Les correctifs de sécurité de Microsoft pourraient être exploités par rétro-ingénierie
Pour créer des attaques par déni de service
Le 2011-08-25 15:02:33, par Hinault Romaric, Responsable .NET
Les pirates pourraient utiliser les correctifs de sécurité de Microsoft par rétro-ingénierie pour créer des attaques par déni de service (DoS) sur les systèmes d’exploitation Windows.
La découverte a été faite par un cabinet de sécurité du nom de Qualys qui aurait pu mettre sur pied une preuve de faisabilité (PoC).
Avec cette méthode, des pirates pourraient avoir les informations et comprendre les mécanismes des failles qui ont été corrigées dans un patch, pour ensuite mettre au point une attaque par DoS ciblant les systèmes non-patchés et encore vulnérables.
La société rappelle par là-même l’importance de mettre immédiatement son système d’exploitation à jour après publication d’un Patch Tuesday par Microsoft.
Dans son PoC, Qualys utilise un correctif de sécurité publié récemment, qui patchait deux failles de sécurité dans le DNS de Windows Server et qui avaient été qualifiées de critiques par Microsoft. La société y décrit dans le détail toutes les étapes nécessaires à un pirate pour développer une attaque.
Pour repérer les failles qui ont été corrigées et comprendre leur mécanisme et les changements qui ont été apportés au système, les chercheurs en sécurité de Qualys ont utilisé TurboDiff un utilitaire de "binary-diffing" qui analyse les différences de fonction entre deux binaires.
Une fois les vulnérabilités identifiées dans le patch, les chercheurs ont été capables de rendre indisponible l’un de leurs serveurs DNS en peu de temps.
Conclusion, les utilisateurs sont invités à mettre rapidement et régulièrement à jour leurs OS.
Source : Qualys
Et vous ?
Que pensez-vous de ce PoC ?
La découverte a été faite par un cabinet de sécurité du nom de Qualys qui aurait pu mettre sur pied une preuve de faisabilité (PoC).
Avec cette méthode, des pirates pourraient avoir les informations et comprendre les mécanismes des failles qui ont été corrigées dans un patch, pour ensuite mettre au point une attaque par DoS ciblant les systèmes non-patchés et encore vulnérables.
La société rappelle par là-même l’importance de mettre immédiatement son système d’exploitation à jour après publication d’un Patch Tuesday par Microsoft.
Dans son PoC, Qualys utilise un correctif de sécurité publié récemment, qui patchait deux failles de sécurité dans le DNS de Windows Server et qui avaient été qualifiées de critiques par Microsoft. La société y décrit dans le détail toutes les étapes nécessaires à un pirate pour développer une attaque.
Pour repérer les failles qui ont été corrigées et comprendre leur mécanisme et les changements qui ont été apportés au système, les chercheurs en sécurité de Qualys ont utilisé TurboDiff un utilitaire de "binary-diffing" qui analyse les différences de fonction entre deux binaires.
Une fois les vulnérabilités identifiées dans le patch, les chercheurs ont été capables de rendre indisponible l’un de leurs serveurs DNS en peu de temps.
Conclusion, les utilisateurs sont invités à mettre rapidement et régulièrement à jour leurs OS.
Source : Qualys
Et vous ?
-
NekoMembre chevronnéVu le concept. Ça semble pas être cantonné à MS, mais tous les softs qui utilisent des patchs pour se mettent à jour. Non ?le 25/08/2011 à 15:53
-
_informix_Membre actifLes correctifs de sécurité de Microsoft pourraient être exploités par rétro-ingénierie
Si le conditionnel n'existait pas beaucoup de personnes vont se retrouver au chomage.le 25/08/2011 à 16:00 -
Seb33300Membre émériteC'est pour ça que ça s’appelle des failles de sécurité...
Dans le cas des OS libres c'est la même chose, sauf que les hackers n'ont pas besoin de faire de la rétro-ingénierie, ils ont déjà le code source qui est fourni...le 25/08/2011 à 16:24 -
UtherExpert éminent séniorRien de nouveau.
C'est une évidence même qu'en faisant de la rétro-ingénierie sur les patchs, on peut trouver les failles corrigées, et les exploiter. C'est le contraire qui aurait été étonnant.le 25/08/2011 à 18:28 -
GonMadNouveau membre du ClubLe code source dans la grande majorité des cas n'as rien à voir avec les failles.
Le développeur à trop souvent tendance à oublier qu'une fois la compilation, le programme ne tiens pas exactement la conduite qu'il a décrite.
Et il n'as certainement ni le temps, ni l'envie de mettre son nez dans ces binaires.le 25/08/2011 à 16:46 -
UtherExpert éminent séniorJe ne vois pas vraiment la différence avec ce que j'ai dit.
Toujours est il que faire de la rétro-ingénierie sur le patch de sécurité pour attaquer des machine non encore patchées et une technique aussi vieille que les patchs de sécurité.
Ça nous a entre autre valu les vers les plus chiant connus comme Sasserle 26/08/2011 à 7:31 -
UtherExpert éminent séniorQuand je parlais d'exploiter la faille, le "avant correction" était sous-entendu vu que par définition, une faille corrigé n'est plus exploitable.le 26/08/2011 à 8:40
-
sevyc64ModérateurSauf erreur de ma part (je ne connais pas l'historique par coeur), il me semble que les saloperies comme blaster, sasser et autres ILoveYou sont sortis avant les patchs corrigeant les failles exploitées. Ils n'ont donc pas du profiter de la rétro-ingénierie. Ceci dit il y a tellement de failles corrigées au fil des mois que je peux me tromper.
EDIT : pas vu le lienEffectivement il semblerais que le vers est sorti après le correctif. Je ne vois pas vraiment la différence avec ce que j'ai dit.
C'est la même chose pour toi, mais ta phrase n'était pas claire, tout au moins pour moi.le 26/08/2011 à 8:26 -
sevyc64ModérateurC'est pas vraiment ce qui est dit
La rétro-ingénierie permettrait de découvrir comment la faille a été corrigée, et donc en déduire en quoi elle consistait avant d'être corrigée.
A partir de là il est possible de concevoir de quoi exploiter cette faille sur les machines ou elle n'est pas encore corrigée (ou le patch n'a pas été appliqué). Donc dans la théorie, ça devrait être aucune, la réalité est tout autre.le 25/08/2011 à 20:22