Les correctifs de sécurité de Microsoft pourraient être exploités par rétro-ingénierie
Pour créer des attaques par déni de service

Les rubriques (actu, forums, tutos) de Développez
Tags
Réseaux sociaux


 Discussion forum

Le , par Hinault Romaric, Responsable Actualités
Les pirates pourraient utiliser les correctifs de sécurité de Microsoft par rétro-ingénierie pour créer des attaques par déni de service (DoS) sur les systèmes d’exploitation Windows.

La découverte a été faite par un cabinet de sécurité du nom de Qualys qui aurait pu mettre sur pied une preuve de faisabilité (PoC).

Avec cette méthode, des pirates pourraient avoir les informations et comprendre les mécanismes des failles qui ont été corrigées dans un patch, pour ensuite mettre au point une attaque par DoS ciblant les systèmes non-patchés et encore vulnérables.

La société rappelle par là-même l’importance de mettre immédiatement son système d’exploitation à jour après publication d’un Patch Tuesday par Microsoft.

Dans son PoC, Qualys utilise un correctif de sécurité publié récemment, qui patchait deux failles de sécurité dans le DNS de Windows Server et qui avaient été qualifiées de critiques par Microsoft. La société y décrit dans le détail toutes les étapes nécessaires à un pirate pour développer une attaque.

Pour repérer les failles qui ont été corrigées et comprendre leur mécanisme et les changements qui ont été apportés au système, les chercheurs en sécurité de Qualys ont utilisé TurboDiff un utilitaire de "binary-diffing" qui analyse les différences de fonction entre deux binaires.

Une fois les vulnérabilités identifiées dans le patch, les chercheurs ont été capables de rendre indisponible l’un de leurs serveurs DNS en peu de temps.

Conclusion, les utilisateurs sont invités à mettre rapidement et régulièrement à jour leurs OS.

Source : Qualys

Et vous ?

Que pensez-vous de ce PoC ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Neko Neko
http://www.developpez.com
Membre Expert
le 25/08/2011 15:53
Vu le concept. Ça semble pas être cantonné à MS, mais tous les softs qui utilisent des patchs pour se mettent à jour. Non ?
Avatar de _informix_ _informix_
http://www.developpez.com
Membre actif
le 25/08/2011 16:00
Les correctifs de sécurité de Microsoft pourraient être exploités par rétro-ingénierie

Si le conditionnel n'existait pas beaucoup de personnes vont se retrouver au chomage.
Avatar de Seb33300 Seb33300
http://www.developpez.com
Membre Expert
le 25/08/2011 16:24
C'est pour ça que ça s’appelle des failles de sécurité...

Dans le cas des OS libres c'est la même chose, sauf que les hackers n'ont pas besoin de faire de la rétro-ingénierie, ils ont déjà le code source qui est fourni...
Avatar de GonMad GonMad
http://www.developpez.com
Nouveau Membre du Club
le 25/08/2011 16:46
Le code source dans la grande majorité des cas n'as rien à voir avec les failles.

Le développeur à trop souvent tendance à oublier qu'une fois la compilation, le programme ne tiens pas exactement la conduite qu'il a décrite.
Et il n'as certainement ni le temps, ni l'envie de mettre son nez dans ces binaires.
Avatar de Uther Uther
http://www.developpez.com
Expert Confirmé Sénior
le 25/08/2011 18:28
Rien de nouveau.
C'est une évidence même qu'en faisant de la rétro-ingénierie sur les patchs, on peut trouver les failles corrigées, et les exploiter. C'est le contraire qui aurait été étonnant.
Avatar de sevyc64 sevyc64
http://www.developpez.com
Modérateur
le 25/08/2011 20:22
Citation Envoyé par Uther  Voir le message
Rien de nouveau.
C'est une évidence même qu'en faisant de la rétro-ingénierie sur les patchs, on peut trouver les failles corrigées, et les exploiter. C'est le contraire qui aurait été étonnant.

C'est pas vraiment ce qui est dit

La rétro-ingénierie permettrait de découvrir comment la faille a été corrigée, et donc en déduire en quoi elle consistait avant d'être corrigée.
A partir de là il est possible de concevoir de quoi exploiter cette faille sur les machines ou elle n'est pas encore corrigée (ou le patch n'a pas été appliqué). Donc dans la théorie, ça devrait être aucune, la réalité est tout autre.
Avatar de Uther Uther
http://www.developpez.com
Expert Confirmé Sénior
le 26/08/2011 7:31
Je ne vois pas vraiment la différence avec ce que j'ai dit.

Toujours est il que faire de la rétro-ingénierie sur le patch de sécurité pour attaquer des machine non encore patchées et une technique aussi vieille que les patchs de sécurité.
Ça nous a entre autre valu les vers les plus chiant connus comme Sasser
Avatar de sevyc64 sevyc64
http://www.developpez.com
Modérateur
le 26/08/2011 8:26
Sauf erreur de ma part (je ne connais pas l'historique par coeur), il me semble que les saloperies comme blaster, sasser et autres ILoveYou sont sortis avant les patchs corrigeant les failles exploitées. Ils n'ont donc pas du profiter de la rétro-ingénierie. Ceci dit il y a tellement de failles corrigées au fil des mois que je peux me tromper.

EDIT : pas vu le lien Effectivement il semblerais que le vers est sorti après le correctif.

Je ne vois pas vraiment la différence avec ce que j'ai dit.

La différence est que tel que tu l'as dit On peut comprendre que le patch permet de trouver une faille corrigée et que c'est cette faille corrigée qui est exploitée, alors qu'il faut comprendre en fait que la rétro-ingénierie sur le patch peut permettre de comprendre le fonctionnement de la faille avant correction par le patch et de savoir comment l'exploiter sur des machines non patchée donc avec la faille encore existante.

C'est la même chose pour toi, mais ta phrase n'était pas claire, tout au moins pour moi.
Avatar de Uther Uther
http://www.developpez.com
Expert Confirmé Sénior
le 26/08/2011 8:40
Citation Envoyé par sevyc64  Voir le message
La différence est que tel que tu l'as dit On peut comprendre que le patch permet de trouver une faille corrigée et que c'est cette faille corrigée qui est exploitée

Quand je parlais d'exploiter la faille, le "avant correction" était sous-entendu vu que par définition, une faille corrigé n'est plus exploitable.
Offres d'emploi IT
Architecte JAVA/EE (H-F) (H/F)
CDI
Astek - Rhône Alpes - lyon
Parue le 01/11/2014
CONSULTANT-FORMATEUR AIS
CDI
Axway - Ile de France - Puteaux
Parue le 28/10/2014
Développeur web
CDD CDI
SARL NEXETO - Pays de la Loire - La Roche-sur-Yon (85000)
Parue le 29/10/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula