Actu
CERT- XMCO : Compromission à distance d’un système Windows via l’ouverture d’un fichier spécialement conçu provoquant le chargement automatique d’une librairie malveillante
août 2010 par CERT-XMCO
* Microsoft Security Advisory (KB2269637) - Insecure Library Loading Could Allow Remote Code Execution
– Date : 25 Aout 2010
– Plateforme : Windows
– Programme : Microsoft Windows
– Gravité : Elevée
– Exploitation : Avec un fichier malicieux
– Dommage : Accès au système
– Description :
La faille de sécurité présente dans les applications Windows et liée au chargement automatique de librairies malveillantes fait beaucoup parlé d’elle.
Quelques jours après la publication du correctif pour iTunes (voir CXA-2010-1056) et du bulletin de sécurité [1] correspondant par la société AcrosSecurity, Microsoft, ainsi que tous les intervenants dans cette histoire, ont publié de nouvelles informations.
Pour rappel, HD Moore, le CTO de Rapid7 et auteur du framework d’exploitation Metasploit, avait commenté [2] vendredi soir dernier la publication du bulletin de sécurité d’Acros par une phrase laissant entendre à qui le voulait que cette faille de sécurité n’était pas liée qu’au lecteur de musique d’Apple, mais à de nombreuses autres (40 précisément) applications Windows. Rapidement l’information a fait le tour d’Internet, et le nombre d’applications vulnérables n’a cessé d’augmenter jusqu’à 200 et au-delà. De nombreux chercheurs ont étudié le bulletin de sécurité publié par Acros afin d’obtenir des pistes de recherche, et certains d’entre eux ont découvert des variantes de la faille de sécurité [3].
Lundi matin, le chercheur avait publié une preuve de concept ainsi qu’une suite outil dans le SVN de Metasploit, ainsi que l’exploit [4]. Dans la soirée, AcrosSecurity [5] et HD Moore [6][7] avaient chacun publié un communiqué afin d’expliquer leur point de vue sur la situation. Acros parlait entre autres de déposer un brevet sur les méthodes de détection de ce type particulier de vulnérabilité.
Microsoft avait alors réagi mardi matin en publiant à son tour un bulletin de sécurité [8] ainsi que plusieurs messages [9][10] reconnaissant la faille de sécurité. Celle-ci était en réalité connue depuis un certain temps, puisqu’un bulletin de sécurité [11] avait été publié en 2000, et que deux chercheurs avaient publié un document [12] présentant une variation de cette faille il y a environ 6 mois.
La faille de sécurité est donc connue depuis longtemps, et est n’a pas lié qu’au fonctionnement de Windows qui est décrit dans le MSDN [13] , mais aussi à la façon dont les applications reposant sur le système d’exploitation sont développées. Microsoft a donc proposé des solutions de contournements [14]. Un correctif [15] semble avoir été publié par Microsoft pour certains systèmes d’exploitation (Windows Server 2003 x64 SP2 et Windows XP x64).
Les différents intervenants ont depuis publié des mises à jour sur leurs blogs respectifs. Acros a ainsi clarifié la situation dans laquelle il se trouve avec Microsoft [16], alors que HD Moore a publié une nouvelle version de son outil d’audit [17].
Microsoft propose aussi un guide [18] pour les développeurs leur permettant de coder des applications sécurisées vis-à-vis de ce type de failles de sécurité.
La faille de sécurité en question est liée au chargement automatique par Windows de librairies (DLL) malveillantes lors du lancement d’une application. Un pirate déposant dans un dossier quelconque (local ou distant) un fichier associé à une application, ainsi qu’une librairie spécialement conçue peut compromettre le système d’un utilisateur simplement. Pour cela, le pirate n’a besoin que d’inciter la victime potentielle à ouvrir le fichier (par exemple un fichier audio, vidéo, un document Office...) afin que l’application vulnérable soit lancée, et que celle-ci charge automatiquement la librairie du pirate. L’ouverture de celle-ci permettra alors au pirate de compromettre le système de l’utilisateur, et d’obtenir les mêmes privilèges que ceux de la victime.
Enfin, comme cette faille de sécurité est liée à une fonctionnalité nécessaire au bon fonctionnement de Windows (qui existe par ailleurs dans la majorité des autres systèmes d’exploitation), Microsoft ne pourra pas corriger seul cette faille de sécurité, et tous les vendeurs d’application devront fournir un correctif pour chacune de leur application.
– Vulnérable :
* Windows
– Référence :
http://www.theregister.co.uk/2010/08/24/binary_planting_attack_advisory/
http://www.prevx.com/blog/153/An-oldnew-day-Windows-flaw-on-the-horizon.html
http://hackingexpose.blogspot.com/2010/08/old-new-windows-vulnerability.html
[1] http://www.acrossecurity.com/aspr/ASPR-2010-08-18-1-PUB.txt
[2] http://twitter.com/hdmoore/status/21510351207
[3] http://blog.zoller.lu/2010/08/cve-2010-xn-loadlibrarygetprocaddress.html
[4] http://www.metasploit.com/redmine/projects/framework/repository/revisions/10100
[5] http://acrossecurity.blogspot.com/2010/08/binary-planting-update-day-6.html
[6] http://blog.rapid7.com/?p=5325
[7] http://blog.metasploit.com/2010/08/exploiting-dll-hijacking-flaws.html
[8] http://www.microsoft.com/technet/security/advisory/2269637.mspx
[10] http://blogs.technet.com/b/msrc/archive/2010/08/21/microsoft-security-advisory-2269637-released.aspx
[11] http://www.securityfocus.com/bid/1699/info
[12] http://www.cs.ucdavis.edu/research/tech-reports/2010/CSE-2010-2.pdf
[13] http://msdn.microsoft.com/en-us/library/ff919712%28VS.85%29.aspx
[14] http://support.microsoft.com/kb/2264107
[15] http://www.microsoft.com/downloads/details.aspx?FamilyID=96f74b8f-fe85-4532-a38f-fc3b20317699
[16] http://acrossecurity.blogspot.com/2010/08/binary-planting-update-day-7.html
[17] http://blog.metasploit.com/2010/08/better-faster-stronger.html
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1056
– Correction :
Aucun correctif n’est actuellement disponible. Microsoft a proposé une solution de contournement à l’adresse suivante :
http://support.microsoft.com/kb/2264107
Néanmoins, pour assurer le bon fonctionnement du système, Microsoft ne pourra pas corriger seul cette faille de sécurité, et tous les vendeurs d’application devront fournir un correctif pour chacune de leur application.
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1076
