Des sites pourraient être capables de faire planter des machines sur Windows 7 et 8.1
En exploitant un bogue dans le mécanisme de NTFS

Le , par Stéphane le calme, Chroniqueur Actualités
Les utilisateurs Windows 7 et 8.1 sont vulnérables à un bogue qui permet aux sites Web de ralentir, voire de faire planter, leurs machines. Récemment découvert par une firme de sécurité russe, le bogue en question est essentiellement la reprise d’un vieux bogue de l’époque de Windows 95 et 98 et exploite le fichier de système NTFS.

Pour rappel, le bogue touchant Windows 9.X était lié à la manière dont ces systèmes interprétaient les noms de fichiers spéciaux. Windows a un certain nombre de noms de fichiers qui sont « spéciaux », car ils ne correspondent à aucun fichier réel, au lieu de cela, ils représentent des périphériques matériels. Ces noms de fichiers spéciaux peuvent être consultés depuis n'importe quel emplacement du système de fichiers, même s'ils n'existent pas sur le disque.

Windows 95 et Windows 98 permettaient aux utilisateurs d’utiliser des noms de fichier représentant des périphériques matériels. Le plus utilisé à l’époque était le « con » et il représentait la console physique.

Il suffisait alors qu’une page web faisant référence à un nom de fichier comprenant deux fois cette référence (par exemple c:\con\con) par le biais de l’un de ses éléments (par exemple une image) pour faire planter le système de ses visiteurs sous Windows 95 et 98 et provoquer l’apparition d’un BSoD. Microsoft avait alors déployé un correctif pour éliminer cette vulnérabilité.

Notons que n’importe quel autre nom de fichier spécial en double aurait pu fonctionner, le fichier représentant la console physique était simplement le plus utilisé.

Cette fois-ci, le nouveau bogue, qui ne semble pas affecter Windows 10, utilise un autre nom de fichier spécial : $ MFT (Master File Table, qui stocke les informations requises pour récupérer des fichiers à partir d'une partition NTFS). Le fichier existe dans le répertoire racine de chaque volume NTFS, mais le pilote NTFS le gère de manière spéciale, et il est caché de la vue et inaccessible à la plupart des logiciels.

Les tentatives pour ouvrir le fichier sont normalement bloquées. Toutefois, si le nom de fichier est utilisé comme s'il s'agissait d'un nom de répertoire, par exemple, en essayant d'ouvrir le fichier c: \ $ MFT \ Stephane, alors le pilote NTFS va bloquer l’accès sur le fichier sans jamais le relâcher. Conséquence ? Chaque opération subséquente d'accès au système de fichiers va attendre que le verrou soit relâché et le système va ralentir jusqu’à en devenir complètement paralysé. La machine pourrait alors devenir inutilisable jusqu’à ce qu’elle soit redémarrée.


Comme c'était le cas avec le bogue sur Windows 9.x, les pages Web qui utilisent le mauvais nom de fichier, à l’instar d’une source d'image, vont provoquer le bogue et la machine va cesser de répondre. En fonction de ce que la machine fait simultanément, vous pourrez obtenir un écran bleu. Quoi qu'il en soit, vous devrez redémarrer pour pouvoir travailler à nouveau dans les meilleures conditions. Notons que certains navigateurs vont bloquer les tentatives d'accès à ces ressources locales, mais Internet Explorer, par exemple, va tenter d’accéder au mauvais fichier.

La firme de sécurité russe explique que pour comprendre le problème, vous devez comprendre le fonctionnement de la fonction NtfsCommonCreate du système de fichiers NTFS. Il est représenté sur la figure ci-dessous pseudocode très simplifié. Il ne montre que les parties de fonctions qui sont directement liées au problème.


Le système de fichiers NTFS stocke l'arborescence des fichiers/répertoires déjà ouverts. Il est donc conseillé d'augmenter la productivité pour trouver le fichier cible dans l'arborescence au lieu du volume de lecture à plusieurs reprises.

Source : billet de présentation du problème (en russe)


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de NSKis NSKis - Membre émérite https://www.developpez.com
le 28/05/2017 à 13:41
Oyé! Oyé! Gentes dames et preux chevaliers!
"Des sites pourraient être capables de faire planter des machines sur Windows 7 et 8.1"!!!

C'était un message du service marketing de Nanosoft en charge de la commercialisation Win10: Soyez sympa! Faites-vous espionner avec le sourire... C'est pour votre bien!
Avatar de BufferBob BufferBob - Expert confirmé https://www.developpez.com
le 28/05/2017 à 17:52
@NSKis oui, comme moyen pour pousser les utilisateurs à migrer vers Windows 10 c'est retord (faut-il préciser que c'est une blagounette ?)

sinon au cas où certains se poseraient la question, dans "des sites pourraient" on peut faire sauter le conditionnel, c'est avéré: c'est trivial à exploiter, et c'est à mon avis tout le problème de cette vulnérabilité, on se croirait revenu au temps des vulns sous IIS4
Avatar de Gobogobolabooga Gobogobolabooga - Nouveau Candidat au Club https://www.developpez.com
le 28/05/2017 à 19:22
Ça va être compliqué pour un site web d'exploiter ce bug. Les navigateurs ne permettent pas d'accéder au système de fichier via Javascript ou l'attribut src des balises telles que iframe, img ou embed tant que l'URL de la page n'a pas le schéma file:// : raison évidente de sécurité. Et Flash requiert une autorisation explicite pour y avoir accès. Seuls vecteurs pour y parvenir: Applet Java ou VBS sous IE6.
Avatar de BufferBob BufferBob - Expert confirmé https://www.developpez.com
le 28/05/2017 à 23:21
Citation Envoyé par Gobogobolabooga Voir le message
Ça va être compliqué pour un site web d'exploiter ce bug (...)
comme dit juste au dessus ça s'exploite comme qui rigole et ça marche du tonnerre, le mieux c'est probablement d'essayer pour s'en convaincre...
Avatar de Eric30 Eric30 - Membre régulier https://www.developpez.com
le 29/05/2017 à 9:04
comme dit juste au dessus ça s'exploite comme qui rigole et ça marche du tonnerre, le mieux c'est probablement d'essayer pour s'en convaincre...
D'après TechReport:

Most browsers will block any attempt to access local content, but at least on Internet Explorer, the exploit can apparently be triggered simply by using a faulty path as a source for page content like an image.
Avatar de BufferBob BufferBob - Expert confirmé https://www.developpez.com
le 29/05/2017 à 11:04
d'acc.
Offres d'emploi IT
Ingénieur système de commande de vol H/F
Safran - Ile de France - Massy (91300)
Responsable de lot vérification et qualification (IVVQ) H/F
Safran - Alsace - MASSY Hussenot
Architecte / concepteur électronique analogique H/F
Safran - Ile de France - Éragny (95610)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil