pascals.blog

Techdays 2010 : les vidéos

2010-03-10T17:52:51Z

Les vidéos des sessions des Techdays 2010 sont accessibles ici :

http://www.microsoft.com/france/vision/mstechdays10/

Voici celles de mes présentations :

Bulletins de sécurité du 9 mars 2010

2010-03-09T18:18:19Z

Après un mois de févier quelque peu chargé, voici la livraison de mars, nettement plus légère.

Synthèse :

Détail des bulletins :

Bulletin de sécurité Microsoft MS10-016 - Important : Une vulnérabilité dans Windows Movie Maker pourrait permettre l'exécution de code à distance (975561)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Windows Movie Maker et Microsoft Producer 2003. Cette vulnérabilité ne concerne pas Windows Live Movie Maker, qui est disponible pour Windows Vista et Windows 7. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un attaquant envoyait un fichier de projet Movie Maker ou Microsoft Producer spécialement conçu et qu'il persuadait l'utilisateur d'ouvrir le fichier spécialement conçu. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Bulletin de sécurité Microsoft MS10-017 - Important : Des vulnérabilités dans Microsoft Office Excel pourraient permettre l'exécution de code à distance (980150)
Cette mise à jour de sécurité corrige sept vulnérabilités signalées confidentiellement dans Microsoft Office Excel. Ces vulnérabilités pourraient permettre l'exécution de code à distance lorsqu'un utilisateur ouvre un fichier Excel spécialement conçu. Tout attaquant parvenant à exploiter l'une de ces vulnérabilités pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Un nouvel avis de sécurité a été publié en même temps :

Avis de sécurité Microsoft (981374) : Une vulnérabilité dans Internet Explorer pourrait permettre l'exécution de code à distance.
Microsoft étudie de nouveaux rapports publics d'une vulnérabilité dans Internet Explorer 6 et Internet Explorer 7. Notre enquête a démontré que la version la pus récente du navigateur, Internet Explorer 8, n'est pas affectée. L'impact principal de cette vulnérabilité est une exécution de code à distance. Cet Avis contient des informations concernant les versions d'Internet Explorer qui sont vulnérables, ainsi que des solutions de contournement et des facteurs atténuants pour ce problème.

Par ailleurs, le bulletin MS09-033 et l’avis 973811 ont été mis à jour.

Patchez-vous bien !

Support de Red Hat Enterprise Linux dans Hyper-V

2010-02-18T16:45:12Z

Les composants d’intégration pour Linux ont été récemment mis à jour pour supporter Red Hat Enterprrise Linux. La liste des Linux supportés dans Hyper-V est maintenant la suivante :

SUSE Linux Enterprise Server 10 SP2 x86 & x64 (1 vCPU)
SUSE Linux Enterprise Server 11 x86 & x64 (1 vCPU)
Red Hat Enterprise Linux 5.2, 5.3, 5.4 x86 & x64 (1 vCPU)

Les composants sont à télécharger ici :

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=c299d675-bb9f-41cf-b5eb-74d0595ccc5c

Toutes mes sessions des Techdays

2010-02-10T18:42:27Z

Les bonnes choses ont une fin, mais il reste les fichiers PowerPoint. Vous les trouverez ici :

Note : la session SEC108 "Maman j'ai rétréci les virus !" est une collaboration Stanislas Quastana, Cyril Voisin et moi-même.

Bulletins de sécurité du 9 février 2010

2010-02-09T18:40:47Z

Comme annoncé jeudi, février 2010 égale le record d'octobre 2009 avec 13 nouveaux bulletins de sécurité, dont 5 critiques.

