu’un « remake » à la sauce technologique moderne des vulnérabilités d’autrefois liées au « partage d’imprimante sur réseau Netbeui », qui fit le bonheur des apprentis-intrus des années durant.

Comme promis au fil du précédent billet du Cert Lexsi, Silvain Sarmejeanne nous offre un nouvel épisode consacré aux mystères de Conficker B++, troisième édition, énième épisode. Billet d’autant plus intéressant qu’il nous enseigne l’art de détecter et désactiver cette mutation, alors qu’il n’existe encore aucun outil de nettoyage pouvant être téléchargé.

Le talon d’Achille de B++ se trouve dans la base de registre, quelque part sur une branche de HKLMSYSTEMCurrentControlSetServices, sous la clef wcsSrv. Une clef dont il faut s’approprier les droits en modifiant les ACL, car elle possède des attributs System. Le changement de nom du service ne change en rien la méthode : il suffit de découvrir quelle branche de CurrentControlSetServices retourne une erreur lors d’une tentative de lecture. L’auteur précise que la désactivation de la DLL n’est pas tout… Conficker possède tellement de moyens de propagation qu’une opération de désinfection générale risque de prendre du temps… ceci sans prendre en compte le travail nécessaire après éradication, pour rétablir tout ce que le ver a détruit, notamment les outils de mise à jour de Windows. Si l’on se fie aux promesses écrites par Fabien Perigaud au fil de son précédent billet, les prochains jours devraient nous en apprendre un peu plus sur les fonctions « cachées » de Downadup. Ce suspense est absolument insoutenable, pas vrai ?

Sophos publie l’analyse de ce qui semble être le tout premier virus –un « Dropper »- s’attaquant à certains Distributeurs Automatiques de Billets Américains. La nouvelle a fait l’effet d’une bombe, et ce virus quasi confidentiel s’est vu propulsé à la Une du Reg, de CSO Online, de Good Gear Guide et quelques bonnes centaines d’autres titres. Précisons que nos confrères de CSO accompagnent leur article de deux fac simile des lettres d’alertes expédiées par le constructeur des appareils, Diebold. Une filiale de cette entreprise, Premier Election Solution, spécialisée dans les machines à voter, fait régulièrement les gros titres de la presse et le bonheur des conférences sécurité (section « easy hacking »).

Disons le tout de suite, ce dropper bancaire est à deux doigts d’appartenir à la catégorie des « virus en chambre », l’un des rares cas détecté ayant été signalé en Russie. Il « doit probablement être injecté dans la machine par un complice » précise l’auteur Vanja Svajcer. Le code malin n’est jamais qu’une variante des programmes utilisés par les « carders », et semble se charger de voler et stocker les données des véritables cartes introduites dans le DAB infecté. Plutôt donc de se lancer dans une dangereuse opération de maquillage du distributeur lui-même (skimming), les black-hats ont décidé de transformer la machine elle-même en usine de récupération de code. Et ce, probablement, en partant d’une constatation logique : tout, dans un DAB, est prévu pour empêcher un vol de l’argent liquide contenu dans la caisse automatique. La sécurité est « pensée » pour contrôler tout ce qui peut « sortir » de l’appareil…. Mais rien n’est prévu pour sécuriser ce qui y entre, en d’autres termes les données contenues sur la carte. Ni les claviers d’entrée de code PIN, ni les écrans ne sont prévus pour résister à une écoute « Tempest » par exemple. Probablement parce que ce qui est extérieur au DAB ne relève pas de la responsabilité de la banque.

Bien que confidentiel, ce virus « voleur de comptes » a une valeur symbolique considérable : il prouve –si besoin en était- que l’infaillibilité et l’herméticité tant vantée des DAB n’est qu’une illusion. Il remet également sur le tapis l’éternel débat sur la « vulnérabilité provoquée par l’absence de diversité des socles logiciels », cheval de bataille de Dan Geer. En généralisant Windows, dans sa version « embedded » ou non, sur la majorité des automates en service, l’industrie des distributeurs a pris un risque relativement élevé et facilité le travail des pirates. Ceci étant dit, un noyau Linux ou un système plus exotique aurait de toute manière fini par succomber de la même manière, compte-tenu de la convoitise et des espérances de gain que peut susciter ce genre d’appareil.

Fatalitas !s’écrierait Chéri Bibi. La causalité provoque la sinistralité. La crise précarise les « cols blancs » et Internet en général, accroissant le nombre d’attaques conduites contre les sites Web. Fatalitas, encore, lorsque les armées de Downadup-Conficker ou Waledac sont perçues comme des vecteurs d’encouragement au business des Scarewares, ces faux antivirus qui détectent des choses aussi abominables qu’improbables.

Sur l’impact de la crise sur les applications Web, on aurait pu croire que l’Owasp finirait par s’en apercevoir. Et bien non, c’est ScanSafe qui nous l’apprend. Sa « plus grande enquête mondiale jamais réalisée, portant sur plus de 80 pays et 240 milliards de requêtes http » révèle que les attaques Web ont progressé de 300% de 2007 à 2008. Que les cyberdélinquants visent désormais les « données sensibles », que la majorité des malwares sont désormais reconfigurables et qu’ils peuvent être utilisés pour attaquer une cible très précise… Après le classique discours catastrophiste, les chiffres : de 2007 à 2008, la proportion de Troyens spécialisés dans le vol de données est passée de 6 à 14%. Le nombre moyen de nouvelles variantes de ce type découvertes durant les 3 premiers trimestres 2008 était de 52 par client (de ScanSafe). Une unique vague d’attaques SQL en avril de l’an passé aurait, à elle seule, compromise 35000 pages Web appartenant à des administrations gouvernementales, 185 000 pages d’agences de voyage, 25 000 pages du secteur de l’éducation, 17 000 dans le secteur bancaire et 524 000 dans la sphère médicale et pharmaceutique. C’est d’ailleurs, au fil de cette étude, l’analyse sectorielle qui semble la plus révélatrice d’une véritable mouvance de l’industrie du vol d’identité. Parmi les corps de métier les plus visés, les transports, avec une croissance de 135 % du nombre de sites compromis, suivis de près par l’industrie chimique et pharmaceutique (+103%), l’énergie et le bâtiment (respectivement 94 et 91%), le tourisme et l’éducation (+64%, +62%). Les méthodes d’attaque constatées, quand à elles, sont assez classiques. L’on pourrait même dire qu’elles reviennent à des « fondamentaux » un peu oubliés. Ainsi les droppers, qui étaient en tête des malwares en 2007, passent en troisième place (33%), cédant la tête aux exploits directs et attaques iFrame (près de 58% des attaques), de vieilles méthodes pourtant. Les backdoors et récupérateurs de mots de passe ont, en 2008, décroché la seconde place des menaces les plus fréquemment rencontrées (environ 15%)… un danger de quatrième ordre un an auparavant. Les virus et vers (l’enquête s’arrête avant la vague Conficker) arrivent bon derniers, ne représentant « que » 3% des malwares détectés en 2008. Même les Troyens « tous types confondus », qui constituaient presque 30 % des menaces en 2007, sont retombés l’an passé en dessous de la barre des 8 à 9%. Ne perdons pas de vue que ScanSafe est à la fois juge et partie, et que l’on doit prendre en compte une certaine orientation des chiffres publiés.

Reste que la menace croissante qui plane sur les sites Web n’est pas une chimère. Le Sans vient à ce propos d’éditer un opuscule de 5 pages, qui tient à la fois d’avertissement et de recueil de « bonne pratiques ». Son titre : Protecting Your Web Apps: Two Big Mistakes and 12 Practical Tips to Avoid Them. On retrouve enfin un petit air d’Owasp… et de conseils inlassablement ressassés sur l’importance des précautions à apporter aux champs de saisie. Mais racontée par le Sans, l’histoire prend une toute autre dimension.

Le Cert Lexsi, c’est un peu notre Luhrq à nous. Ses analyses ne sont jamais en avance sur celles des autres, mais le recul qui y est apporté, l’absence de langage « jargonisant » donne aux articles publiés une clarté et une absence de catastrophisme de bon aloi. La dernière étude en date concerne… Conficker, une fois de plus. De la dernière version, dénommée B++, celle qui « corrige » les erreurs de jeunesses –pourtant relativement faibles- de la première édition. Cette fois, les auteurs ont attentivement écouté les conseils de la communauté internationale, et ont su améliorer leur logiciel. Il est désormais impossible de dresser une table des domaines générés, comme ce fut le cas pour les deux premières versions du ver. B++ « fabrique » désormais 50 000 noms de domaine par jour, de quoi saturer les DNS les plus rapides. Ses mécanismes de défense interne s’enrichissent de tous les principaux programmes destinés à éradiquer ledit virus, et le mécanisme de « mise à l’heure » de l’infection elle-même utilise discrètement des sites publics que l’on peut difficilement rayer des annuaires : Google, le W3C, Yahoo, Facebook… Les noms de domaine générés sont, pour certains, testés afin de voir s’ils ne sont par « bouclés » soit sur une classe privée, soit sur une adresse appartenant à un chasseur de virus lié à la « coalition Microsoft anti-Downadup. D’autres surprises pourraient bien être révélées, nous promet Fabien Perigaud. L’équipe aurait notamment détecté un certain nombre de nouvelles fonctions camouflées. Le feuilleton Conficker, c’est encore plus haletant qu’une histoire de Rocambole.

La lecture de SynJunkie est parfois aussi drôle qu’un sketch de José Garcimore. Il prépare son auditoire, met en scène sa démonstration, montre à quel point la mission sera impossible, fait grimper la tension à un point quasi paroxystique. Puis, tel un illusionniste, il détruit d’un coup de touche « return » la confiance absolue qui habillait fièrement l’Administrateur Réseau. A savourer, cette pièce en trois actes (pour l’instant) intitulée Abusing Citrix et qui montre comment contourner les principales restrictions imposées par les « policies » de sécurité d’un serveur d’applications.

A lire également, à diffuser, ce décalogue de la sécurité des routeurs WiFi. Tout y est bel et bon, ou presque. Ton firmware upgraderas et les vielles failles éviteras. Les mots de passe par défaut changeras, et le chiffrement activeras. Bien fol tu seras si l’administration distante par les ondes tu autoriseras. Ton SSID modifieras et son broadcast supprimeras. Les adresses MAC tu filtreras, et uPnP assassineras. Ta plage DHCP changeras et vers un DNS sérieux pointeras. Enfin, le log activeras pour t’en servir tu apprendras.

Ah les beaux conseils que voilà,simples à mettre en œuvre, compréhensibles par beaucoup. Certains conseils, pourtant, semblent avoir été ajoutés pour « faire peuple ». Un décalogue (en anglais « top ten ») qui ne compte que 8 points, ça fait tout de suite moins sérieux. Pourtant, le commandement relatif au SSID est totalement inutile. N’importe quel wardriver est à même de récupérer un SSID « masqué » même en l’absence de broadcast. Même un journaliste… c’est dire ! Quant à changer l’identifiant « par défaut », ce n’est là qu’une mesure purement cosmétique. Mieux encore, il n’est pas de plus vif plaisir que d’inscrire le SSID par défaut d’un équipement dans la mémoire d’un autre appareil. Tsunami sur un routeur Linksys par exemple, ou Wanadoo-xxx sur un antique Breezecom. Ce n’est pas là de la « sécurité par l’obscurantisme », mais un pied de nez adressé aux indiscrets.

Si le changement d’espace IP est un excellent conseil -80 % des pirates « amateurs » ne testent que de 192.168.0.x à 10.x- la gestion des adresses MAC demeure, quant à elle, un véritable casse-tête. C’est là, en l’absence d’outil efficace, générique et normé capable de gérer les couples IP/MAC, un vecteur de pannes réseau potentiel. A classer dans la catégorie des fausses bonnes idées, à côté de la gestion des Vlan reposant également sur les adresses MAC. Car, en WiFi comme en infrastructure Ethernet « base cuivre », une carte WiFi, çà se change, et parfois même, çà peut voir sa mac adress modifiée par logiciel.

Sur ce même thème, le Sans a publié une analyse un peu plus édifiante, intitulée Wireless at the hospital and the threats they face . L’informatique hospitalière utilise effectivement, aux USA comme en France, de plus en plus d’équipements sans fil. Pis encore, certains services se voient allouer des équipements possédant des fonctions WiFi qui ne sont pas nécessairement utilisées, laissant ainsi planer une menace sur l’intégrité du réseau. Il y a là quelques scenarii d’attaques assez intéressants, qui, sans analyse approfondie, pourraient bien ne pas attirer l’attention d’un administrateur.

Vae victis, malheur aux vaincus. Selon nos confrères du Reg, Heartland et RBS Wordpay ne seraient plus dans les petits papiers de Visa. Petits papiers qui indiqueraient les établissements financiers en conformité avec les normes PCI-DSS.

Fait étrange, avant ces deux formidables affaires de fuite d’information, les deux sociétés en question étaient considérées comme « conformes ». Et Security News précise que les deux entreprises seraient en train de travailler pour requalifier leurs entreprises. En d’autres termes, l’avis de visa est purement symbolique et a peu de chance de nuire aux relations qui lient les banques et ces organismes de crédit et intermédiaires de transaction.

