Mise à jour du 01/09/10
Il ne suffit pas de s'appeler Microsoft pour que les éditeurs corrigent leurs applications d'un coup de baguette magique. Malheureusement.
Résultats, Windows est toujours exposé au « DLL Preloading », une vulnérabilité présente dans de très nombreuses – et très populaires – applications comme Firefox, LiveMail, Office 2007, etc. (lire ci-avant pour plus de détails sur la liste et cette faille liée au pré-chargement des librairies).
Le problème tient au fait que la responsabilité de ces vulnérabilités n'est pas imputable à Microsoft.
Qu'à cela ne tienne, ses équipes de sécurité planchent durement sur le dossier.
La première solution proposée était particulièrement peu « user friendly », une dimension importante à prendre en compte si l'on veut que les utilisateurs appliquent les correctifs.
Microsoft proposait - et propose toujours - une nouvelle entrée de Registre, baptisée CWDIllegalInDllSearch, pour contrôler l'algorithme de recherche de chemin d'accès aux fichiers DLL (lire ci-avant).
« Une fois installé, cet outil a encore besoin d'être configuré pour bloquer les comportements malicieux et nos clients nous ont demandé quels étaient les paramètres recommandés », explique Jerry Bryant, porte parole de Microsoft dans cette affaire. « En conséquence de quoi, [nos équipes] ont travaillé pour développer un "Fix-It" qui active par défaut les paramètres que nous recommandons et qui bloquerons la plupart des vecteurs d'attaque distante ».
Mais cette solution, qui consiste à appliquer le premier outil puis le Fix-It, n'est toujours pas simple. En tout cas pas assez pour les non-experts en sécurité.
Microsoft en a bien conscience : « beaucoup d'entreprises nous ont demandé de rendre plus facile l'application de cet outil », admet Bryant.
Redmond réfléchit donc à présent à la manière d'intégrer ces défenses directement dans une prochaine mise à jour de ses OS.
Ces deux outils devraient faire leur apparition en priorité dans le prochain Windows Update de Windows Server (« dans les deux semaines », estime aujourd'hui Bryant), puis pour le grand public (Windows XP, Vista, 7). Sans autre précision sur la date de sortie de cette mise à jour pour cette catégorie d'utilisateurs.
La nouvelle entrée de Registre CWDIllegalInDllSearch est disponible ici
Le Fix-It est disponible là
Pour mémoire, Microsoft propose aussi la solution de désactiver le service WebClient et de bloquer les ports TCP 139 et 445
Source : Billet sur le Microsoft Securtity Response Center
Et vous ?
Avez-vous appliqué ces protections ou attendez-vous la mise à jour intégrée à Windows Update ?
MAJ de Gordon Fowler
Mise à jour du 25.08.2010 par Katleen
Plus de 100 logiciels seraient vulnérables aux attaques en DLL preloading, dont Live Mail, iTunes, Firefox, etc...
Suite aux révélations de Microsoft de la vulnérabilité de certaines applications tournant sous Windows à des attaques par "DLL preloading", la liste des programmes concernés n'avait pas été communiquée. C'est désormais chose faite, grâce à la base de données Exploit-db.
Les experts de ce site spécialisé n'ont pas attendu que les chercheurs de Microsoft aient achevé d'examiner tous les logiciels de la firme pour identifier et publier une liste de ceux y étant vulnérables.
On apprends ainsi que Windows Live Mail, Windows Movie Maker, Microsoft PowerPoint 2010, Office 2007 et Windows Address Book (sur XP uniquement pour ce cas précis) seraient sensibles aux attaques par DLL preloading. Microsoft ne s'est pas encore exprimé sur ces révélations.
La communauté Exploit-db ne s'est d'ailleurs pas arretée aux produits de l'éditeur de Redmond, mais en a scanné bien d'autres. Firefox 3.6.8, Foxit Reader, Wireshark, uTorrent, iTunes 9.0, ... sont également vulnérables.
D'après Acros Security, plus de 100 logiciels seraient concernés par le problème. Et, au fur et à mesure des tests, la liste pourrait s'allonger...
Comme le problème ne vient pas de la plateforme de Microsoft, il n'y aura pas un correctif de Windows mais bien un correctif par application pour règler le problème.
En attendant, la plus grande vigilance est recommandée envers les DLL distantes. Microsoft conseille à ses utilisateurs de désactiver l'appel de librairies depuis WebDAV, ainsi que de désactiver le service WebClient tout en bloquant les ports TCP 139 et 445.
La suite au prochain numéro...
Source : exploit-db.com
Microsoft sort un outil pour bloquer des attaques qui exploiteraient les DLL
Rapid7 propose un Kit pour auditer les applications touchées par cette nouvelle menace
Pour une réaction rapide, c'est une réaction rapide.
Dans un bulletin de sécurité publié hier soir, Microsoft mettait en garde les utilisateurs de Windows contre l'utilisation des fichiers DLL (ou plus exactement leur preloading – ou pré-chargement) dans de possibles attaques contre le système.
La menace est assez sérieuse puisque d'après Rapid7, une société spécialisée dans la sécurité informatique, une quarantaine d'applications pourraient servir de vecteur à ces assauts.
Concrètement, l'attaque consiste à leurrer les applications en leur faisant pré-charger une librairie (une DLL) malicieuse à la place d'une DLL habituelle. Ce type d'attaque existait déjà mais la nouveauté de la vulnérabilité dévoilée par Microsoft tient au fait que cette librairie viciée peut être stockée sur un support USB, un serveur distant ou un réseau partagé (« un emplacement non certfié », dit Microsoft).
Résultat, il devient possible de faire exécuter à distance un code contenu dans une DLL par le biais des applications touchées, et que Rapid7 se refuse à nommer.
Microsoft souligne qu'il ne s'agit pas d'une faille de ses OS mais bien d'une vulnérabilité liée aux applications et donc d'erreurs potentielles de conception de la part des éditeurs. Certaines applications ne prennent en effet pas la peine d'indiquer le chemin complet de l'emplacement d'une DLL pour la charger. D'où la possibilité, en utilisant le même nom de fichier, de leurrer ces logiciels tiers.
Microsoft ne fait néanmoins pas preuve de triomphalisme. Redmond affirme en effet être en train de passer au crible ses propres produits pour s'assurer qu'aucun d'entre eux n'est exposé.
Face à cette menace, Microsoft a décidé de proposer le plus rapidement possible « une nouvelle clé de Registre CWDIllegalInDllSearch qui permet aux utilisateurs de contrôler l'algorithme de recherche de chemin d'accès de fichier DLL. L'algorithme de recherche de chemin d'accès de fichier DLL est utilisé […] lorsque les fichiers DLL sont chargés sans qu'un chemin complet soit spécifié ».
Les responsable sécurité pourront se rendre sur la page de CWDIllegalInDllSearch pour prendre connaissance du détail de la manipulation.
De son coté, Rapid7 propose un « Kit » gratuit et une méthode destinée aux développeurs qui souhaitent tester leurs applications. Il est disponible, ainsi que les explications, sur cette page.
A priori Apple devrait être une des premières sociétés à réagir puisque son très célèbre gestionnaires de contenus multimédia iTunes ferait partie de la liste des applications concernées.
Une bibliothèque avec un problème de librairie en quelque sorte.
Source : Bulletin d'alerte de Microsoft, Billet de Rapid7, iTunes concerné d'après Acros Security
Lire aussi :
Windows : bilan sur le nouvel exploit zero-day : pour les experts, il s'agit d'une première tant l'attaque est ciblée, étudiée et complexe
La moitié des attaques informatiques bénéficient de complicités internes, selon les Services Secrets américains et Verizon
Un groupe anonyme veut se venger de Microsoft après "sa campagne anti-Ormandy" et dévoile une nouvelle vulnérabilité de Windows
Windows : nouvelle faille mineure dans le noyau, Travis Ormandy de Google l'utilise tout de même pour critiquer Microsoft
Les rubriques (actu, forums, tutos) de Développez :
Sécurité
Windows
Plus de 100 logiciels seraient vulnérables aux attaques en DLL preloading
Dont Live Mail, iTunes, Firefox, etc.
Plus de 100 logiciels seraient vulnérables aux attaques en DLL preloading
Dont Live Mail, iTunes, Firefox, etc.
Le , par Gordon Fowler
Une erreur dans cette actualité ? Signalez-nous-la !