pascals.blog

Hyper-V : une nouvelle race de SID

Si vous savez ce que sont des jetons, des SID et des DACL, passez le début et allez directement à la première image ci-dessous...

Depuis que Windows est "NT", c'est à dire depuis Windows NT 3.1, un principe de base de la sécurité de Windows, le contrôle d'accès discrétionnaire, utilise des SID et des ACL. Pour l'explication détaillée, je vous conseille le chapitre 8 du livre de Mark Russinovich et David Solomon : Windows Internals. Une autre source est le chapitre Authorization and Access Control Technologies dans la librairie technique de Windows Server 2003.

Pour l'explication rapide, voici une tentative de résumé : dans Windows, tout processus est authentifié et s'exécute dans le contexte de sécurité de l'utilisateur. Un jeton (token) est attaché à chaque process, et ce jeton contient entre autres les identifiants de l'utilisateur et de tous les groupes auxquels cet utilisateur appartient. Si vous exécutez la commande whoami /all dans une ligne de commande, vous obtenez une vue lisible de votre jeton. Comme les utilisateurs et groupes peuvent changer de nom, on les repère par des identifiants numériques, des SID (Security Identifiers). Windows saura en général faire la traduction pour vous.

Les objets, comme par exemple les fichiers, ont un Security Descriptor (SD) qui contient une DACL (liste de contrôle d'accès discrétionnaire). Cette liste contient des ACE (Access Control Entries) et chaque ACE indique un SID et un type d'accès ; par exemple : Utilisateurs / Lecture, Administrateurs / Lecture et Ecriture. Si vous exécutez la commande icacls nom_fichier dans une ligne de commande, vous obtenez une vue lisible de la DACL du fichier (si icacls ne marche pas, essayez cacls.)

Pour faire simple, lorsqu'un processus veut accéder à un objet pour un type d'accès donné (par exemple pour le modifier), le Security Reference Monitor (SRM) de Windows contrôle la DACL de l'objet, le jeton du process, et regarde si un des SID du jeton se trouve dans une ACE qui lui permet l'accès demandé.

Au fil des versions de Windows ce mécanisme est toujours resté, et des concepts nouveaux sont venus l'utiliser sans jamais le modifier. Par exemple, depuis Windows Vista, il existe une nouvelle sorte de SID : les SID de service. Il s'agit de SID qui identifient un service au lieu d'un utilisateur ou d'un groupe. Ils servent à faire en sorte que, même si deux services S1 et S2 s'exécutent sous le même compte (par exemple LOCAL SERVICE), alors on peut faire en sorte qu'un fichier ne soit accessible que par S1 en lui attachant une ACE relative au SID de service NT SERVICE\S1. C'est la notion d'isolation des services, abordée notamment dans cet article de Cyril Voisin et Jean-Yves Poublan.

On trouve donc depuis Windows Vista des fichiers qui ont des ACE faisant référence à des SID de service, comme par exemple :

c:\Windows\notepad.exe
    NT SERVICE\TrustedInstaller:(F)
    BUILTIN\Administrators:(RX) 
    NT AUTHORITY\SYSTEM:(RX) 
    BUILTIN\Users:(RX)

Ce qui signifie que seul le service TrustedInstaller (nom complet : Windows Modules Installer) a tous les droits sur les fichiers de Windows.

C'était un bien longue introduction pour aborder une nouvelle sorte de SID définis par Hyper-V : les SID de machines virtuelles. Un peu comme les SID de service, les SID de VM vont servir à isoler les VM, c'est à dire à assurer que les ressources propres à une VM ne sont accessibles en écriture que par cette VM.

Voici la DACL sur le fichier VHD d'une machine virtuelle déclarée dans Hyper-V :

Rappelons qu'un fichier VHD est le disque dur virtuel de la VM. Remarquez le SID de la forme NT VIRTUAL MACHINE\<GUID>. Ce GUID (090928A5- etc.) est l'identifiant Hyper-V unique de cette machine virtuelle. On peut le vérifier en regardant le fichier C:\ProgramData\Microsoft\Windows\Hyper-V\<GUID>.xml.

Dans Process Explorer, on peut afficher les propriétés du processus (worker process) vmwp.exe correspondant à cette VM :

Et voici, toujours affiché dans Process Explorer, le jeton du process (propriétés du process, onglet Security) :

Ce jeton et cette DACL assurent donc (1) que le process (qui s'exécute en tant que NETWORK SERVICE) aura accès en lecture et écriture (mais pas suppression) au VHD, et (2) que les autres VM ou autres services n'y auront pas accès en écriture.

Au passage, avez-vous remarqué que icacls et Process Explorer profitaient de Windows pour toujours traduire les SID en noms lisibles ? Quoique, je ne sais pas si NT VIRTUAL MACHINE\090928A5-E592-47E1-A819-85F56654EBCF est plus lisible que S-1-5-83-1-151595173-1205986706-4119140776-3488306278... :)

Si vous souhaitez en savoir plus sur les fonctions avancées des jetons de sécurité dans Windows, consultez la série d'articles de Cyril et Jean-Yves sur le durcissement des services dans Windows Vista et Windows Server 2008.

Mise à jour 18/7/2008 - Quelques fautes de frappes corrigées.

Linux sur Hyper-V

C'est, semble-t-il, un sujet qui vous intéresse. J'ai déjà commis quelques articles ici sur les éternels problèmes de l'installation de Linux sur Virtual PC 2007. Manifestement, Cela se passe beaucoup mieux sur Hyper-V, et pas uniquement avec les versions supportées, à savoir SUSE Linux Enterprise Server 10.

Sean Earp explique dans un article récent comment se passe l'installation dans Hyper-V de OpenSuse 11, Ubuntu 8.04 x64 et Fedora 9 x64. Bonne nouvelle, ces systèmes fonctionnent, et plutôt bien !

Lire l'article : Linux on Hyper-V.

Vacances tranquilles

Pour beaucoup, les vacances approchent ou ont commencé. Vous allez peut-être partir pour une, deux ou trois semaines, laissant un PC ou plus à la maison. Avez-vous pensé à vos sauvegardes ? Chez vous, vous utilisez votre PC pour stocker vos photos, vos musiques, vidéos, vos comptes, vos courriers, vos CV ou les copies scannées de vos papiers ; vous avez peut-être le certificat (avec sa clé privée) qui vous permet de déclarer vos impôts et d'accéder à vos documents du fisc ; vous avez peut-être scanné et conservé sur votre PC les justificatifs de votre déclaration d'impôts électronique ; vous avez peut-être noté dans un fichier texte vos mots de passe pour vos sites bancaires, vos comptes de messagerie, vos sites d'achat en ligne, vos comptes chez vos compagnies de téléphone, d'internet, d'électricité, de gaz, d'eau, etc.

Que feriez-vous si votre PC était détruit, ou, plus grave encore, volé ? Avez-vous une sauvegarde ? Si oui, où sera-t-elle pendant vos vacances ? Avez-vous chiffré vos données sensibles ? Si oui comment ? Êtes-vous certain que la clé de chiffrement est correctement protégée ?

Il n'y a pas une réponse unique et universelle, mais voici quelques idées à considérer concernant les deux principales pistes : (1) la sauvegarde, pour ne pas être dépourvu si, à votre retour, votre PC ne démarre plus ou a disparu, et (2) le chiffrement de vos données sensibles, pour éviter que l'éventuel voleur de votre PC vide votre compte en banque...

Sauvegardes

Pour la sauvegarde, considérez un disque dur externe. Il en existe des petits, de bonne capacité, peu onéreux. Certains sont livrés avec un logiciel de sauvegarde.

Commencez par faire le tour de ce qui est à sauvegarder : documents, vidéos, photos, musiques. Si vous utilisez Windows Vista, vous pouvez considérer le Centre de Sauvegarde et Restauration, pour sauvegarder des fichiers ou le PC complet. Si vous utilisez Windows Live OneCare vous avez une autre solution de sauvegarde.

(En ce qui concerne le certificat des impôts, le site contient une documentation précise pour IE6, IE7, Firefox, XP, Vista : J'ai changé d'ordinateur, comment sauvegarder mon certificat ?)

Pensez ensuite à apporter la sauvegarde avec vous en vacances, ou à la déposer en dehors de votre domicile (chez des amis...)

Chiffrement

Si vous laissez chez vous une machine avec des données importantes sur son disque, vous pouvez chiffrer ces données. Le principe est de ne pas laisser la clé près de la machine ! Cela peut être un mot de passe ou une clé USB (pour BitLocker). Si tout cela est du chinois pour vous, contentez-vous d'une bonne sauvegarde et croisez les doigts :)

Si vous avez Windows Vista Edition Intégrale (Ultimate), alors vous pouvez tenter BitLocker. Consultez mes articles précédents sur le sujet avant de vous lancer.

Sinon EFS est la méthode Windows pour chiffrer des fichiers et répertoires sur Windows XP Professionnel. Consultez l'aide de Windows ou le site Technet si vous n'êtes pas familiers avec EFS. Si vous êtes opérationnel avec EFS, apportez le certificat et sa clé privé avec vous en vacance au cas où. Par contre, pour éviter qu'un intrus  n'accède à votre clé privée en votre absence, utilisez simplement un petit truc très simple : mettez en place un mot de passe au démarrage qui protègera votre mot de passe local, qui protège à son tour votre clé privée... Pour ce faire, lancez Syskey, cliquez sur "Mettre à jour", choisissez l'option "Mot de passe de démarrage" et entrez un mot de passe. N'oubliez surtout pas ce mot de passe pendant vos vacances ! Notez-le plutôt quelque part avec vous. A la rentrée, pour supprimer ce mot de passe, relancez Syskey et choisissez "Mot de passe généré par le système" et "Enregistre la clé de démarrage localement".

Si vous utilisez Windows XP Familial ou Windows Vista Premium ou Basique, aucune solution de chiffrement n'est disponible "dans la boîte". Il vous faudra trouver une solution tierce, et cela se trouve très facilement et gratuitement (exemple).

Conclusion

Je vous souhaite de partir en vacances l'esprit tranquille, sachant qu'en cas de problème, vous pourrez toujours récupérer vos données personnelles, et que personne d'autre ne pourra y accéder. Bonne vacances !

Windows Vista SP1 dans WSUS

Comme annoncé le mois dernier, la version complète du Service Pack 1 de Windows Vista est disponible pour WSUS, comme l'indique cet extrait du rapport de synchronisation de cette nuit sur mon WSUS de test :

Attention, il est impératif de vérifier que la mise à jour 938759 est installée sur vos serveurs WSUS avant d'approuver le SP1 de Windows Vista. Pour ce faire, vérifiez dans Updates\WSUS Updates que la mise à jour "Update for Windows Server 2003 (KB938759)" est approuvée et installée :

17 VM sur un "petit" serveur Hyper-V

En avril dernier j'ai assemblé une machine que j'allais dédier à Hyper-V --pour mes tests, mais aussi pour de la "consolidation" personnelle. Ma contrainte était simple, elle ne devait pas dépasser 1000 Euros. Au final, la machine en question m'est revenue à 1034 Euros TTC, transport compris, ce qui est très raisonnable pour cette configuration : un processeur Intel Core 2 Quad Q6600 (2,4 GHz, 4 cœurs), 8 Go de RAM, 4 disques SATA II de 500 Go chacun, plus les "à coté" obligatoires : boîtier, carte mère, ventilateur, sans oublier les câbles SATA (d'ailleurs, je les avais oubliés à la première commande...) A part un disque hors d'usage à faire remplacer et une mise à jour de BIOS pour qu'il "voie" les 8 Go de RAM, le montage et l'installation se sont très bien déroulés.

D'ordinaire j'exécute environ une demi-douzaine de VM en régime permanent. Aujourd'hui j'ai voulu voir si j'arrivais à faire tourner les 17 VM que j'ai déclarées, en même temps :

Techniquement, il faudrait compter la partition parente comme une 18ème VM, mais restons simple. La somme des RAM configurées sur les VM est de 7296 Mo (7,125 Go) : cela va de 32 Mo pour les floppyfw à 1 Go pour un Vista et un Server 2008. Avec la mémoire supplémentaire allouée au process vmwp.exe (worker process) de chaque VM, et la mémoire occupée par la partition parente, le compteur Committed Bytes affiche une moyenne de 9.562.000.000 octets, soit 9119 Mo (8,9 Go).

Et si je compte bien, cela fait à peu près 60 Euros par machine...

Bullletins de sécurité du 8 juillet

Très petit mois pour l'été : 4 bulletins seulement "importants". Suite aux prévisions de jeudi dernier, il me semble aujourd'hui que les administrateurs de postes de travail Vista (MS08-038) et les administrateurs SQL Server (MS08-040) vont être les plus sollicités pour tester et patcher rapidement.

• Synthèse en français
• Synthèse en anglais
• Annonce du MSRC

MS08-037 concerne une vulnérabilité de type spoofing dans le client et le serveur DNS (Windows 2000, XP, 2003 et 2008) - Le client DNS de Windows Vista n'est pas vulnérable.

MS08-038 concerne deux vulnérabilités de l'explorateur (en fait, shell32.dll) de Windows Vista et Windows Server 2008. L'installation Core de ce dernier est concernée au même titre que l'installation complète. La première concerne les recherches enregistrées et la seconde la clé NoDriveTypeAutoRun. Etant donné que ce second problème est bien connu, je conseille fortement l'installation rapide de cette mise à jour sur les postes Windows Vista.

MS08-039 corrige deux cross-site scriptings dans OWA pour Exchange 2003 et Exchange 2007.

Enfin, MS08-040 concerne 4 vulnérabilités dont une élévation de privilèges dans toutes les versions supportées de SQL Server, MSDE, Windows Internal Database.

Voir également les infos de l'ISC. Il est intéressant de voir qu'ils ont un jugement différent sur la criticité de MS08-038 (critique sur les clients), MS08-039 et MS08-040 (critiques sur les serveurs).

En complément, une mise à jour du client Windows Update sera diffusée vers la fin du mois de juillet. Assurez-vous que votre client Automatic Update n'est pas désactivé afin d'être sûr de recevoir cette mise à jour. Plus de détail sur le blog de Microsoft Update.

Patchez-vous bien !

Sécurité d'Internet Explorer 8

De nos jours et sans doute pour un moment encore, le navigateur Internet est l'application la plus utilisée, la plus exposée, et la plus attaquée. Voici un résumé des améliorations de sécurités d'Internet Explorer 8, prochaine version du navigateur pour Windows, publiées sur le blog de l'équipe Internet Explorer.

Protection de la mémoire DEP/NX - cette option alors n'était pas activée par défaut dans IE7 pour des raisons de compatibilité, principalement avec des add-ons développés avec une ancienne version de la librairie ATL. Ces problèmes étant résolus, DEP sera actif par défaut dans IE8.

Améliorations ActiveX - ActiveX non-admin : dans IE8 sous Windows Vista, un utilisateur standard pourra installer un ActiveX dans son profil utilisateur, ce qui permettra plus de souplesse et plus de sécurité pour le système. L'ActiveX Opt-in d'IE7 est conservé (contrôle de l'exécution d'ActiveX du système). ActiveX par site : permet de contrôler quel site a le droit d'exécuter un ActiveX donné. Pour finir : DEP, Killbits, amélioration de la gestion des add-ons.

Filtre SmartScreen - évolution du filtre anti-fishing d'IE7, avec les améliorations suivantes : interface utilisateur améliorée, performances améliorées, nouvelles heuristiques et télémétrie, support d'anti-malware, stratégies de groupes améliorées.