PCI, cette norme sécurité totalement forgée par l’industrie financière américaine, avait déjà bien du mal à se faire accepter des banquiers Européens. Avec ce « bannissement rétroactif mais temporaire conjoncturel» d’entreprises « formerly compliant… but not yet », Visa montre à quel point PCI n’est pas exactement ce cadre normatif strictement objectif qu’il prétend être. De là à dire que ces agréments ne sont jamais qu’un argument marketing pour endormir les craintes de la clientèle ou d’invoquer des certifications de copinage, il n’y a qu’un pas que n’hésitent pas à franchir les médias.

Quelques jours après la publication d’un correctif majeur d’Acrobat Reader –sans oublier la mise à niveau salvatrice d’un de ses clones Foxit, voilà que Thierry Zoller dresse une liste des derniers articles et communications portant sur les vulnérabilités et exploitations des formats Adobe d’une part, et des fichiers d’origine MS-Office d’autre part. Les interprètes de format Adobe constituent, après les failles noyau Windows et les exploitations des trous liés aux navigateurs, l’un des plus importants vecteurs de vulnérabilité du monde bureautique. Rappelons que le patch Adobe a été avancé en raison de la divulgation publique d’un code d’exploitation et d’une preuve de faisabilité dans les colonnes de Milw0rm. Attention, l’URL du PoC, bien que non nocive, est directe et active.

Vérité le 15 du mois, mensonge le mois suivant ? Mi-février, une double alerte est émise par deux organismes de crédit américains différents –l’on peut difficilement invoquer une rumeur incontrôlée. Une fuite de données pourrait fort bien, disait-on, s’avérer aussi catastrophique que l’affaire Heartland, cet intermédiaire bancaire qui s’était fait voler probablement des centaines de milliers de données de cartes de crédit. Information d’ailleurs confirmée par la réaction d’un troisième organisme de crédit d’Alabama, qui, le 19 du mois, précisait que l’alerte avait été lancée par Visa.

Tout compte fait, il n’y aurait pas eu de fuite récente…. Visa se rétracte en invoquant un prétexte assez alambiqué : l’avertissement aurait été lancé par mesure de prudence, conséquence d’une affaire plus ancienne. Laquelle ? Une fois de plus, il n’y est fait aucune référence. L’identité de la banque victime, la période du hack probable, le volume de données compromises, tout çà disparaît dans un silence éloquent, font remarquer nos confrères de ComputerWorld. Si l’affaire est antérieure au vol Heartland –autrement dit à décembre dernier- il doit très probablement en exister une référence dans une des bases de données recensant les accidents de ce genre survenus aux Etats-Unis. Si cela est vraiment le cas, on comprend d’autant plus difficilement le ton alarmiste avec lequel cette alerte a été lancé, ni pour quelle raison il n’a été fait aucune divulgation publique de l’affaire comme la plupart des lois d’Etat semblent l’exiger actuellement …

A notre gauche, le champion en titre, F-Secure qui, sur son blog, titre « Downadup, Good News / Bad News ». Les « bad news » c’est que Conficker est toujours vivant, quelque part sur des millions de machines –entre 2,1 et 2,5 millions d’adresses IP uniques, donc probablement des dizaines de millions de postes cachés derrière une NAT. Mais il y a des bonnes nouvelles tout de même. Et notamment un communiqué de victoire de l’Internationale des Opérateurs de Routage Unifiés et autres gestionnaires de DNS, lesquels affirment avoir sans confusion déconfit Conficker en barrant tout nom de domaine généré par ledit virus. Tous les domaines prévus sont bannis, Downadup ne pourra que s’étioler faute de remise à niveau. Et puis, la prime à la délation promise par Microsoft pourrait bien nous réserver des surprises, nous promettent les gourous du labo F-Secure. Après tout, l’auteur de Netsky a bien été vendu par ses proches…

Ne nous emballons pas, tempère Phillip Porras de SRI International. Les techniques de mise à jour et de rendez-vous de Conficker sont probablement aussi complexes que l’abordage d’un vaisseau Progress sur une station spatiale. Et le fait de bloquer le mécanisme de réception « par les noms de domaine » pourrait très bien contraindre les bot herders à activer une backdoor dans le programme. Laquelle servirait alors à débloquer la procédure de mise à jour qui, par la suite, suivrait le déroulement presque « classique » de récupération de sa « charge utile » par le truchement de son système d’échange P2P, tel que décrit par Eric Chien. Notons au passage que les statistiques d’infection calculées par Porras sont un peu plus importantes que celles de F-Secure, avec 4,5 millions d’IP infectées.

Downadup est un peu comme ces séries américaines qui, de saison en saison, ne cessent d’étonner le spectateur à grand renfort de retournements spectaculaires et de rebondissements inattendus.