Discussion :

[méphistopheles]

Le problème de vite est assez relatif, il y a quelques années (plus d'une dizaine si mes souvenirs sont bons) des patchs et autres étaient diffusés toutes les semaines, mais les professionnels se sont plaints (enfin des articles sont parus le disant) que toutes les semaines c'était infaisable pour avoir le système à jour, d'où le système de correction mensuel.

microsoft peut très bien corriger des bugs tous les jours, mais vu que la correction ne sera publiée qu'à un rythme d'une fois par mois, on aura toujours l'impression que c'est plus lent que linux qui publie aussitôt la faille corrigée.

Je n'accuse pas windows de ne pas corriger ses failles, mais entre 1 mois et plusieurs année, il y a une différence.

Ensuite, le résultat est quand même qu'on a des systèmes non patché pendant un mois. Ce sont ces fameux professionnels qui doivent alors assumer le fait d'avoir un système relativement peu sécurisé, mais le fait d'avoir en compensation un antivirus parait par contre complètement aberrant, parce que lui fait ses mises à jours beaucoup plus souvent :s on dirait la rustine qui répare la roue parce que c'est trop difficile de mettre la roue de secours

[stardeath]

Je n'accuse pas windows de ne pas corriger ses failles, mais entre 1 mois et plusieurs années, il y a une différence.

Je n'ai pas dit que tu accuses, j'émets juste des réserves sur le "vite".

Ensuite, le résultat est quand même qu'on a des systèmes non patché pendant un moi. Ce sont ces fameux professionnels qui doivent alors assumer le fait d'avoir un système relativement peu sécurisé, mais le fait d'avoir en compensation un antivirus parait par contre complètement abherant, parce que lui fait ses mises à jours beaucoup plus souvent :s on dirait la rustine qui répare la roue parce que c'est trop difficile de mettre la roue de secours

Oui et non, certes les antivirus bouchent des trous de sécurité (qui devraient donc être corrigés), mais quand un utilisateur exécute quelque chose sans en connaitre la provenance, l'os aura beau être surprotégé, le mal sera quand même fait.

[grafikm_fr]

oui et non, certes les antivirus bouchent des trous de sécurité (qui devraient donc être corrigés), mais quand un utilisateur exécute quelque chose sans en connaître la provenance, l'os aura beau être surprotégé, le mal sera quand même fait.

Oui, voila, tout le souci est là. Parce que les POCs de trojans et assimilés sur les UNIX, ça existe depuis bien longtemps, c'est juste que ça intéresse personne vu la faible proportion de stations de travail sous Unix.

[méphistopheles]

Oui et non, certes les antivirus bouchent des trous de sécurité (qui devraient donc être corrigés), mais quand un utilisateur exécute quelque chose sans en connaitre la provenance, l'os aura beau être surprotégé, le mal sera quand même fait.

Oui, voila, tout le souci est là. Parce que les POCs de trojans et assimilés sur les UNIX, ça existe depuis bien longtemps, c'est juste que ça intéresse personne vu la faible proportion de stations de travail sous Unix.

Je ne parle absolument pas des failles utilisateur, car de ce coté là, je suis certains que linux est bien pire que windows (il suffit de voir l'efficacité du Kill All lors de l'aret de la station). Je parle de la capacité d'autoexécution des programmes qui, elle représente des failles qui ne dépendent pas de l'utilisateur (c'est à dire les programmes qui se lancent sans que l'utilisateur ait lancé quoi que ce soit). Et sur ce genre de problème contre lesquels, même un comportement averti est insuffisant, il me semble qu'une réactivité exemplaire est nécéssaire. Par contre, il est clair que si on donne les droits root à une application... à l'utilisateur ou à l'éditeur de l'application d'en payer les conséquences si conséquences il y a ...
Ensuite, windows a fait le choix de passer son temps à envoyer des messages d'avertissements anxiogène à ses utilisateurs pour résoudre ce genre de problème linux à décidé (? ) que ceux qui n'appliquent pas un minimum de précaution ne seraient pas ses utilisateurs. Je pense que la politique de windows est meilleure pour le grand public. Cela ne l'empêche pas pour autant d'avoir un système de correction de patch rapide.

[locro4]

Développer sur des sites sensibles des applis très particulières sous Windows me parait bizarre.

[Gordon Fowler]

Windows : Bilan sur le nouvel exploit zero-day
Une attaque particulièrement ciblée, étudiée et complexe pour les experts



Beaucoup a été dit sur la dernière attaque zero-day contre différentes versions de Windows (XP, Vista, Windows 7, Server 2003)

Pour faire le point sur cet exploit, nous avons tenté de résumer les choses clairement.

Voici les faits.

L'attaque utilise les supports amovibles (clefs USB, DD externes, etc.).

Le malware est un vers baptisé Stuxnet (Win32.Stuxnet).

Lorsque le support amovible est connecté à une machine, celle-ci est infectée à partir du moment où le raccourci corrompu s'affiche. L'utilisateur n'a pas besoin de cliquer sur le dit-raccourci. Cette attaque utilise en effet une vulnérabilité des fichiers « .ink ».

Tout support supplémentaire connecté à la machine attaquée devient à son tour porteur du vers.

Stuxnet vise – aujourd'hui – spécifiquement des produits logiciels de la firme Siemens.

L'attaque utilise deux autres malwares.

Un rootkit camoufle l'activité malveillante, tandis qu'un troisième code malicieux s'exécute pour « renifler » la présence – ou non – du logiciel de Siemens recherché.

Autre point crucial, l'attaque arrive à passer outre les certificats numériques de deux sociétés productrices de puces et de hardware (RealTek et Jmicron).

La thèse du vol des signatures numériques dans les locaux de ces deux sociétés Taïwanaises est avancée, d'autant plus qu'elles sont localisées dans le même complexe industrielle, mais il s'agit pour l'instant d'une hypothèse.

Une fois le logiciel de Siemens trouvé (le logiciel se nomme "Simatic WinCC"), Stuxnet utilise un identifiant et un mot de passe par défaut pour prendre le contrôle de la base de données SQL avec laquelle l'application fonctionne.

Pour la petite histoire, ce mot de passe serait disponible sur Internet depuis plusieurs années.

Le malware sélectionne alors les données qu'il a pour mission de chercher, puis les encode et - point étrange - tente de se connecter à un serveur distant pour les transmettre. Etrange puisque l'attaque vise des machines qui – par définition – ne sont pas connectées.

Coté source, l'attaque a d'abord été révélée par Brian Krebs, expert en sécurité, tandis que la société ukrainienne de sécurité VirusBlokAda revendique le premier repérage de Stuxnet.
Une preuve de faisabilité a été publiée la semaine dernière par Didier Stevens.
Microsoft a reconnu dans le même temps l'existence de cette vulnérabilité zero-day tandis que Sophos et Symantec ont publié chacun leurs analyses en début de semaine (lire ci-avant).

Si le malware ne touche que l'es utilisateurs de Simatic WinCC, les autres auraient torts de se réjouir.

Une telle attaque, aussi complexe et aussi ciblée (une première pour de nombreux experts), se fonderait sur un mécanisme assez facilement modifiable pour que le vers puisse s'intéresser à n'importe quelle autre cible. C'est en tout cas ce que craint Sophos.

Siemens et Microsoft travaillent sur des mises à jour.

En attendant ces updates, Microsoft a sortit un patch automatisé... qu'il est fortement recommandé de ne pas appliquer sous peine de voir Windows devenir quasiment inutilisable.

Le fix désactive en effet les raccourcis et transforme toutes les icônes en logo blanc. La barre des tâches et le menu démarrer deviennent ainsi quasiment inutilisables. Microsoft reconnaît d'ailleurs que Fix It (le nom du patch) « impacte la facilité d'utilisation » de l'OS.

Si vous souhaitez néanmoins l'appliquer, il est disponible sur cette page.

Les commanditaires de l'attaque sont encore inconnus (et il y a de fortes chances qu'ils le restent).

Mais l'objectif est clair. Il porte un nom bien connu, lui : espionnage industriel.


Sources :

Bulletin de sécurité de Microsoft

Sophos : ce billet et celui-ci

Le PoC de Didier Steyens

Le billet de Brian Krebs sur l'attaque, et la découverte de Stuxnet par VirusBlokAda

[sevyc64]

Pour revenir sur la polémiques des failles Windows non corrigées après plusieurs années alors que sous Linux c'est corrigé dans les 48h, cette faille-ci, bien que vieille et s'appliquant à toutes les versions de Windows de W2000 à W8 pas encore sorti, elle n'aurait été découverte que très récemment, pas plus de quelques jours.

Selon quelques rumeurs, le processus mis en place s'attacherait à contourner la correction d'une faille déjà existante sur les .lnk, correction qui serait en place depuis déjà de nombreuses années tant dans Windows que dans tous les antivirus du marché, ouvrant ainsi une brèche très difficile à détecter.

Pour le moment, la date d'apparition de ce virus ne semble pas avoir encore été identifiée. Celui-ci contaminerait potentiellement une très grande quantité de machines mais ne serait actif (et détectable pour le moment) exclusivement que sur les machines ayant un des logiciel de la gamme Siemens Symatic WinCC ou de la gamme Siemens Symatic STEP 7 d'installé.

Seul Siemens semble ciblé, mais les autres éditeurs de logiciels de supervisions se tiennent au courant et suivent l'affaire de près.

Le malware sélectionne alors les données qu'il a pour mission de chercher, puis les encode et - point étrange - tente de se connecter à un serveur distant pour les transmettre. Étrange puisque l'attaque vise des machines qui – par définition – ne sont pas connectées.

Les machines de supervisions sont par définitions connectées au réseau entreprise. Si dans certaines installations plus sensibles elles peuvent disposées d'un réseau propre, souvent c'est le réseau classique de l'entreprise.
De plus, de plu en plus de ces machines sont connectées à internet pour pouvoir faire de l'administration à distance voire même directement de la supervision à distance sur des sites ne possédant pas de personnel en permanence notamment les jours de faibles activités comme les we, etc .....

[méphistopheles]

Pour revenir sur la polémiques des failles Windows non corrigées après plusieurs années alors que sous Linux c'est corrigé dans les 48h, cette faille-ci, bien que vieille et s'appliquant à toutes les versions de Windows de W2000 à W8 pas encore sorti, elle n'aurait été découverte que très récemment, pas plus de quelques jours.

Effectivement, et bravo
bon, pour la diffusion, c'est pas encore ça, mais j'imagine mal les utilisateurs être contents s'ils voient toutes leurs icônes remplacées par des carres blancs et la barre des taches disparaitre ...

Par contre, la faille doit être vraiment sérieuse pour qu'ils proposent un patch de ce genre... et relativement complexe pour qu'ils ne proposent pas une correction mais une désactivation complète de la fonction

[sevyc64]

Par contre, la faille doit être vraiment sérieuse pour qu'ils proposent un patch de ce genre... et relativement complexe pour qu'il ne proposent pas une correction mais une désactivation complète de la fonction

Non cela traduit plus la nécessité pour Microsoft de rassurer un milieu, principale cible, extrêmement sensible, que la complexité du problème (celui-ci n'étant pas encore totalement analysé).
Certaines installations (dont une que je connais personnellement) ne tolèrent pas d'arrêt supérieur à 1/4h par an.
Il est essentiel de proposer aux responsables de ces unités une réponse rapide et efficace, fut-elle temporaire et même si au final elle apparaitra dispropositionnée.

On parle ici d'installations industrielles au sens large, avec parmi elles certaines plus sensibles comme la chimie, la production d'énergie, nucléaire, etc ....

[méphistopheles]

Non cela traduit plus la nécessite pour Microsoft de rassurer un milieu, principale cible, extrêmement sensible, que la complexité du problème (celui-ci n'étant pas encore totalement analysé).

Oui, enfin un problème qui n'est pas analysé en 48h par une équipe (théoriquement) nombreuse et compétente est probablement un problème complexe. Je suppose que tout désactiver et tester ne doit pas prendre plus de quelques heures auxquelles il faut peut-être ajouter des tests de configuration exhaustif de fonctionnement du patch, mais bon, pour une société comme windows, cela ne doit pas excéder 24h.

Je pense que s'ils avaient eu, ne serait-ce que des patch "réellement correctif" mais seulement pour des systèmes données pour des configurations données, ils les auraient également diffusés

S'ils ont décidé de diffuser un patch "Catastrophe" sans rien d'autre, c'est probablement dû au fait, qu'effectivement, le problème n'est pas Analysé/identifié/résolu dans ce délai de 48h. Ensuite, la notion de complexité est relative...

[Bruno PICART]

Développer sur des sites sensibles des applis très particulières sous Windows me parait bizarre.

Certes !

Autre point crucial, l'attaque arrive à passer outre les certificats numériques de deux sociétés productrices de puces et de hardware

C'est sans aucun doute l'algorithme XOR qu'elles ont spécifié.

La thèse du vol des signatures numériques dans les locaux de ces deux sociétés Taïwanaises est avancées, d'autant plus qu'elles sont localisées dans le même complexe industrielle, mais il s'agit pour l'instant d'une hypothèse.

Ecrites sur des post-its collés en bas de l'écran d'un utilisateur sans pouvoirs, vraisemblablement.

Stuxnet utilise un identifiant et un mot de passe par défaut pour prendre le contrôle de la base de données SQL avec laquelle l'application fonctionne

C'est vrai :toujours prévoir un mot de passe par défaut sur une appli sensible ! On ne le répétera jamais assez.

Pour la petite histoire, ce mot de passe serait disponible sur Internet depuis plusieurs années.

A quoi cela pourrait-il bien servir, de changer un mot de passe par défaut ?

Microsoft a sorti un patch automatisé... qu'il est fortement recommandé de ne pas appliquer sous peine de voir Windows devenir quasiment inutilisable.

Modifier le BIOS afin d'empêcher l'utilisation du clavier, de la souris et de l'écran est une piste à creuser, également.

Le malware sélectionne alors les données qu'il a pour mission de chercher, puis les encode et - point étrange - tente de se connecter à un serveur distant pour les transmettre. Etrange puisque l'attaque vise des machines qui – par définition – ne sont pas connectées.

En continuant à prendre les crackers pour des idiots, les réveils pourraient être particulièrement difficiles pour certains.

A moins que toute cette affaire (pochade ?) se révèle comme un exemple d'initiation a contrario à la sécurisation d'une appli.

[kaymak]

Le malware sélectionne alors les données qu'il a pour mission de chercher, puis les encode et - point étrange - tente de se connecter à un serveur distant pour les transmettre. Etrange puisque l'attaque vise des machines qui – par définition – ne sont pas connectées.

En même temps, quel intérêt peut-il y avoir à infecter une machine pour y collceter des données si ce n'est pas pour les retransmettre.
Et quel meilleur moyen qu'Internet ?
Parce que, les hackeurs, ne risquent pas de ces les envoyer par fax ou venir les chercher le lundi matin en toquant à la porte,
quoique, on ne sait jamais

Étrange peut être, mais en même temps, après avoir réussi à infiltrer de tels réseaux, via un virus qui se propage par connexion d'un périphérique externe, ils n'en étaient plus à tenter un exploit de plus lors de la rédaction du programme ; )

Car le mode d'infection n'est pas très rapide et soumis à une grande dose de hasard.
Il faut en infecter des disques durs avant d'espérer qu'un de ceux là ne soit connecter sur le bon ordinateur dans l'un des réseaux ciblés.
Avec la bonne version de windows, le bon programme, le mauvais anti virus pas à jour ect.