Filtre XSS - contre les Cross-Site Scripting les plus répandus, les types 1 (non persistants).

Encore plus de détails et de nouveautés dans le dernier article.

PS - N'oubliez-pas, ce soir, les patches du mois !

Passez à Adobe Reader 9.0 (sous Vista)

Oui, vous avez bien lu le titre. Pourquoi Adobe Reader 9.0 ? Jetez un œil sur l'article de Robert Hensing : Adobe Acrobat 9 - Creamy Security Goodness (on Vista / WS2008). Enfin, un logiciel répandu qui supporte les avancées présentes depuis plus de 18 mois dans Windows Vista, : ASLR, DEP en mode permanent.

Evidemment, Windows Vista est nécessaire pour profiter de ces améliorations. Windows Server 2008 les supportent aussi, si vous avez besoin d'Adobe Reader par exemple sur un serveur Terminal Server.

Méfiance tout de même avec la nouvelle fonctionnalité de lecture des animations Flash... Car dans IE7 sous Windows Vista, le mode protégé maintient ces animations dans un niveau de confiance (niveau d'intégrité) bas. Dans un lecteur indépendant, elles se retrouvent au niveau moyen. Nouvelle fonctionnalité, nouveau risque !

Mise à jour 4/7/2008 - Adobe Reader 9.0 n'est pas la seule application répandue à supporter DEP et ASLR. Il faut reconnaître que, bien que le mode protégé (intégrité basse) soit toujours une spécificité d'Internet Explorer, Firefox 3 supporte DEP et ASLR. Process Explorer peut afficher cette information si l'on ajoute les colonnes correspondantes :

Remarquez les "DEP" et "ASLR" pour les process AcroRd32.exe et firefox.exe. Remarquez également l'intégrité "Low" pour iexplore.exe. DEP n'est pas activé par défaut dans iexplore.exe pour des raisons de compatibilité avec les ActiveX que l'on rencontre dans la nature, mais le mode protégé limite ce risque.

Plus d'infos : tout sur DEP.

Mise à jour 21/7/2008 - Lu sur le site de l'ISC : Adobe Reader 9 (en anglais) est Malheureusement encore alourdi de deux applications supplémentaires non désirées. Pour ne pas les subir, voici les liens de téléchargement direct sans ces suppléments : AdbeRdr90_en_US_Std.exe (anglais) et AdbeRdr90_fr_FR.exe (français).

Préavis des bulletins de sécurité du 8 juillet

Vous savez sans doute que le 2ème mardi du mois, vers 19:00 heure française, Microsoft publie les bulletins de sécurité du mois. Ce calendrier prévisible permet aux entreprises de se préparer à analyser ces bulletins et à déployer les mises à jour.

Afin d'aider nos clients à préparer ces fameux Patch Tuesdays, nous publions le jeudi précédent un préavis (advance notification) sur les bulletins à venir. Ainsi hier soir nous avons publié le préavis des bulletins de mardi prochain.

Vous trouverez les informations concernant ces préavis ici, notamment le moyen de s'y abonner par mail (en anglais) :

http://www.microsoft.com/technet/security/Bulletin/advance.mspx

Ces préavis sont également annoncés sur le blog du MSRC :

http://blogs.technet.com/msrc/

Et le préavis de ce mois-ci est visible depuis hier soir ici (en anglais) :

http://www.microsoft.com/technet/security/bulletin/ms08-jul.mspx

Notez qu'à cette même adresse se trouveront, mardi soir, les bulletins définitifs de juillet 2008.

Ainsi nous apprenons qu'il y aura, mardi soir, 4 bulletins classés "importants" :

• un bulletin concernant SQL Server, le risque étant une élévation de privilèges,
• un bulletin concernant Windows Vista et Windows Server 2008 (y compris les installations Core), le risque étant une exécution de code à distance,
• un bulletin concernant Windows 2000, Windows XP, Windows Server 2003, et Windows Server 2008 (y compris les installations Core), le risque étant une usurpation (spoofing),
• un bulletin concernant Exchange Server 2003 et 2007, le risque étant une élévation de privilèges.

Donc a priori pas de bulletin "critique", mais un impact sur les serveurs applicatifs (SQL Server) et infrastructure (Windows Server, Exchange), ainsi que sur les postes de travail (Windows XP, Windows Vista). Voilà de quoi prévenir les interlocuteurs pertinents pour mardi soir ou mercredi matin.

Pas de malaise !

Conseils sécurité pour un PC tranquille. C'est le titre du nouveau blog sécurité grand public de Mathieu Malaise. C'est beau, c'est neuf, et c'est ici :

http://blogs.technet.com/pasdemalaise/

Hyper-V est RTM !

Aujourd'hui est un grand jour ! Hyper-V est finalement disponible en version finale, aux emplacements suivants :

• Hyper-V pour Windows Server 2008 x64 - il s'agit du package complet pour Windows Server 2008 x64. Il doit être installé sur la partition parente, et inclut les composants Hyper-V pour les installations complètes et core, ainsi que les outils d'administration pour les installations complètes. Ce package ne peut pas être désinstallé.
• Outils d'administration d'Hyper-V pour Windows Vista SP1 x64.
• Outils d'administration d'Hyper-V pour Windows Vista SP1 x86.
• Outils d'administration d'Hyper-V pour Windows Server 2008 x86.

Voir également les articles de la base de connaissances :

• Description of the update for the release version of the Hyper-V technology for Windows Server 2008
• Description of the Windows Vista Service Pack 1 Management Tools update for the release version of Hyper-V
• Guest operating systems that are supported on a Hyper-V virtual machine host

Quelques remarques concernant la mise à jour depuis la RC0 ou la RC1 :

• Les états sauvegardés (saved states) ne sont pas supportés lors de la mise à jour. Cela concerne également les snapshots online (effectués lorsque la VM était démarrée).
• Les nouveaux composants d'intégration (IC, Integration Components) doivent être installés sur les OS supportés dans les VM. Pour ce faire, dans le menu de VMconnect, dans le menu "Action", choisir "Insert Integration Services Setup Disk". Note : il faut fermer l'assistant Nouveau Matériel lorsqu'il apparaît.

La bonne nouvelle accompagnant la disponibilité d'Hyper-V est la nouvelle liste d'OS supportés :

• Windows Server 2008 x64 (avec 1, 2 ou 4 processeurs virtuels)
• Windows Server 2008 x86 (avec 1, 2 ou 4 processeurs virtuels)
• Windows Server 2003 x64 SP2 (avec 1 ou 2 processeurs virtuels)
• Windows Server 2003 x86 SP2 (avec 1 ou 2 processeurs virtuels)
• Windows 2000 Server SP4 (avec 1 processeur virtuel)
• Suse Linux Enterprise Server 10 x86 SP1 et SP2
• Suse Linux Enterprise Server 10 x64 SP1 et SP2
• Windows Vista x64 SP1 (avec 1 ou 2 processeurs virtuels)
• Windows Vista x86 SP1 (avec 1 ou 2 processeurs virtuels)
• Windows XP x86 SP2 (avec 1 processeur virtuel)
• Windows XP x86 SP3 (avec 1 ou 2 processeurs virtuels)
• Windows XP x64 SP2 (avec 1 ou 2 processeurs virtuels)

Remarquez dans cette liste l'apparition de Windows 2000 SP4 et Windows XP SP2, cette fois avec les composants d'intégration.

Le site général Hyper-V : http://www.microsoft.com/Hyper-V.

Pour finir, sachez que, après les sites MSDN et Technet, 25% des serveurs web de www.microsoft.com fonctionnent aujourd'hui sur Hyper-V (détails). www.microsoft.com, c'est : 15.000 requêtes par secondes, 40 millions de hits par jour, 1,2 milliards de pages lues par mois, 280 millions de visiteurs uniques par  mois... Alors, prêts ?

Mise à jour 1/7/2008 - Ajouté l'article KB954958.

Hyper-V et BitLocker : le whitepaper

On dirait que quelqu'un de l'autre coté de l'Atlantique a écrit ce whitepaper juste pour être cité ici :-)

• Windows Server 2008 Hyper-V and BitLocker Drive Encryption

Dès que les serveurs seront correctement répliqués (manifestement il y a quelques soucis dans la publication), vous pourrez récupérer à l'adresse ci-dessus un whitepaper vous expliquant comment les responsables de réseaux d'agences pourront dormir plus tranquilles..

Imaginez un serveur dans une agence reculée, sous un bureau ou dans un placard, mais hébergeant quelques machines virtuelles critiques (contrôleur de domaine, données clients, opérations financières, etc.) Le risque de vol du serveur ou d'un disque est nettement supérieur que pour ses grands frères au frais dans les datacenters centraux : d'où l'idée d'utiliser BitLocker de Windows Server 2008 pour chiffrer les volumes hébergeant les VHD des machines virtuelles. De quoi sauver la journée à moindre frais !

Je n'ai pas lu le whitepaper. Étant donné les contraintes propres à l'environnement d'une agence, il est probable que la recommandation soit d'être dans un mode "TPM seul" de façon à ce que le système puisse (re)démarrer sans intervention manuelle à l'initiative des centres nationaux ou régionaux. Cela implique que la protection ne concerne que les attaques "offline" : démarrage sur un autre OS, lecture du disque sur une autre machine, tentative de démarrage sur une autre machine. Par contre et comme toujours avec ce niveau de protection, la machine démarre automatiquement : sa protection "online" doit donc être définie indépendamment de BitLocker.

Injections SQL en hausse : UrlScan est de retour

Vous avez peut-être lu l'avis de sécurité Microsoft 954462 publié hier le 24 juin :

• En français - Augmentation des attaques par injection SQL exploitant des entrées de données utilisateur non vérifiées
• En anglais - Rise in SQL Injection Attacks Exploiting Unverified User Data Input

Cet avis est intéressant à plus d'un titre : tout d'abord, il est révélateur du fait que les vulnérabilités peuvent se trouver à tous les niveaux d'un système. Plus les couches réseau et système sont "sécurisées" (notez les guillemets : "sécurisé" reste toujours une notion relative), plus les attaques vont se porter sur les couches applicatives.

Cet avis donne donc l'occasion de se pencher à nouveau sur les conseils de développement sécurisé, et notamment sur le principe "never trust user input!" : toute entrée utilisateur doit être contrôlée avant d'être utilisée.

Autre point intéressant : le retour d'UrlScan ! En effet, une version 3.0 beta fait son apparition, compatible avec IIS version 5.1 à 7 (Windows Server 2008). Entre autres améliorations, USRScan 3.0 peut maintenant contrôler la requête complète (après le '?'), ce qui peut servir de solution de contournement temporaire en attendant la correction des applications web vulnérables.

Plus d'informations dans l'avis (notamment sur des outils d'analyse de code) et dans ces articles :

• UrlScan 3.0 Beta and Tools to Help Mitigate SQL Injection Attacks
• Using UrlScan

Windows Server Core et la sécurité

Jeff Jones étudie dans un court rapport publié il y a quelques jours l'impact de l'installation "Core" de Windows Server 2008 sur les vulnérabilités de Windows. Comme on peut l'imaginer, et comme je le notais pour 3 des 7 bulletins publiés la semaine dernière, bon nombre de vulnérabilités de Windows ne s'appliquent pas à une installation "Core" parce que les composants vulnérables ne sont pas présents : Internet Explorer, Direct X, Windows Explorer, etc. Le rapport de Jeff Jones analyse les bulletins des 2 dernières années par rapport à un hypothétique mode "Core" de Windows Server 2003. Le résultat est que le mode Core  serait vulnérables à 40% de bulletins de moins que le mode complet de Windows Server.

