Bien fourni, le Patch Tuesday du mardi...

Sortie de secours

e moins qu'on puisse dire, c'est que la moisson a été fertile ce mardi 8 avril du côté de Redmond. Deux exécutions de code dans des applications bureautiques, heureusement pas les plus populaires, un détournement du client DNS, quatre exécutions de code dans le périmètre du navigateur maison et une élévation de privilèges dans le noyau. Joli. J'en vois qui frappent frénétiquement leur clavier pour pondre les exploits...

Forcément, des patches qui se font analyser, on en a tous les deuxièmes mardi du mois. Des exploits qui sortent pour les failles ainsi corrigées, on en a tous les deuxièmes mercredi. Forcément. Mais je pense qu'on a rarement vu une charrette comme celle-ci, avec tout ce qu'il faut pour produire un magnifique remote root en client-side.

Quel est le contenu de cette série ?

MS08-018 : exécution de code à distance dans Microsoft Project (critique) ;
MS08-019 : exécution de code à distance dans Microsoft Visio^[1] (important) ;
MS08-020 : usurpation de contenu sur le client DNS (important)
MS08-021 : exécution de code à distance dans GDI (critique)
MS08-022 : exécution de code à distance dans les moteurs JScript et VBScript (critique)
MS08-023 : exécution de code à distance dans ActiveX (critique)
MS08-024 : exécution de code à distance dans Internet Explorer (critique)
MS08-025 : élévation de privilèges dans le noyau (important)

Résumons-nous. MS08-018 et MS08-019 fournissent deux vecteurs relativement classiques d'attaquer la suite bureautique Microsoft. C'est un vecteur d'attaque ciblée malheureusement classique à destination des entreprises puisqu'il se combine magnifiquement bien avec une recherche sommaire de profils au sein de la cible pour se construire un courrier bien senti.

Ensuite, nous avons une faille permettant de détourner le résultat d'une requête DNS. En gros, un support diablement efficace à des attaques de détournement de flux ou de phishing. Le problème ? Les IDs des requêtes DNS sont prévisibles, laissant la possibilité à un attaquant de fournir une réponse arbitraire. Pas de facteur limitant, pas de moyen de contournement. Il faut patcher. C'est un des problèmes que Pierre, Nicolas et moi avions abordés lors du SSTIC 2005 et qui est revient régulièrement, pas plus tard qu'en février avec ce papier sur le générateur aléatoire d'OpenBSD. Le truc relativement chiant avec ce type de faille est que ça demande du temps à corriger proprement, un générateur d'aléas impactant un grand nombre de composants dans le système. Plus pragmatiquement, cette faille fournit un excellent moyen d'envoyer quelques clients vers un site de son choix, soit pour lui faire télécharger un document bien senti répondant aux deux alertes ci-dessus, soit contenant des éléments malicieux pour jouer avec le navigateur.

Maintenant que nous pourrions diriger le navigateur vers un site de notre choix, voyons les options. Nous avons d'abord deux failles dans la couche graphique, deux overflow, un dans le tas, l'autre dans la pile. En pratique, ça se provoque par le chargement d'un fichier EMF, le successeur du tristement célèbre format WMF qui se trouve également impacté. Cette faille impacte toutes les applications s'appuyant sur cette interface standard, c'est à dire à peu près tout ce qui affiche des images, navigateur et lecteur de courrier en tête. On peut également inclure du code JScript ou VBScript permettant d'exécuter ce qu'on veut dans le contexte de l'utilisateur. Ou se servir d'un ActiveX. Ici encore, tout ce qui traite ces types de script est impacté. On pensera forcément au navigateur, mais également au lecteurs de courrier électronique. Encore une fois. Enfin, notre méchant favori pourra choisir d'exploiter directement Internet Explorer pour exécuter son code, plutôt que de recourir à l'un des composants vulnérables. Bref, l'attaquant a le choix des armes. C'est varié, ça touche plein de monde, et c'est que du critique.

Enfin, si les privilèges de l'utilisateur ne lui suffisent pas, l'attaquant pourra toujours exploiter le noyau pour gagner le droit de devenir System. Si ça lui chante.

Scénario catastrophe ? Je vous laisse juger de la crédibilité d'une attaque enchaînant DNS spoofing et page web piégée. L'élévation de privilège est la cerise sur le gâteau, mais entre nous, elle n'est pas franchement nécessaire. Possible ? Oui. Probable ? Hummm, je laisse les spécialistes de l'environnement cible vous éclairer. Mais bon, comme dirait l'autre, dormez tranquilles, braves gens, c'est bien connu, ce genre de choses n'arrivent qu'aux autres...

Complètement autre chose. Soucieux de vous remonter le moral, je ne peux m'empêcher de vous envoyer chez BouletCorp qui vient de pondre une série de douze planches sur les réunions de famille. C'est tout simplement énormissime. Ça m'a mis de bonne humeur pour la journée. Et ça tombe plutôt bien, je vais en avoir besoin...