Synthèse :

Détail des bulletins :

Bulletin de sécurité Microsoft MS10-003 - Important : Une vulnérabilité dans Microsoft Office (MSO) pourrait permettre l'exécution de code à distance (978214)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Office, qui pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Office spécialement conçu. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Bulletin de sécurité Microsoft MS10-004 - Important : Des vulnérabilités dans Microsoft Office PowerPoint pourraient permettre l'exécution de code à distance (975416)
Cette mise à jour de sécurité corrige six vulnérabilités signalées confidentiellement dans Microsoft Office PowerPoint. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur ouvrait un fichier PowerPoint spécialement conçu. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Bulletin de sécurité Microsoft MS10-005 - Modéré : Une vulnérabilité dans Microsoft Paint pourrait permettre l'exécution de code à distance (978706)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Paint. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur affichait un fichier image JPEG spécialement conçu à l'aide de Microsoft Paint. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Bulletin de sécurité Microsoft MS10-006 - Critique : Des vulnérabilités dans le client SMB pourraient permettre l'exécution de code à distance (978251)
Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans Microsoft Windows. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un attaquant envoyait une réponse SMB spécialement conçue à une requête SMB établie par le client. Pour exploiter ces vulnérabilités, un attaquant doit convaincre l'utilisateur d'établir une connexion SMB à un serveur SMB malveillant.

Bulletin de sécurité Microsoft MS10-007 - Critique : Une vulnérabilité dans le gestionnaire de Shell Windows pourrait permettre l'exécution de code à distance (975713)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Windows 2000, Windows XP et Windows Server 2003. Les autres versions de Windows ne sont pas concernées par cette mise à jour de sécurité. Cette vulnérabilité pourrait permettre l'exécution de code à distance si une application, de type navigateur Web, transmettait des données spécialement conçues à la fonction de l'API ShellExecute via le gestionnaire de Shell Windows.

Bulletin de sécurité Microsoft MS10-008 - Critique : Mise à jour de sécurité cumulative pour les kill bits ActiveX (978262)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement pour des logiciels Microsoft. Cette mise à jour de sécurité est de niveau « critique » pour toutes les éditions en cours de support de Microsoft Windows 2000 et de Windows XP, de niveau « important » pour toutes les éditions en cours de support de Windows Vista et de Windows 7, de niveau « modéré » pour toutes les éditions en cours de support de Windows Server 2003 et de niveau « faible » pour toutes les éditions en cours de support de Windows Server 2008 et de Windows Server 2008 R2.

Bulletin de sécurité Microsoft MS10-009 - Critique : Des vulnérabilités dans Windows TCP/IP pourraient permettre l'exécution de code à distance (974145)
Cette mise à jour de sécurité corrige quatre vulnérabilités signalées confidentiellement dans Microsoft Windows. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si des paquets spécialement conçus étaient envoyés à un ordinateur sur lequel IPv6 est activé. Un attaquant pourrait exploiter cette vulnérabilité en créant des paquets ICMPv6 spécialement conçus et en les envoyant à un système sur lequel IPv6 est activé. Cette vulnérabilité ne peut être exploitée que si l'attaquant est présent sur un lien.

Bulletin de sécurité Microsoft MS10-010 - Important : Une vulnérabilité dans Windows Server 2008 Hyper-V pourrait permettre un déni de service (977894)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Windows Server 2008 Hyper-V et Windows Server 2008 R2 Hyper-V. Cette vulnérabilité pourrait permettre un déni de service si une séquence d'instructions machine mal formées était exécutée par un utilisateur authentifié dans l'un des systèmes virtuels invités hébergés par le serveur Hyper-V. Pour exploiter cette vulnérabilité, un attaquant doit disposer d'informations d'identification valides et doit être en mesure d'ouvrir une session en local sur un système virtuel invité. Cette vulnérabilité ne peut pas être exploitée à distance ou par des utilisateurs anonymes.