La dangerosité peut sembler plus faible d'un coup, mais gardons nous bien d'en laisser un seul exploiter sa charge, ouvrir sa backdoor... ce serait surement l'infection de trop.

[méphistopheles]

Modifier le BIOS afin d'empêcher l'utilisation du clavier, de la souris et de l'écran est une piste à creuser, également.

Cela a déjà été expérimenté. On ne connaît par contre pas encore les retours des utilisateurs sur cette nouvelle fonctionnalité. Il faut néanmoins reconnaître que niveau sécurité, c'est presque imparable... enfin excepté que dans le cas présent, l'utilisateur peut encore brancher une clé usb et le contenu être affiché mais bon, au moins cela n'entrainera probablement pas plus de désagrément pour l'utilisateur.

[vieux_syndique]

Bonjour,

cette façon d'attaquer est vraiment vicieuse

L'attaque utilise les supports amovibles (clefs USB, DD externes, etc.).

Tout support supplémentaire connecté à la machine attaquée devient à son tour porteur du vers.

C'est la moindre des choses que de parasiter les autres supports utilisant l'USB (et le IEEE 1394 ?). Mais la machine reste-t-elle aussi un support de contamination ?

Cela veut dire que tous les chercheurs participant à une conférence et qui arrivent à la dernière minute avec leur clé USB, car il y a toujours quelque chose à peaufiner, vont voir leur clé vérolée, puis vont ramener la vérole au labo et à la maison....

Le malware sélectionne alors les données qu'il a pour mission de chercher, puis les encode et - point étrange - tente de se connecter à un serveur distant pour les transmettre. Etrange puisque l'attaque vise des machines qui – par définition – ne sont pas connectées.

.... Et il y aura bien une machine connectée pour retransmettre les informations collectées !

Il faut bien être chinois pour inventer des pièges à tiroir !

Mais l'objectif est clair. Il porte un nom bien connu, lui : espionnage industriel.

Que fait la police

[Labanda]

De toutes façons, comme il n'existe pas de scada sous linux ...

[sevyc64]

SI ma mémoire est bonne, du temps ou je travaillais sur ce genre de logiciel, il me semble qu'il existait des implémentations des librairies SCADA sous Linux.



Par contre c'est le fichier .lnk de Windows, source de la contamination, qui ne doit pas être reconnu sous Linux

[digitaldna]

SI ma mémoire est bonne, du temps ou je travaillais sur ce genre de logiciel, il me semble qu'il existait des implémentations des librairies SCADA sous Linux.[...]

Je confirme ce que dit Sevyc64. J'ajouterai de plus que cela semble assez dangereux au final puisque des informations sortent. Imaginez cela n'agit pas sur un logiciel siemens mais sur oracle ou sql serveur ! Vous voyez un peu le topo ? De la peuvent s'en suivre des prises de contrôle etc. Enfin c'est ce que personnellement je vois dans le plus pessimiste des cas !

[digitaldna]

Bon, ben dans ce cas, l'ext est totalement sécurisé et non affecté par cette faille
oh, il en possedait plein et en possède probablement encore... mais beaucoup moins que windows, puisque toutes les failles évidentes du codes sources ont déjà été découvertes (puisqu'open-source) et surtout parce que les failles critiques (du genre sudo) son patchée en moins d'une semaine (voire un jour) et trés vite distribuée à toute machine ayant le net (je ne connais pas le temps de diffusion sur les repository, mais vu que c'est checké et mis à jour en permanence, je tablerais sur une demi-heure de connexion (bon,il y a des fois ou il y a bouchon sur les serveurs, mais c'est quand ils sortent de nouvelles distribs ça )

Certes, linux n'est pas étendu sur le marché des particuliers, mais l'est beaucoup plus sur le marché des serveurs, ce qui en fait aussi une cible importante des attaques.


