Month of kernel bugs...

Moteur

ous êst probablement déjà au courant : novembre a été déclaré mois des failles noyau. Suivant l'exemple de HD. Moore qui avait fait de juillet dernier le mois du navigateur avec son "Browser Bug of the Day", L.M.H nous offre donc un "Month Of Kernel Bug", MOKB pour les intimes, alimentant le blog Kernel Fun créé pour l'occasion.

L'annonce coïncidant avec la sortie du fuzzer de système de fichiers fsfuzzer, la cible des failles à venir semblait toute désignée à en croire les mauvaises langues qui y voyaient peu d'intérêt, voire aucun. Mais dès qu'il s'agit de noyau...

La publication de la première faille donnait radicalement tort à ces détracteurs avec une faille sur le driver Airport de MacOS X découverte par HD. Moore, un bel overflow sur le champ IE des probes responses. Quelque jours plus tard, c'est un local root sous Windows via les structures GDI^[1] identifié par Cesar Cerrudo. Puis vient Ilja Van Sprudel avec ce déni de service local sous MacOS X, pourtant connu et patché depuis six ans (?!) sous FreeBSD.

Mais ce ne sont là que des contributions externes. Tout le reste ne porte en effet que sur des système de fichiers et utilise copieusement fsfuzzer :

double free dans SquashFS sous Linux ;
integer overflow dans UFS sous FreeBSD ;
corruption dans UFS sous Solaris ;
race condition dans ISO9660 sous Linux ;
corruption de système de fichiers via zlib sous Linux ;
integer overflow dans UFS sous FreeBSD ;
corruption dans EXT3 sous Linux.

D'aucuns qualifient ces découvertes de piètre performance, comme si l'utilisation du fuzzer enlevait à l'auteur tout crédit au regard de ses pairs. Comme beaucoup le savent, ce n'est tout de même pas le cas. Découvrir qu'il y a potentiellement une faille quelque part n'est que le début, voire la partie facile. Il reste en effet encore pas mal de boulot à faire pour en découvrir l'origine et les mécanismes, puis l'exploiter et en qualifier les impacts.

Toujours est-il que, quel que soit l'avis qu'on peut avoir sur la qualité de ce travail, il démontre encore une fois combien il est aisé de découvrir des bugs dans les noyaux. Sur les sept failles mentionnées précédemment, toutes permettent d'exploser la machine (DoS), trois de corrompre les système de fichiers et trois de carrément r00ter la machine. Pas mal pour du fuzzing...

Notes

[1] Graphical Display Interface

Commentaires

1. Le dimanche 12 novembre 2006 à 16:02, par pr0f8

Sur son blog Matasano commente songeur "... just a simple blind random generator ..."

http://www.matasano.com/log/561/file...

Comme quoi faut pas toujours faire dans la finesse ... Admirable !

2. Le dimanche 12 novembre 2006 à 20:04, par Sid

La dernière faille publiée (celle du 11/11) nous rappellera des souvenirs... Il s'agit d'un overflow sur le champs ESSID de probes responses sur le driver Broadcom, découvert par Johnny Cache :

http://projects.info-pull.com/mokb/MOKB-11-11-2006.html

3. Le dimanche 12 novembre 2006 à 23:10, par jme

L'outil m'impressionne plus que les découvertes. Je ne veux pas retirer à césar ce qui doit revenir à césar mais lorsqu'on voit les méthodes de bourrins utilisées de temps en temps. Fuzzing + brute-force des adresses de retour — approche du canon a pompe (scié dans ce cas)—, je trouve que la découverte de vulnérabilité a perdu un peu de son lustre. De là à dire que certains « découvreurs » de vulnérabilité ne sont que des « fuzzing-kidies », il n'y a un pas que je me garde de franchir.

D'autant plus que cela arrive de concert avec une course au m'as-tu-vu sur tout ce qui bouge et qui donne des abus (d'ailleurs, le blog de securiteam a deux super articles sur le sujet du fuzzing pour ceux que cela intéresse).

4. Le lundi 13 novembre 2006 à 12:08, par bartavelle

Et je ne vous raconte pas les abus le jour où je release PHortify, l'analyseur de code PHP qui trouve les failles tout seul ...

5. Le lundi 13 novembre 2006 à 17:09, par jme

@bartavelle : la sortie est prévue en même temps que Duke Nukem Forever ?

6. Le mardi 14 novembre 2006 à 15:56, par bartavelle

Je l'ai prévue pour en même temps qu'une version GUI de bob the butcher.

Réponse de Sid

C'est écrit en Python ou en Ruby ?

7. Le mardi 14 novembre 2006 à 16:09, par Nono

Profites en pour refaire la version CLI.

8. Le mercredi 15 novembre 2006 à 16:25, par jme

J'ai oublié de préciser mais je revendique la paternité du terme « fuzzing-kiddies » et pas en GPL ni en CC ! Je ne suis pas un enfoiré de communiste !

En tout cas, le terme semble plaire, même au delà des frontières du monde francophone :

http://www.whitestar.linuxbox.org/pipermail/fuzzing...
Gadi Evron <ge at linuxbox.org>
Fri Nov 17 18:08:37 CST 2006
> Well, I don't understand this post (I don't read
> 3%$#^Q!), but I did like the term fuzzing
> kiddies!

9. Le jeudi 16 novembre 2006 à 13:12, par jehv

a mort tout les anti-communistes !!!!!!!!

10. Le mercredi 22 novembre 2006 à 16:56, par jme

@sid : La classe ! Je vois d'ici les gros titres : jme, l'inventeur du terme « fuzzing kiddies » sera au prochain cansec west pour une dédicace spéciale. Apportez tous vos T-shirts : I'm in joor box, fuzzing yer processes

(ou pas).