Bulletin de sécurité Microsoft MS10-011 - Important : Une vulnérabilité dans le processus CSRSS (Client-Server Run-time Subsystem) Windows pourrait permettre une élévation de privilèges (978037)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le processus CSRSS (Client-Server Run-time Subsystem) Windows. Cette vulnérabilité pourrait permettre une élévation de privilèges si un attaquant ouvrait une session sur le système et démarrait une application spécialement conçue, prévue pour continuer à fonctionner après déconnexion de l'utilisateur. Pour exploiter cette vulnérabilité, l'attaquant doit disposer d'informations d'identification valides pour ouvrir une session en local. Cette vulnérabilité ne peut pas être exploitée par des utilisateurs anonymes.

Bulletin de sécurité Microsoft MS10-012 - Important : Des vulnérabilités dans le serveur SMB pourraient permettre l'exécution de code à distance (971468)
Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement dans Microsoft Windows. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un attaquant créait un paquet SMB spécialement conçu et l'envoyait à un système affecté. Les meilleures pratiques en matière de pare-feu, ainsi que les configurations standard par défaut des pare-feu, contribuent à protéger vos réseaux contre les attaques lancées depuis l’extérieur du périmètre de l'entreprise et qui tenteraient d'exploiter ces vulnérabilités.

Bulletin de sécurité Microsoft MS10-013 - Critique : Une vulnérabilité dans Microsoft DirectShow pourrait permettre l'exécution de code à distance (977935)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft DirectShow. Cette vulnérabilité pourrait permettre l'exécution de code à distance si l'utilisateur ouvrait un fichier AVI spécialement conçu. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Bulletin de sécurité Microsoft MS10-014 - Important : Une vulnérabilité dans Kerberos pourrait permettre un déni de service (977290)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Windows. Cette vulnérabilité pourrait permettre un déni de service si une requête de renouvellement de ticket spécialement conçue était envoyée au domaine Kerberos Windows par un utilisateur authentifié sur un domaine Kerberos non-Windows approuvé. Ce déni de service pourrait persister jusqu'au redémarrage du contrôleur de domaine.

Bulletin de sécurité Microsoft MS10-015 - Important : Des vulnérabilités dans le noyau Windows pourraient permettre une élévation de privilèges (977165)
Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement et une vulnérabilité signalée confidentiellement dans Microsoft Windows. La plus grave de ces vulnérabilités pourrait permettre une élévation de privilèges si un attaquant se connectait au système puis exécutait une application spécialement conçue. Pour exploiter l'une de ces vulnérabilités au niveau local, un attaquant doit disposer d'informations d'identification valides et être en mesure d'ouvrir une session. Ces vulnérabilités ne peuvent pas être exploitées à distance ou par des utilisateurs anonymes.

Un nouvel avis de sécurité a été publié en même temps :

Avis de sécurité Microsoft (977377) : Une vulnérabilité dans TLS/SSL pourrait permettre une usurpation de contenu
Microsoft étudie des rapports publics d'une vulnérabilité dans les protocoles TLS (Transport Layer Security) et SSL (Secure Sockets Layer). À ce jour, Microsoft n'a connaissance d'aucune attaque visant à exploiter cette vulnérabilité signalée.

Patchez-vous bien !

Techdays 2010 : première session

2010-02-08T16:04:41Z

Le fichier PowerPoint de ma première session “SEC109 Outils et ressources gratuites pour la sécurité” est disponible ici :

La suite à mercredi.

Techdays 2010 : mes sessions à venir

2010-02-06T17:36:47Z

J’animerai et co-animerai 3 sessions cette année aux Techdays.

SEC109 Outils et ressources gratuites pour la sécurité
lundi 8 février, 14h30

Découvrez les outils et les ressources sécurité mis à votre disposition gratuitement par Microsoft. Bulletins et avis, gestion des correctifs (WSUS, etc.), suppression des logiciels malveillants (MSRT), protection contre les malwares (Microsoft Security Essentials), prise en compte des risques (MSAT)...

