Thursday, October 16, 2008

Encore un coup des Chinois!

Hacked by Chinese all over again!

Ce Microsoft Tuesday etait plein de bonnes surprises. Tout d'abord Microsoft nous fournit ce mois-ci plethore d'information sur les bugs, soit dans les avis officiels, soit sur le blog de SWI. Cool. Nous avons aussi maintenant le droit a un indice d'exploitabilite des bugs. Cette fois-ci MS n'a plus le droit a l'erreur, ce n'est plus un individu lambda qui va annoncer sur un blog 'Mais non ce n'est pas exploitable, LoL!', c'est une "position officielle".

On pourra s'etonner aussi du fait que l'on trouve une faille reportee par le CERT/CC utilisee dans des attaques "ciblees". Ce n'est pas la premiere fois que cela arrive, neanmoins dans les cas precedents, ce n'etait pas mis en avant de la sorte. On supposera que la vulnerabilite en question a ete trouvee lors d'une session forensique rondement menee par nos amis CERTiens. Bien joue. Ca change du PHP include.

Dans nos HQ miamiens, lorsqu'un truc comme ca arrive, Dave dit que c'est Chinois. Ca pourrait etre Russe ou Indien pour autant qu'on le sache, mais bon, c'est Chinois pour nous. Et c'est plutot bien fait.

La vulnerabilite est saugrenue. Tout d'abord le filtre ISAPI en question n'est accessible que post-authentification. Passe encore. Vous envoyez votre requete IPP en demandant au filtre de venir recuperer des informations sur telle imprimante. Bien evidemment il s'avere que cette imprimante est en fait hebergee dans vos locaux, et puis que ce n'est pas une imprimante du tout mais quelques lignes de python qui simulent un serveur SMB/RPC. Apres avoir initie la connexion et effectue quelques requetes, une des reponses de notre "imprimante" est utilisee n'importe comment par le filtre ISAPI, qui va allouer de la memoire a partir d'un parametre de la reponse en copier des donnes dans le buffer alloue en se fondant sur un autre.

Quelle sale histoire. Un bon heap overflow des familles, mais complexe a mettre en oeuvre, et a trouver... Ils sont forts ces Chinois! Moralite, filtrez le SMB sortant.

6 comments:

Anonymous said...

Bonjour,

Où peut on obtenir de plus amples informations à propos de cet avis du CERT/CC ?

Kostya said...

http://www.kb.cert.org/vuls/id/793233

Anonymous said...

Merci pour le lien :)
Après une lecture de l'article je pensais plus à un 0-day, ce n'est que l'exploitation du MS08-062 en fait :p

merci pour ces infos ;)

Anonymous said...

Bonjour Kostya,

Je crois qu'il est possible de faire une GPO qui desactive l'impression over internet. Voir dans gpedit.msc / gestion de la communication internet.

newsoft said...

Tiens j'ai pensé à toi en lisant ça:
http://www.theregister.co.uk/2008/11/07/white_house_email_china/

PS. J'hésite à me loguer avec mon compte Google sur ton blog. Tu pourrais m'attaquer en XSS :)

newsoft said...

Je continue ma revue de presse, tant qu'à faire ...

http://www.courrierinternational.com/article.asp?obj_id=91897

Je vais finir par croire que les américains en veulent aux chinois, malgré tous leurs bons du trésor !