Un HADOPIciel qui aurait pu tourner au botnet...
Par Sid,
mardi 15 juin 2010 à 19:08 :: (In)Sécurité
Lu 9131 fois :: #415
:: rss
:: atom
::
English
ans mon précédent billet sur le désormais célèbre logiciel de sécurisation proposé par Orange, j'écrivais : "Mais comme atteindre le fond n'empêche pas de creuser, je ne serais malheureusement pas trop étonné de voir sortir des vulnérabilités sur le client lui-même". Et bien c'est fait. Cette piètre prédiction vient de se réaliser.
Intitulé "Patriotic botnet with Orange's HADOPI software" et posté sur la liste Full Disclosure, un message signé du Cult of the Dead HADOPI décortique le client de fond en comble. Et le moins qu'on puisse dire, c'est que ça pique les yeux...
Beaucoup ont dû bien se marrer en lisant ce rapport d'analyse. Perso, ça me met plus en colère qu'autre chose. Je ne comprends pas qu'on puisse proposer ce genre de... logiciel... Ça me dépasse. Et même à le considérer sous l'angle froid du simple profit, il était tellement évident qu'il allait passer à la moulinette sitôt sorti et que la moindre bévue ferait le buzz, que j'ai du mal à comprendre la démarche. Mais bon, des fois, il faut arrêter de vouloir comprendre...
Au programme des festivités techniques, ce document nous propose :
- le démontage du système d'activation ;
- le contournement du mot de passe protégeant les fonctions d'administration du logiciel ;
- l'exécution de code poussé par le serveur sans authentification ;
- la prise de contrôle d'un client via le truchement d'un proxy.
La conclusion du message laisse quant à elle penser qu'il reste des choses à découvrir...
Comme je le craignais, le serveur peut bel et bien pousser du code vers les clients pour, manifestement, les mettre à jour. Ce code est alors exécuté par un service tournant avec les privilèges... SYSTEM. D'après l'analyse, ce code n'est pas signé. Et comme nous savons déjà que la communication avec le serveur ne fait l'objet d'aucune protection, on imagine assez aisément où ça nous amène : directement à la case exécution de code à distance en mode privilégié. Si on rapproche ceci de la découverte de Bluetouff et de la possible prise de contrôle du serveur via sa console d'administration, on obtient en pratique un joli Command&Control de botnet, façon Orange... Au frais de ses utilisateurs qui plus est...
Dans la mesure où ces identifiants ont, paraît-il, été modifiés et le service arrêté, on est à présent à l'abri d'un tel scénario. Sauf que figurez-vous qu'il y en a déjà un autre qui se profile à l'horizon. En effet, ce magnifique logiciel se divise apparemment en deux modules. Le premier est un service Windows qui tourne en SYSTEM et qui se charge des fonctions de protection. Le second est une GUI qui sert à paramétrer l'ensemble via la fourniture d'un mot de passe. La communication entre les deux processus se fait via un tube nommé... accessible par l'utilisateur du système... sans la moindre authentification !? Ce qui veut tout simplement dire que si quelqu'un veut reconfigurer le logiciel, voire le désactiver, il lui suffit tout simplement d'envoyer les commandes qui vont bien via le tube.
Maintenant, comment nous propose-t-on d'exploiter ça ? Simple. Un des paramètres de configuration permet de spécifier un proxy HTTP pour relayer les communications du client vers le serveur. Il suffit donc de modifier cette valeur pour rediriger les flux vers un point unique, lequel demandera au client de demander un mise à jour et lui fournira un joli binaire en retour. Ce dernier sera exécuté avec les droits SYSTEM par le service qui va bien. CQFD. Sinon, on doit bien pouvoir se passer du proxy en injectant du code directement dans le process. Si on n'a pas là une magnifique élévation de privilèges accessible au premier malware venu, je ne m'y connais pas...
Il est donc clair que ce logiciel, en plus d'être inutile puisque le serveur supposé lui fournir les signatures de programmes à bloquer est aux abonnés absents, est dangereux. Je ne saurais donc trop recommander à ceux qui l'utilisent de le désinstaller au plus vite. Et au cas où vous vous prendriez à penser qu'il vous rend HADOPI-compliant, rassurez-vous : comme il n'est pas labellisé, son utilisation ne vous apportera certainement aucune protection contre d'éventuelles sanctions. Et profitez-en pour remercier ceux qui ont trouvé tout ça de l'avoir publié : c'est grâce à eux que vous avez pu vous protéger et que le système a été abandonné. S'ils avaient gardé tout ça pour eux et que le système s'été généralisé...
Je disais donc que voir ça me mettait en colère. C'est honteux de pondre des trucs comme ça et de les vendre. Il y en a qui devraient aller se cacher, s'enterrer au bout du monde. Je comprends mieux que ça ne soit pas passé par une CSPN, ça aurait été un échec colossal, un clouage au pilori. Imaginez donc. Voilà un logiciel censé vous protéger et bloquer l'exécution de binaires identifiés sur la base de signature[1]. Un logiciel qui tourne en SYSTEM et prend des commandes de simples utilisateurs sans la moindre authentification. Un logiciel qui tourne en SYSTEM et qui va recevoir et exécuter du code non signé, via une connexion non protégée...
À vrai dire, quand je dissertais sur les conséquences de l'exploitation d'un tel logiciel, je ne m'imaginais pas un tel fiasco. Je pensais à des failles, des vraies, comme en font les gens de bonne volonté mais pas forcément compétents. Des trucs comme des bourdes de programmation ou un algorithme de signature mal foutu. Mais certainement pas à un soft conçu en dépit du bon sens...
Au moins, vu l'ampleur des dégâts, il est clair que ce logiciel est désormais mort et enterré. D'ailleurs, il n'est plus disponible au téléchargement cet après-midi. Voilà une perte que personne ne pleurera...
Update : on apprend de diverses sources que l'offre est interrompue et qu'Orange n'envisage pas de proposer un nouveau logiciel. C'est une décision avisée et on notera qu'elle a été prise assez rapidement si on considère les le contexte.
Notes
[1] Tiens, ça me rappelle un type de protection qui se fait régulièrement taxer d'inefficacité...
Commentaires
1. Le mardi 15 juin 2010 à 19:50, par christian
Réponse de Sid
2. Le mardi 15 juin 2010 à 20:30, par Procrastinateur
3. Le mardi 15 juin 2010 à 20:39, par Mat
Réponse de Sid
4. Le mardi 15 juin 2010 à 20:51, par Mat
5. Le mardi 15 juin 2010 à 21:01, par Gérard
6. Le mardi 15 juin 2010 à 21:09, par yom
7. Le mardi 15 juin 2010 à 21:41, par newsoft
8. Le mercredi 16 juin 2010 à 00:06, par Jeremy
Réponse de Sid
9. Le mercredi 16 juin 2010 à 09:18, par neerd
10. Le mercredi 16 juin 2010 à 12:03, par Jerome
Réponse de Sid
11. Le mercredi 16 juin 2010 à 14:15, par neerd
12. Le mercredi 16 juin 2010 à 16:54, par R. Smith
Réponse de Sid
13. Le mercredi 16 juin 2010 à 21:52, par Mat
14. Le jeudi 17 juin 2010 à 14:24, par Nicob
15. Le mardi 22 juin 2010 à 13:31, par goldorak
Réponse de Sid
Ajouter un commentaire
Les commentaires pour ce billet sont fermés.