SEC108 Maman j'ai rétréci les virus !
mercredi 10 février, 14h30

La suite de la session de la plus décalée des Techdays 2009 (Le virus est mort. Vive le malware !? voir http://tinyurl.com/ybg4hz9). Chut!! Ne le dites à personne sinon la salle va encore être pleine à craquer ! ;-)

Dans cette session, je ferai de la figuration aux côtés de Stanislas Quastana et Cyril Voisin. Non en fait, j’ai quelques démos aussi. Enfin, si on est prêt à temps.

SEC213 Sécurité des machines virtuelles
mercredi 10 février, 16h

Bonnes pratiques pour la gestion des mises à jour pour les machines virtuelles : où l’on verra que les machines virtuelles sont des machines comme les autres.

En attendant, et c’est vraiment d’actualité pour mardi soir : patchez-vous bien !

Bulletin de sécurité hors cycle du 21 janvier 2010

2010-01-21T18:17:12Z

Le bulletin de sécurité Internet Explorer a été publié aujourd’hui.

Synthèse :

Détail du bulletin :

Bulletin de sécurité Microsoft MS10-002 - Critique : Mise à jour de sécurité cumulative pour Internet Explorer (978207)
Cette mise à jour de sécurité corrige sept vulnérabilités signalées confidentiellement et une vulnérabilité révélée publiquement dans Internet Explorer. Les vulnérabilités les plus graves pourraient permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Patchez-vous bien !

Bulletin de sécurité hors cycle du 21 janvier

2010-01-20T23:27:46Z

Tout le monde est au courant de la vulnérabilité Internet Explorer divulguée récemment.

Un bulletin de sécurité hors cycle sera publié ce 21 janvier, certainement en fin de journée.

Le préavis du bulletin est disponible à l’adresse :

http://www.microsoft.com/technet/security/bulletin/ms10-jan.mspx

Il va sans dire que l’application de cette mise à jour ne devrait pas poser une seule question.

Quels sont les critères qui comptent pour la “sécurité” d’un OS ou d’un navigateur ?

2009-12-18T15:32:29Z

Qu’est-ce qui fait la sécurité d’un OS ou d’un navigateur ? Je ne sais pas si la question a un sens, mais nous sommes bien placés pour constater que tout le monde a une opinion et que souvent elle se limite à “Windows et la sécurité ? Vous plaisantez ?”, “Vos patches menacent ma prod !” ou “J’ai un Mac, je ne cours aucun risque”.

Certes, je travaille chez Microsoft. Vous avez bien sûr le droit d’en déduire que je ne suis pas objectif ou que l’on me paie pour mentir. Je vois plutôt cela comme une indication que je connais mieux les produits et engagements Microsoft que les autres. Mais je me soigne ! J’utilise régulièrement la concurrence, qu’elle vienne de Cupertino, de Mountain View ou de Londres. Ou de Mountain View encore, mais de l’autre côté de l’autoroute… et je suis un grand partisan du libre choix.

Mon premier point est que je ne pense pas que la sécurité des produits se mesure en nombre de vulnérabilités. Jeff Jones a faits les comparatifs jusqu’à il y a environ un an, avec le résultat que l’on sait : Microsoft n’a pas à rougir, loin de là (n’est-ce pas, Oracle). Le problème est que même les mesures les plus objectives comme celles de Jeff Jones sont remises en cause, ou ignorées, par ceux qui refusent le résultat.

Non, l’important à mon avis est plutôt dans ce que l’éditeur met en place pour diminuer l’impact des bugs, et dans la façon dont il gère les vulnérabilités lorsqu’elles sont découvertes.