Windows Server Core est un pas de géant dans la bonne direction en ce qui concerne les serveurs Windows : pas d'Internet Explorer, pas d'Explorer, pas de Media Player : moins de composants, moins d'exposition, moins de vulnérabilités, moins de patches à installer, moins de redémarrage, plus de disponibilité. La meilleure solution aujourd'hui pour les serveurs Hyper-V et IIS, mais aussi les serveurs de fichiers et imprimantes ou les serveurs d'infrastructures : DNS, WINS, DHCP, contrôleurs de domaine, etc.

Heure correcte dans une VM Linux dans Hyper-V : la fin

Suite et fin de ce sujet : soit un Linux non supporté par Hyper-V, donc sans Integration Components pour le maintenir à l'heure. Comment faire en sorte que son horloge ne dérive pas trop dans le temps ? J'ai deux VM dans ce cas à la maison : une Debian 4.0r3 sans interface graphique très peu chargée (en fait ce n'est qu'une passerelle SSH) et une Ubuntu LTS Server 8.04 un peu plus sollicitée, puisqu'elle héberge toute la pile LAMP (Apache, MySQL, PHP). Le premier constat est que la seconde dérive beaucoup plus rapidement que la première. Mais l'application qu'elle héberge nécessite une horloge relativement fiable.

Comme souvent, la solution est extrêmement simple. Il s'agit simplement de remettre la machine à l'heure régulièrement. Dans mon cas, une fois par jour suffit amplement. Comme vu dans les articles précédents, le démon ntpd n'est pas adapté à l'environnement virtuel, et l'option clock=pit est nécessaire sur les noyaux récents. D'autre part vsntp est une possibilité mais il y a plus simple "dans la boîte", comme indiqué ci-dessous. Ces instructions doivent être réalisées dans le contexte de root : dans Ubuntu, utilisez la commande sudo -s pour obtenir un shell dans le contexte de root.

Rappel : mon expérience se limite à Debian et Ubuntu.

Etape 1 : option clock=pit

il faut ajouter l'option clock=pit dans le fichier /boot/grub/menu.lst, à la fin de la ligne kernel par défaut. Il s'agit de la première ligne kernel suivant la ligne ## ## End Default Options ##. Exemple :

## ## End Default Options ##

title           Ubuntu 8.04, kernel 2.6.24-18-server
root            (hd0,0)
kernel          /boot/vmlinuz-2.6.24-18-server root=UUID=d2cd13e1-bc9e-4657-86eb-26f150b41aaf ro quiet splash clock=pit
initrd          /boot/initrd.img-2.6.24-18-server
quiet

Remarque : si, lors de l'installation de mises à jour, le noyau est mis à jour, alors il faut réappliquer cette modification au fichier menu.lst.

Etape 2 : programmer une mise à l'heure quotidienne avec ntpdate

Vérifier ou installer ntpdate :

# apt-get install ntpdate

Vérifier que ntpdate fonctionne comme prévu et remet votre système à l'heure :

# ntpdate fr.pool.ntp.org

Créer un fichier /etc/cron.daily/ntpdate contenant les lignes suivantes :

#!/bin/sh

/usr/sbin/ntpdate fr.pool.ntp.org

Ajouter à ce fichier l'attribut exécutable :

# chmod a+x /etc/cron.daily/ntpdate

Dans mon exemple, j'utilise fr.pool.ntp.org comme nom de serveur NTP, qui donne en réalité un serveur parmi un pool de serveurs français (voir http://www.pool.ntp.org/ pour plus d'infos). Vous pouvez bien sûr le remplacer par celui qui vous ira le mieux.

Terminé ! Reste à vérifier de temps à autre que l'heure est correcte (attention, la commande est date, pas time comme sous Windows.) Et de toutes manières, vous mettez à jour vos systèmes (apt-get update et apt-get dist-upgrade sont vos amis), donc vous redémarrez régulièrement vos Linux à cause des mises à jour du noyau, parce que vous vous souciez plus de votre sécurité que de votre uptime. Non ?