Discussion :

[Hinault Romaric]

Les correctifs de sécurité de Microsoft pourraient être exploités par rétro-ingénierie
Pour créer des attaques par déni de service


Les pirates pourraient utiliser les correctifs de sécurité de Microsoft par rétro-ingénierie pour créer des attaques par déni de service (DoS) sur les systèmes d’exploitation Windows.

La découverte a été faite par un cabinet de sécurité du nom de Qualys qui aurait pu mettre sur pied une preuve de faisabilité (PoC).

Avec cette méthode, des pirates pourraient avoir les informations et comprendre les mécanismes des failles qui ont été corrigées dans un patch, pour ensuite mettre au point une attaque par DoS ciblant les systèmes non-patchés et encore vulnérables.

La société rappelle par là-même l’importance de mettre immédiatement son système d’exploitation à jour après publication d’un Patch Tuesday par Microsoft.

Dans son PoC, Qualys utilise un correctif de sécurité publié récemment, qui patchait deux failles de sécurité dans le DNS de Windows Server et qui avaient été qualifiées de critiques par Microsoft. La société y décrit dans le détail toutes les étapes nécessaires à un pirate pour développer une attaque.

Pour repérer les failles qui ont été corrigées et comprendre leur mécanisme et les changements qui ont été apportés au système, les chercheurs en sécurité de Qualys ont utilisé TurboDiff un utilitaire de "binary-diffing" qui analyse les différences de fonction entre deux binaires.

Une fois les vulnérabilités identifiées dans le patch, les chercheurs ont été capables de rendre indisponible l’un de leurs serveurs DNS en peu de temps.

Conclusion, les utilisateurs sont invités à mettre rapidement et régulièrement à jour leurs OS.

Source : Qualys


Et vous ?

Que pensez-vous de ce PoC ?

[Neko]

Vu le concept. Ça semble pas être cantonné à MS, mais tous les softs qui utilisent des patchs pour se mettent à jour. Non ?

[_informix_]

Les correctifs de sécurité de Microsoft pourraient être exploités par rétro-ingénierie


Si le conditionnel n'existait pas beaucoup de personnes vont se retrouver au chomage.

[Seb33300]

C'est pour ça que ça s’appelle des failles de sécurité...

Dans le cas des OS libres c'est la même chose, sauf que les hackers n'ont pas besoin de faire de la rétro-ingénierie, ils ont déjà le code source qui est fourni...

[GonMad]

Le code source dans la grande majorité des cas n'as rien à voir avec les failles.

Le développeur à trop souvent tendance à oublier qu'une fois la compilation, le programme ne tiens pas exactement la conduite qu'il a décrite.
Et il n'as certainement ni le temps, ni l'envie de mettre son nez dans ces binaires.

[Uther]

Rien de nouveau.
C'est une évidence même qu'en faisant de la rétro-ingénierie sur les patchs, on peut trouver les failles corrigées, et les exploiter. C'est le contraire qui aurait été étonnant.

[sevyc64]

Rien de nouveau.
C'est une évidence même qu'en faisant de la rétro-ingénierie sur les patchs, on peut trouver les failles corrigées, et les exploiter. C'est le contraire qui aurait été étonnant.

C'est pas vraiment ce qui est dit

La rétro-ingénierie permettrait de découvrir comment la faille a été corrigée, et donc en déduire en quoi elle consistait avant d'être corrigée.
A partir de là il est possible de concevoir de quoi exploiter cette faille sur les machines ou elle n'est pas encore corrigée (ou le patch n'a pas été appliqué). Donc dans la théorie, ça devrait être aucune, la réalité est tout autre.

[Uther]

Je ne vois pas vraiment la différence avec ce que j'ai dit.

Toujours est il que faire de la rétro-ingénierie sur le patch de sécurité pour attaquer des machine non encore patchées et une technique aussi vieille que les patchs de sécurité.
Ça nous a entre autre valu les vers les plus chiant connus comme Sasser

[sevyc64]

Sauf erreur de ma part (je ne connais pas l'historique par coeur), il me semble que les saloperies comme blaster, sasser et autres ILoveYou sont sortis avant les patchs corrigeant les failles exploitées. Ils n'ont donc pas du profiter de la rétro-ingénierie. Ceci dit il y a tellement de failles corrigées au fil des mois que je peux me tromper.

EDIT : pas vu le lien Effectivement il semblerais que le vers est sorti après le correctif.

Je ne vois pas vraiment la différence avec ce que j'ai dit.

La différence est que tel que tu l'as dit On peut comprendre que le patch permet de trouver une faille corrigée et que c'est cette faille corrigée qui est exploitée, alors qu'il faut comprendre en fait que la rétro-ingénierie sur le patch peut permettre de comprendre le fonctionnement de la faille avant correction par le patch et de savoir comment l'exploiter sur des machines non patchée donc avec la faille encore existante.

C'est la même chose pour toi, mais ta phrase n'était pas claire, tout au moins pour moi.

[Uther]

La différence est que tel que tu l'as dit On peut comprendre que le patch permet de trouver une faille corrigée et que c'est cette faille corrigée qui est exploitée

Quand je parlais d'exploiter la faille, le "avant correction" était sous-entendu vu que par définition, une faille corrigé n'est plus exploitable.