Mon second point est donc : étant donné que les bugs sont inévitables, que met-on en place pour que leur impact soit moins néfaste, ou pour qu’ils soient plus difficiles à exploiter ? Sur ce terrain, Windows et IE sont plutôt de très bons élèves, depuis Windows XP SP2, Windows Vista et IE7. Je ne citerai que quelques exemples de méthodes ou fonctionnalités qui me viennent à l’esprit :

SDL est évidemment le premier exemple auquel on pense : une méthode, documentée et ouverte, pour prendre en compte la sécurité dans toutes les phases du développement. La première méthode, à ma connaissance, à interdire explicitement les fonctions “dangereuses” comme strcpy, sprintf, etc. L’objectif ici est de produire du code plus séurisé, avec moins de vulnérabilités.
Le pare-feu Windows, actif par défaut depuis Windows XP SP2, a quasiment éliminé le mode de propagation des infections par le réseau qui faisaient l’actualité en 2003-2004.
Le pare-feu Windows, version Vista et Windows 7, permet maintenant de spécifier quels services ont le droit ou non de communiquer ou d’écouter sur le réseau.
La “refactorisation” des services a été l’occasion de ré-architecturer des services systèmes de façon à ce que ceux qui écoutent sur le réseau ne soient plus Local System.
/GS, DEP (NX), ASLR, SEHOP sont des fonctionnalités qui rendent plus difficile l’exploitation de vulnérabilité.
UAC, MIC, l’isolation des services, le mode protégé d’IE, sont des fonctionnalités qui, en mettant en pratique le principe de moindre privilège et en isolant les processus, diminuent l’impact des vulnérabilités lorsqu’elles sont exploitées. A propos d’UAC, vous avez sans doute repéré cette phrase dans la majorité des bulletins de sécurité actuels : Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux disposant de privilèges d'administrateur.
Small is beautiful : moins de composants par défaut, moins de surface d’attaque dans Windows Server ; hyperviseur minimal dans Hyper-V : cette tendance est là pour durer. Le mode Server Core est aussi souvent cité dans les bulletins de sécurité pour dire que la vulnérabilité ne concerne pas ce mode d’installation.

Ces fonctionnalités répondent donc à trois objectifs :

Produire du code avec moins de vulnérabilités,
Rendre plus difficile l’exploitation de vulnérabilités,
Diminuer l’impact sur le système de l’exploitation de vulnérabilités.

Et ce n’est pas tout. Si vous avez des applications mal écrites ou anciennes, incompatibles avec ces mesures, vous pouvez, grâce à Windows Virtual PC et Windows XP Mode, les isoler dans leur propre environnement virtuel Windows XP.

Enfin, et c’est donc mon troisième point, que fait l’éditeur lorsqu’une vulnérabilité est découverte ? Microsoft est exemplaire sur ce sujet, le processus mis en place avec le Microsoft Security Response Center (MSRC) est largement reconnu pour son efficacité : veille, réponse, communication, investigation, les actions du MSRC sont nombreuses et vous pouvez en voir l’aspect le plus visible le deuxième mardi de chaque mois à l’occasion des bulletins de sécurité. Qui a de vraies histoires récentes de correctifs Microsoft ayant causé des problèmes dans sa production ? Quel autre éditeur a un cycle de mise à jour aussi régulier, prévisible et ouvert ?

Par exemple : lorsqu’un “0day” est découvert, le MSRC publie un avis et le met à jour avec des mesures de contournement, jusqu’à la publication d’un bulletin de sécurité et des mises à jour associées.

Je n’ai pas de réponse définitive à la question en titre, il y a sûrement d’autres critères importants, comme par exemple les fonctionnalités antimalware, antiphishing, antispam, la gestion d’identité, la crypto, la protection de la vie privée, ou les notions de simplicité, de standards et d’ouverture, difficiles à définir mais pertinentes… Sans compter l’évolution de toutes ces notions dans un contexte de cloud et de profonde mutation de la notion de poste et de serveur, mais c’est peut-être une autre histoire… Sans doute pour 2010 !

Bonnes fêtes !

[2009-12-18, 17h30 : nombreuses corrections de fautes (!) et quelques précisions]

[2009-12-21 : réécriture du paragraphe 3 ]

0day Adobe Reader : DEP à la rescousse !

2009-12-18T12:02:53Z

Concernant le 0day en cours sur les produits Adobe... L'avis d'Adobe indique quelque chose d'intéressant :

Customers using Microsoft DEP ("Data Execution Prevention") functionality available in certain versions of Microsoft Windows are at reduced risk in the following configurations:

All versions of Adobe Reader 9 running on Windows Vista SP1 or Windows 7

Acrobat 9.2 running on Windows Vista SP1 or Windows 7

Acrobat and Adobe Reader 9.2 running on Windows XP SP3

Acrobat and Adobe Reader 8.1.7 running on Windows XP SP3, Windows Vista SP1, or Windows 7

With the DEP mitigation in place, the impact of this exploit has been reduced to a Denial of Service during our testing.

Si ce facteur d’atténuation s’avère vrai, c'est un bel exemple d’une vraie fonctionnalité de sécurité de Windows (DEP) qui diminue l'impact de bugs de sécurité, y compris dans des produits tiers (Adobe Reader utilise DEP par défaut depuis la version 9.0 en juillet 2008).

Pour aller plus loin vous pouvez également tester l’outil EMET (Enhanced Mitigation Evaluation Toolkit).

La nouvelle page de Google et la vie privée

2009-12-11T20:03:07Z

Lorsque l’on est soucieux de sa vie privée, on évite d’effectuer des recherches (que ce soit sur Bing ou sur Google) en étant authentifié avec le service correspondant, afin que le moteur de recherche ne puisse pas lier vos recherches à votre compte. Par exemple dans Bing, si mon nom apparait en haut à droite de la page comme ceci...

...je clique sur sign out pour me déconnecter avant d’effectuer ma recherche.

Il en était de même sur la page d’accueil de Google. Seulement celle-ci vient d’être remaniée la semaine dernière :

La page, esthétiquement très réussie, est dépouillée à l’extrême : aucun texte n’apparait, seuls le logo, la zone de saisie et les deux boutons sont visibles. Si vous déplacez votre souris par dessus la fenêtre du navigateur, les textes et options apparaissent, et en particulier la ligne en haut de la fenêtre, indiquant si vous êtes authentifié ou non :

Donc si l’on ne bouge pas sa souris sur la fenêtre du navigateur, on ne sait pas si l’on est authentifié ou non ! De là à penser qu’il s’agit d’une manœuvre pour augmenter la part de recherches authentifiées, je ne m’y risquerai pas, mais personnellement je suis gêné de ce procédé.

Vérifiez toujours si vous êtes authentifié avant de faire une recherche !

BitLocker cassé ? Désolé, non, pas cette fois.

2009-12-08T18:44:09Z

Les commentaires fusent sur l’attaque de BitLocker présentée par le Fraunhofer Institute for Secure Information Technology (SIT) ici :

2009-12-03 Attacking the BitLocker Boot Process (document PDF)

Quelle est cette attaque ? Il s’agit d’une attaque dite Evil Maid Attack, ou femme de ménage malveillante (ne cherchons pas une traduction littérale pour cette fois). Il faut reconnaître à Joanna Rutkowska l’antériorité sur l’expression Evil Maid Attack, puisqu’elle introduisit cette notion dans un article de janvier 2009 :

2009-01-21 Why do I miss Microsoft BitLocker?

Remarque : dans cet article Joanna Rutkowska écrivait que BitLocker n’était pas vulnérable à cette attaque, ce qui vient d’être infirmé par le papier du Fraunhofer SIT.

En octobre dernier, elle implémente cette attaque contre TrueCrypt :

2009-10-16 Evil Maid goes after TrueCrypt!

Ce qui est commenté par Bruce Schneier une semaine plus tard :

2009-10-23 "Evil Maid" Attacks on Encrypted Hard Drives

Et nous voici aujourd’hui avec cette attaque réussie sur BitLocker. De quoi s’agit-il donc ?

