Comme tous les mois, à l'approche de la publication Microsoft, la "sécurosphère" est en ébullition. Que va-t-il falloir patcher ce mois-ci ? Au total 8 bulletins dont 6 critiques. La liste ici. On va dire que c'est un menu "habituel" (certes certaines habitudes devraient se perdre... :) ).
Mais ce mois-ci... Surprise du chef : une faille 0-day sur IE7. Et comme c'est du 0-day, les patchs sortis aujourd'hui, notamment le MS08-073, ne corrigent pas la faille. Et pour accompagner cela des PoC (Proof of Concept) ont été lachées dans la nature.
Que fait cette petite bête ? Elle exploite une mauvaise gestion du XML pour injecter du code malicieu dans la mémoire.
Le SANS Institute nous en dit un plus en nous conseillant un navigateur alternatif et Secunia nous conseille de ne cliquer que sur des liens "Trusted".
Et si vous testiez Firefox ? :)
D'autres sources :
eEye Digital Security - Research - lien
Blog - ZDNet - lien
McAfee Avert Labs Blog - lien
Update du 11/12 : Un décorticage de la faille a été réalisé par le CERT-LEXSI. Leur blog.
mercredi 10 décembre 2008
mercredi 3 décembre 2008
Sécurité par obfuscation.
Toujours en mission loin de ma contrée, je réside encore à l'hôtel. Et les soirées sont longues et froides en cette saison... Ce joli petit hôtel possède du WiFi... Non sécurisé, certes mais qui nécessite un login/mdp pour naviguer sur le Web. Regardons ça de plus près...
Déjà on m'annonce au début du séjour que le mdp de connexion change tous les jours. Et on me donne un papier avec marqué dessus : client / Edf45sEr. Voici donc le login/mdp. Brute-force ? Non c'est moyen bof bof. Cherchons moins long.
Alors connectons-nous à ce Wifi. Tentative de connexion à mon ami Google... Un bel écran de connexion apparaît :
Et dans l'url, une floppée de paramètres :
https://192.168.2.1/cgi-bin/hotspotlogin.cgi?res=notyet&uamip=192.168.2.1&uamport=3990&challenge=3c1d263bd4ac9a9dcaaf25e62d416650&userurl=&nasid=etap&mac=00-AA-DE-8B-78-A4
On y voit adresse MAC, un port et d'autres infos. Bon et qu'est qui se cache à la racine du site ?
Aahhh zut, je n'arrive pas à me connecter au localhost ... :) Et bien remplaçons-le pas l'adresse IP ... ;)
Et ben tiens, sur quoi je tombe ... La console d'administration des utilisateurs. Avec le couple login/mdp pour le compte "client".
Et si on regardait la liste des autres utilisateurs... Ah ben y'a un compte admin ... Bravo le veau ! :)
Donc le login et mdp de connexion peuvent être trouvé dès que l'on est connecté au réseau WiFi. Pas glop :( lol
Conclusion :
La sécurité par obfuscation à ces limites et c'est très très limite comme stratégie de sécurité... Vous cachez encore vos clefs sous le pot de fleur de l'entrée vous ? Et ben là c'est pareil...
En grattant un peu plus, on s'aperçoit que c'est un apache qui fait tourner le service... il aurait été très judicieux de séparer la partie authentification client de la partie administration et d'en restreindre l'accès avec un paramètre du genre "Allow from localhost". En espérant qu'un écran soit branché ... :)
Déjà on m'annonce au début du séjour que le mdp de connexion change tous les jours. Et on me donne un papier avec marqué dessus : client / Edf45sEr. Voici donc le login/mdp. Brute-force ? Non c'est moyen bof bof. Cherchons moins long.
Alors connectons-nous à ce Wifi. Tentative de connexion à mon ami Google... Un bel écran de connexion apparaît :
Et dans l'url, une floppée de paramètres :https://192.168.2.1/cgi-bin/hotspotlogin.cgi?res=notyet&uamip=192.168.2.1&uamport=3990&challenge=3c1d263bd4ac9a9dcaaf25e62d416650&userurl=&nasid=etap&mac=00-AA-DE-8B-78-A4
On y voit adresse MAC, un port et d'autres infos. Bon et qu'est qui se cache à la racine du site ?
Aahhh zut, je n'arrive pas à me connecter au localhost ... :) Et bien remplaçons-le pas l'adresse IP ... ;)
Et ben tiens, sur quoi je tombe ... La console d'administration des utilisateurs. Avec le couple login/mdp pour le compte "client".
Et si on regardait la liste des autres utilisateurs... Ah ben y'a un compte admin ... Bravo le veau ! :)
Donc le login et mdp de connexion peuvent être trouvé dès que l'on est connecté au réseau WiFi. Pas glop :( lol
Conclusion :
La sécurité par obfuscation à ces limites et c'est très très limite comme stratégie de sécurité... Vous cachez encore vos clefs sous le pot de fleur de l'entrée vous ? Et ben là c'est pareil...
En grattant un peu plus, on s'aperçoit que c'est un apache qui fait tourner le service... il aurait été très judicieux de séparer la partie authentification client de la partie administration et d'en restreindre l'accès avec un paramètre du genre "Allow from localhost". En espérant qu'un écran soit branché ... :)
Inscription à :
Articles (Atom)