Notes

[1] Pauvre Nono, heureusement que le viewer n'est pas impacté ;)

BROWSER OR OPERATING SYSTEM NOT COMPATIBLE Your Browser or Operating System is not compatible with the Test Drive System. The Test Drive System supports the following: * Windows 98, 2000 and XP * Internet Explorer 5.5 and later

Commentaires

1. Le mercredi 9 avril 2008 à 11:46, par Thomas Garnier

yop !

En effet c'est une bonne fournée. J'ai deux advisory (GDI Heap overflow - MS08-21) et (Local privilege escalation - MS08-25).

Le heap overflow est du style memcpy infinie catché mais bon ca suffit dans la plus part des cas à prendre le controle. Surtout quand c'est gdiplus qui gère l'ouverture, il catche l'exception et appelle un fonction pointeur overflowable casiment directement après. Après tout est une question de contexte.

Je suis par contre un peu déçu que l'advi sur les failles win32k (gg immunity) soit mal considéré. Tout d'abord car il contient plus d'une faille et d'autre part car beaucoup trouvent la privilege escalation inutile. Meme Microsoft traite un local escalation comme les ALPC comme important malgré les efforts déployés depuis Vista pour sécurisé la gestion des privilèges. Par contre Microsoft à très bien patché les vulnérabilités en sécurisant beaucoup plus win32k qu'avant. C'est hélas fait a cout de fonction anti overflow ULONGLONG qui sous Vista sont sur exploite et parfois à des endroits inutiles. Au moins ca marche :).

mxatone

Réponse de Sid

Félicitations ;)

Concernant l'élévation de privilège, c'est une faille importante voire critique en terme d'impact, pas de doute là-dessus. Mais j'essayais de voir la chose en terme de "retour sur investissement" pour l'attaquant, qui obtiendra d'excellents résultats sans l'utiliser. Voulant dire par là que les privilèges de l'utilisateurs suffiront la plupart du temps à faire ce qu'il a envie de faire. C'est pour ça que je la qualifie de cerise sur le gâteau. Et surtout pas pour minimiser la criticité de la faille, qui doit rester indépendante du fait qu'elle soit exploitée ou non dans la vraie vie.

Faudra que je fasse un billet là-dessus un jour... La criticité d'une faille doit-elle varier selon qu'elle est exploitée in the wild ou non ?...

2. Le mercredi 9 avril 2008 à 13:07, par Thomas Garnier

C'est vrai, de toue façon je ne critiquais pas ta position et j'ai même trouvé simpa d'avoir un scénario tout tracé à partir d'un seul tuesday patch.

Après on pourrait aussi mettre en avant l'exploitabilité car trouvé quelque chose de potentiellement exploitable et exploitable de façon reliable est tout autre chose. Honnêtement la faille GDI Heap overflow est dangereuse mais son exploitabilité est très dure. Un overflow sur le tas avec le DEP activé ... Kostya nous avait déjà montré par a+b qu'une exploit 100% reliable multi-version c de la science fiction (surtout sur le tas). A l'opposé les failles kernel local elles marchent toujours et sans aucune difficulté, même un overflow de pool qui pourrait faire planter tout le système est "facilement" maitrisable en locale si on arrive assez vite. (Ouais bon en locale c de la triche je sais :)).

Le classement des vulnérabilité est un débat très long ! Et la question suivante : "Une stack overflow dans Adobe Flash Player ou il n'y pas de DEP, pas de cookie doit il etre considere comme hyper critical ?". Apres tout, qui n'as pas flash de nos jours !

3. Le jeudi 10 avril 2008 à 08:25, par newsoft

@Thomas: good game en tout cas. Les 600+ appels système liés à GDI, c'est la mine d'or. D'ailleurs d'après mes sources, il va y avoir une présentation à BH US 2008 sur le sujet :)

Les failles locales, ça reste très intéressant sur les environnements Terminal Server et/ou Citrix. Et ça, on en trouve partout: http://www.runaware.com/microsoft/en-us/2007office/td

Sniff :

4. Le mardi 29 avril 2008 à 12:15, par MAD

28.04.2008 - MS08-025 ITW Profitez en pour jetter un oeil à Kartoffel, c'est plutôt plaisant.

TChuSs :]=~

Kartoffel : http://kartoffel.reversemode.com/

Ma petite parcelle d'Internet...

Notes

Trackbacks

Commentaires

Ajouter un commentaire

Rechercher

Calendrier

Hitmap

Dans la catégorie "(In)Sécurité"

Langues

Catégories

Archives

Liens

Chez moi (from me)

Webcomics

Copains (friends)

Blogs

Liens

Syndication

« novembre 2008
lun	mar	mer	jeu	ven	sam	dim
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30