Le principe est assez simple, mais la mise en œuvre l’est moins : lorsque vous utilisez un système de chiffrement de disque, vous devez entrer au démarrage un mot de passe ou un code PIN pour débloquer la clé de chiffrement. L’attaquant, que nous appellerons EMily (EM comme Evil Maid…) doit avoir accès physique à votre PC deux fois.

(1) EMily accède au PC et injecte l’attaque sur la partition active (partition en clair). Le code de l’attaque consiste en un MBR et un fichier sur la partition en clair. Notez déjà que pour ce faire, le PC doit pouvoir démarrer sur la clé USB ou le CD d’EMily, ou EMily doit extraire le disque.

EMily replace le PC à sa place, éteint.

(2) le propriétaire, vous, démarrez le PC normalement. Lorsque BitLocker vous demande votre PIN, vous le saisissez normalement. Le PC redémarre sans prévenir, (tiens, c’est étrange mais bon…), vous entrez à nouveau votre PIN et le PC démarre normalement.

C’est le code d’EMily qui vous a demandé le PIN, en imitant l’écran de saisie de BitLocker (bootmgr). Il l’a ensuite enregistré quelque part sur la partition en clair, puis a rétabli le MBR d’origine, supprimé toute trace de code étranger, et a redémarré le PC. Au redémarrage, BitLocker fonctionne correctement et le code PIN permet de débloquer la clé, puisque rien n’a changé dans le code de boot. Seulement entre temps, le code PIN a été stocké en clair sur le disque.

(3) Enfin, EMily doit à nouveau mettre la main sur votre PC et récupérer le PIN sur le disque.

Que peut faire EMily une fois qu’elle a votre code PIN ? Elle peut démarrer le PC. Mais, comme BitLocker lie la clé de chiffrement au TPM du PC, elle aura besoin d’une autre attaque pour accéder au disque : attaque de la mémoire (cold boot, DMA) pour y trouver la clé FVEK de BitLocker, attaque réseau… L’attaque n’est pas terminée : la protection est simplement revenue au niveau de ce qu’elle est en mode “TPM seul”.

Au final, nous avons là une méthode caractéristique d’une attaque très ciblée : il y a nécessité de deux accès à la machine cible, donc d’une sérieuse préparation. BitLocker est conçu pour protéger les données lors du vol d’un ordinateur portable. Point. Le scénario Evil Maid est efficace quel que soit le système de chiffrement utilisé : il serait certes intéressant et pertinent de le prendre en compte dans Windows, pour couvrir les… 0,001% des cas non couverts par BitLocker (environ :)).

En attendant, je vous conseille vivement la lecture du Data Encryption Toolkit for Mobile PCs –et dormez tranquilles, vos données chiffrées avec BitLocker ne seront pas accessibles en cas de vol.

Pour une réponse “officielle” à ce sujet, voir l’article de Paul Cooke : Windows BitLocker Claims.

Bulletins de sécurité du 8 décembre 2009

2009-12-08T18:17:28Z

Six nouveaux bulletins de sécurité ont été publiés aujourd’hui, dont 3 critiques et 3 importants.

Synthèse :

Détail des bulletins de ce mois :

