[gull] Windows : Une nouvelle faille zero-day a été divulguée via Twitter, dont aucune solution n'est encore connue, selon un rapport
Marc SCHAEFER
schaefer at alphanet.ch
Fri Sep 7 09:38:39 CEST 2018
On Fri, Sep 07, 2018 at 12:07:23AM +0200, Miçhael Parchet wrote:
> http://www.developpez.com/actu/221272/Windows-Une-nouvelle-faille-zero-day-a-ete-divulguee-via-Twitter-dont-aucune-solution-n-est-encore-connue-selon-un-rapport/
Après quelques lectures rapides, j'en déduis:
- c'est une attaque Microsoft
- c'est une attaque locale de privilege escalation
- un patch de test a été publié après 24h
Il semblerait que, décrite avec des termes UNIX, l'attaque est la
suivante:
- un utilisateur crée un lien de son répertoire à un fichier
privilégié normalement non accessible
(sous UNIX: uniquement possible avec un lien symbolique, pas un
lien dur, pas clair chez Microsoft)
- l'utilisateur crée une crontab
- cron exécute cette crontab, mais semble conserver une partie de ses
privilèges, le fichier privilégie peut être lu ou modifié
- si c'est une bibliothèque système, la prochaine exécution sera avec
les droits root
Je ne sais pas comment le système d'auto-protection Microsoft (qui
remet certaines bibliothèques en l'état si elles ont été modifiées)
fonctionne et s'il y a d'autres vecteurs d'attaque.
Je constate simplement que Microsoft implémente de nombreuses fonctionnalités
POSIX (liens symboliques, liens durs, points de montage) mais que les
applications n'en sont souvent pas conscientes.
Sous UNIX, il a fallu du temps pour que les applications soient
conscientes de ces problèmes et quelques éléments de sécurité ont
été ajouté à la bibliothèque C standard (par exemple /tmp). Mais cela
ne suffit pas: les applications doivent implémenter les contrôles de sécurité
en fonction du contexte: par exemple, Apache a une telle sécurité
(SymLinkIfOwnerMatch) vu que les données utilisateurs sont, par défaut,
lues par un daemon www-data. Les programmes qui changent d'utilisateur
effectif s'arrangent pour fermer les fichiers qui ne devraient pas être
accessibles, etc.
Il y a tout une culture de la sécurité qui percole malheureusement très
lentement. Et une fonction qui est un peu exotique est moins bien
comprise.
J'avais vu une émission sur la ZDF début 90 qui mentionnait une attaque de
ce genre avec cron sous UNIX permettant de devenir root. Sauf erreur
c'est celle dont parle Clifford Stoll dans The Cuckoo's Egg
https://en.wikipedia.org/wiki/The_Cuckoo%27s_Egg
Peut-être cette émission: https://www.youtube.com/watch?v=EcKxaq1FTac
More information about the gull
mailing list