À tout seigneur, tout honneur...
Par Sid,
lundi 17 novembre 2008 à 03:14 :: (In)Sécurité
:: lu 4844 fois :: #306
:: rss
:: atom
Read it in english with Google
près avoir conspué le manque de réactivité flagrant de Adobe, ou plus anciennement l'inertie presque légendaire de Oracle, je ne pouvais décemment pas passer à côté du nouveau record que vient de s'offrir Microsoft.
Car en patchant la faille qui permettait l'attaque SMBRelay avec le dernier lot de correctifs, c'est à une période de vulnérabilité d'une durée inimaginable qu'ils viennent de mettre un terme. La plupart des articles que vous trouverez sur la question avanceront le chiffre déjà impressionnant de sept ans. Mais à bien y regarder, c'est bien plus que cela...
SMBRelay, un outil d'attaque bien connu des pentesters de réseaux Windows, a été publié en mars 2001 par Sir Dystic du fameux Cult of the Dead Cow. Il permet de capturer et réutiliser les éléments d'authentification d'un utilisateur venant se connecter chez vous pour vous authentifier chez lui. Sachant que les machines mises en jeu peuvent n'en être qu'une seule, conduisant à une méthode d'escalade de privilèges pour le moins intéressante. Une attaque mirroir en quelque sorte, avec des idées similaires au pass-the-hash. C'est extrêmement efficace et c'est donc resté sans véritable réponse pendant près de sept ans et demi. Seulement ? Non, bien plus en fait...
Car comme le montre Chris Wysopal, c'est beaucoup plus long que cela. Dildog avait en effet utilisé ce principe pour voler des éléments d'authentification d'utilisateur en déclenchant des sessions telnet de la cible vers la machine de l'attaquant. Il avait présenté rapidement ces résultats à la Defcon. Tout cela date de 2000. Mais il n'était pas le premier sur le coup. Dès 1996, Dominique Brezinski publiait exactement la même chose dans un papier intitulé "A Weakness in CIFS Authentication" et présentait ces résultats à Black Hat l'année suivante.
Depuis la première mouture de SMBRelay, cette vulnérabilité a été redécouverte et améliorée par deux iraniens, a été intégrée dans le framework Metasploit en juillet 2007. Enfin, un SMBRelay3 a vu le jour cette année, avec le support des authentifications HTTP.
On se la rejoue timeline ? Allez, pour la route :
- 1996 - Dominique Brezinski publie "A Weakness in CIFS Authentication" ;
- 1997 - Dominique Brezinski présente à Black Hat ;
- 2000 - Dildog exploite la faille pour récupérer des idenfiants à partir d'un telnet, présente à Defcon et publie ;
- 2001 - Sir Dystic publie SMBRelay.
- 2003 - Salman Niksefat et Haamed Gheibi redécouvrent la faille ;
- 2007 - Intégration dans Metasploit
- 2008 - Sortie de SMBRelay3 et patch en novembre...
On est en droit de se demander ce qui peut justifier ces quelques douze ans d'attente, ou tout au moins les sept qui séparent la publication d'un outil qui fait vraiment mal d'une correction. Le MSRC répond qu'il s'agit essentiellement d'un problème protocolaire. Encore un cas qui illustre l'effet parfois, voire souvent, dévastateur de la compatibilité ascendante si chère à Microsoft, mais qui leur rend la vie si dure quand il s'agit de combler les failles de protocoles antédiluviens, en particulier tout ce qui touche aux authentifications. Il n'y a qu'à voir : fin 2008, on parle encore de SMBRelay, de Pass-The-Hash et de Rainbow Tables...
Commentaires
1. Le lundi 17 novembre 2008 à 07:28, par Tyop?
Réponse de Sid
2. Le lundi 17 novembre 2008 à 12:40, par XPO
3. Le mardi 18 novembre 2008 à 15:23, par newsoft
4. Le mardi 18 novembre 2008 à 21:36, par XPO
5. Le dimanche 23 novembre 2008 à 17:25, par frog
Ajouter un commentaire
Les commentaires pour ce billet sont fermés.