Vers la mi-octobre,Cesare Cerrudo d’Argeniss concoctait un petit exploit, Churrasco, destiné à attirer l’attention de la communauté en général et de Microsoft en particulier, sur une faille permettant une attaque en kidnapping de token. Il faut préciser que ladite faille avait fait l’objet d’une communication il y a plus d’un an, et que l’émission du PoC avait immédiatement provoqué la réaction du MSRC et la publication d’un bulletin indiquant quelques mesures de contournement.
C’est alors que l’affaire rebondit avec un billet du Sans Institute écrit par Bojan Zdrnja. Ce chercheur nous apprend que Churrasco est utilisé dans le cadre d’une attaque complexe, capable de compromettre indifféremment des serveurs Windows 2003 ou 2008. Un Churrasco capable d’effectuer une élévation de privilège de telle manière qu’une attaque par injection d’un shell sous IIS –shell théoriquement dépourvu de droit- puisse obtenir des droits « system ».
Mais ce qui ulcère le plus Bojan Zdrnja, c’est que Microsoft n’ait pas pu, depuis octobre dernier, compiler une rustine sérieuse. Les « mesures de contournement » sont rarement appliquées car, dans bien des cas, elles impliquent une restriction fonctionnelle du système. Autre sujet de ire de la part du chercheur du Sans, la quasi absence de réaction des principaux éditeurs d’antivirus face à ce genre de menace. L’exploitation « dans la nature » de cette vulnérabilité, combinée au papier vengeur des chercheurs de Raleigh parviendront-ils à faire déclencher le processus de fabrication de rustine du côté de Redmond ?
Autre vieux trou, autre nouvel exploit révélé à l’occasion du traditionnel concours Pwn2Own de CanSecWest et utilisé par Charles Miller. Interviewé par Security Focus, l’inventeur de cette faille affectant Safari a déclaré avoir découvert le problème il y a plus d’un an… sans toutefois avoir eu le temps de « creuser » la question. Ce n’est que très récemment qu’il s’est remis à l’ouvrage, constatant que le trou n’avait, entre temps, toujours pas été découvert officiellement par d’autres chercheurs. Miller avait déjà, l’an passé, remporté une épreuve de Pwn20wn. Mais le véritable exploit –aux deux sens du terme- a été réalisé par un étudiant de l’Université d’Oldenbourg, qui a, coup sur coup, fait tomber Internet Explorer 8, Safari et Firefox. Chaque attaque victorieuse rapportait à leurs auteurs une prime de 5000 dollars. Tipping Point en fait un compte-rendu illustré palpitant.