Bulletin de sécurité Microsoft MS09-069 - Important : Une vulnérabilité dans le service LSASS (Local Security Authority Subsystem Service) pourrait permettre un déni de service (974392)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Windows. Cette vulnérabilité pourrait permettre un déni de service si un attaquant à distance authentifié envoyait un message ISAKMP spécialement conçu en communiquant via IPsec (Internet Protocol Security) au service LSASS (Local Security Authority Subsystem Service) sur un système affecté.
Bulletin de sécurité Microsoft MS09-070 - Important : Des vulnérabilités dans ADFS (Active Directory Federation Services) pourraient permettre l'exécution de code à distance (971726)
Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans Microsoft Windows. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un attaquant envoyait une requête HTTP spécialement conçue à un serveur Web avec ADFS activé. Pour exploiter l'une de ces vulnérabilités, un attaquant devrait être authentifié.
Bulletin de sécurité Microsoft MS09-071 - Critique : Des vulnérabilités dans le service d'authentification Internet pourraient permettre l'exécution de code à distance (974318)
Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans Microsoft Windows. Ces vulnérabilités pourraient permettre l'exécution de code à distance si des messages reçus par le serveur du service d'authentification Internet sont copiés de façon incorrecte dans la mémoire lors du traitement des tentatives d'authentification PEAP. Un attaquant qui parviendrait à exploiter l'une de ces vulnérabilités pourrait prendre le contrôle intégral d'un système affecté. Les serveurs utilisant le service d'authentification Internet sont uniquement concernés lors de l'utilisation de l'authentification PEAP avec MS-CHAP v2.
Bulletin de sécurité Microsoft MS09-072 - Critique : Mise à jour de sécurité cumulative pour Internet Explorer (976325)
Cette mise à jour de sécurité corrige quatre vulnérabilités signalées confidentiellement et une vulnérabilité révélée publiquement dans Internet Explorer. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur. Un contrôle ActiveX créé avec des en-têtes Microsoft ATL (Active Template Library) pourrait également permettre l'exécution de code à distance. Pour plus d'informations sur ce problème, consultez la sous-section « Forum aux questions concernant cette mise à jour de sécurité », dans cette section.
Bulletin de sécurité Microsoft MS09-073 - Important : Une vulnérabilité dans les convertisseurs de texte de WordPad et d'Office pourrait permettre l'exécution de code à distance (975539)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans les convertisseurs de texte de Microsoft WordPad et Microsoft Office. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un fichier Word 97 spécialement conçu était ouvert dans WordPad ou dans Microsoft Office Word. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux disposant de privilèges d'administrateur.
Bulletin de sécurité Microsoft MS09-074 - Critique : Une vulnérabilité dans Microsoft Office Project pourrait permettre l'exécution de code à distance (967183)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Office Project. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Project spécialement conçu. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Patchez-vous bien !

Décembre : le mois de tous les dangers

2009-12-05T00:35:16Z

Une lecture a retenu mon attention ce soir, à quelques jours du prochain Patch Tuesday de Microsoft, dernier ~~de la décennie~~ de l’année(1) :

Hackers view the holiday season as the ideal time for hacking business computer systems

Cet article soulève un point intéressant : la période des fêtes de fin d’année est une période d’activité privilégiée des “hackers” à la recherche de proies faciles sur Internet : vos réseaux, vos sites web, vos postes de travail. Malgré une étrange insistance à réduire la sécurité au paramétrage de firewalls, l’article a le mérite de rappeler que cette période est particulièrement critique pour plusieurs raisons.

Les sites de commerce font ce mois-ci une part plus qu’importante de leur chiffre d’affaires annuel. Le trafic et le revenu est tel que tous les efforts de supervision doivent être concentrés sur les quelques systèmes vitaux, au détriment peut-être d’autres points d’entrée plus discrets.

Deuxième point : pour les mêmes raisons, le cybercriminel maître-chanteur au DDOS aura sans aucun doute très peu de mal à convaincre sa victime de payer rapidement... et discrètement.

Enfin, et c’est le plus inquiétant car la solution existe mais n’est pas mise en œuvre : tous les réseaux d’entreprise sont en “freeze” en fin d’année. Que ce soit en raison du pic d’activité commerciale ou des opérations annuelles comme les clôtures de comptes, les serveurs applicatifs ne sont pas patchés pendant au moins un mois. Mardi 8/12, dans 3 jours, Microsoft publiera 6 bulletins de sécurité dont 3 critiques. Que feront les entreprises les plus exposées ? Rien. Comme d’habitude en décembre. Et c’est bien dommage.

(1) Trop pressé d’en finir avec cette décennie, j’oubliais que les périodes comme les décennies, siècles et autres millénaires commencent les années en 1 et se terminent les années en 0. Merci Stéphane pour le rappel.