C'est indéniable. Je crois avoir entendu que 90% des failles constatées sur win sont des failles utilisateur. Sur linux, 99.999 % seraient des failles utilisateurs dont un bon 60% pour les gens ayant pasté dans la console un sudo rm -Rf / parce qu'un mail leur aurait dit de le faire . Le mal c'est windows

Oui. Par contre, ce que je ne trouve pas normal, c'est de devoir avoir recours à un antivirus pour contrer des failles que windows devrait avoir corrigé depuis des lustres. Les antivirus corrigent beaucoup de failles qui, si elles étaient traitées directement par windows, laisseraient juste les antivirus s'occuper des programmes exécutés par l'utilistateur.. et ne les forceraient pas à scanner tout fichier entrant et sortant du système.
j'espère sincèrement que cela arrivera sous peu

Nous ne sommes pas la pour faire le grand procès Linux VS Crosoft ! Et si je voulais en remettre une couche je dirais simplement bah abandonnons linux abandonnons Windows et revenons à BSD ou pire SOLARIS !

[Gordon Fowler]

Windows : Sophos sort un outil pour contrer Stuxnet

Et l'exploit zero-day, en attendant le correctif de Microsoft sur les raccourcis de l'OS

Mise à jour du 27/07/10


Le récent exploit zero-day (faille exploitée avant qu'un correctif ne soit sorti) contre plusieurs versions de Windows (lire ci-avant) continue d'alimenter les blogs des éditeurs de sécurité.

Chez Symantec, on affirme avoir « découvert que W32.Stuxnet a déjà infesté plus de 14 000 adresses IP en seulement 72 heures, dont la plupart en Iran, pour accéder à des informations sensibles et notamment aux systèmes SCADA, qui pilotent les technologies industrielles dans des domaines tels que l’eau, l’électricité, le pétrole ou encore les substances chimiques ».

Symantec affirme également avoir dérouté et bloqué le trafic vers un serveur distant en localisé Malaisie pour empêcher les attaquants de pouvoir contrôler les machines infectées et récupérer les informations.

L'éditeur avoue en revanche ne pas savoir qui sont les auteurs de cette attaque très complexes (« Il est clair qu’ils sont loin d’être des amateurs », souligne Laurent Heslault, Directeur des Technologies de Sécurité chez Symantec) et très ciblées (ce qui « démontre une profonde connaissance des logiciels utilisés pour contrôler des processus industriels »). Les spéculations sur ces auteurs vont, elles aussi, commencer à aller bon train.

Sophos, de son côté, propose un outil gratuit pour se prémunir contre cet exploit (tout en soulignant que ses clients sont déjà protégés).

Pour mémoire, la faille de Windows est liée aux raccourcis de l'OS. Microsoft avait préconiser de désactiver ces raccourcis en modifiant le registre (puis automatiser la tâche avec un outil nommé Fix It – lire ci-avant). Mais cette action (et ce patch) rendaient l'utilisation de Windows plus que chaotique.

En attendant la sortie d'une mise à jour de sécurité officielle, Sophos propose donc d'appliquer sa solution.

Une solution qui n'a, rappelons-le, pas l'aval de Microsoft.


Source : Communiqué de Symantec et la page du Windows Shortcut Exploit Protection Tool de Sophos


Et vous ?

D'après vous qui est l'auteur de cette attaque ?
Microsoft est-il trop lent à patcher cette faille ou Sophos s'est-il précipité pour se faire de la publicité ?

[FailMan]

Microsoft est-il trop lent à patcher cette faille ou Sophos s'est-il précipiter pour se faire de la publicité ?

Les deux. Le malheur des uns fait le bonheur des autres.

Cette faille n'aurait jamais dû exister, mais comme elle existe, c'est du pain béni pour Sophos, pourquoi s'en priveraient-ils ?