Une fois de plus, l’un des frères Litchfield (David) dévoile, à l’occasion de la BlackHat 2014, un PoC visant une faille Oracle. Ce qui est moins banal, c’est que la faille en question concerne une extension de sécurité intégrée à Oracle 12c, extension baptisée Data Redaction. Ce module sert essentiellement à masquer, ou plus exactement à expurger le contenu affiché de certaines requêtes lorsque celles-ci sont susceptibles d’intégrer des données sensibles. Selon le niveau de privilège de l’usager qui consulte la base de données, les adresses, numéros de sécurité sociale ou identifiants bancaires par exemple pourront être supprimés du formulaire affiché. Contrairement à l’ancien Data Masking associé à l’application chargée de l’interrogation, Data Redaction dépend d’une politique de sécurité.
Pour David Litchfield, cette politique de sécurité peut être contournée au moins de trois manière différentes, dont deux par attaque brute force, un autre en utilisant la clause returning into avec une opération Insert, Update ou Delete. Les détails dans la communication officielle de l’auteur.
Après quasiment 2 longues années de silence, le clan Litchfield est de retour dans le landernau Oracle. Voilà qui promet quelques CPU agitées.
1 commentaire