Vous êtes dans : Accueil > Tribunes libres >

Dirty Cow VS Atom Bombing : l’architecture des systèmes d’exploitation remise en cause !

Charles Blanc-Rolin , LUNDI 21 NOVEMBRE 2016 Soyez le premier à réagirSoyez le premier à réagir

Le mois d’octobre a été porteur de mauvaises nouvelles pour tous les RSSI en quête de sécurisation de leur SI avec la découverte de deux importantes failles de sécurité remettant en cause l’architecture de très nombreux systèmes d’exploitation !

#DIRTYCOW

dirty cow

La première, Dirty Cow, aussi connue sous le numéro de vulnérabilité CVE-2016-5195, rendue publique par le chercheur Phil Oester, impacte tous les systèmes basés sur le noyau Linux version 2.6.22 (publiée en 2007) et supérieures. Autant dire énormément de systèmes d’exploitation !

Cette faille permet à un attaquant disposant d’un accès utilisateur sans privilèges, de passer « root » [1] sur un système Linux et donc d’élever ses privilèges au plus haut niveau, afin d’effectuer toutes les tâches qu’il souhaite sans aucune limite sur la machine.

Linus Torvalds avoue avoir tenté une correction de cette vulnérabilité il y a 11 ans, considérée comme théorique à l’époque, mais celle-ci avait été abandonnée pour des raisons de compatibilité avec le matériel Intel.

Si celle-ci a été corrigée le 18 octobre dans les systèmes d’exploitation les plus connus comme Debian, Ubuntu, Redhat ou Centos (et d’autres), que je vous conseille d’ailleurs de « patcher » rapidement, combien vont rester vulnérables ? Notamment dans le monde des équipements réseau ou encore de l’IOT et par conséquent des dispositifs médicaux !

#ATOMBOMBING

Côté Windows, cette vulnérabilité affectant toutes les versions du système de Microsoft, découverte par les chercheurs de la société américaine Ensilo est encore plus inquiétante ! Elle utilise la fonctionnalité Atom Tables de Windows pour injecter du code malveillant à un processus connu, bien souvent un navigateur web, qui est un processus « légitime » accédant à Internet pour lui faire exfiltrer des données sans qu’un antivirus ne puisse le voir. L’éditeur Roumain Bitdefender annonce sur son blog « Enterprise » pouvoir parer ce type d’attaque dans un environnement virtualisé en utilisant l’introspection de la mémoire depuis l’hyperviseur [2]. De plus en plus d’éditeurs de solutions de sécurité proposent aux professionnels ce type de protection des environnements virtuels, pour résumer, l’antivirus de l’hyperviseur protège l’ensemble des machines qu’il héberge, ce qui évite l’installation d’un antivirus sur chaque machine virtuelle. Tout ça c’est bien beau, mais sur les machines physiques, comme les postes utilisateurs, comment faire ?

L’éditeur, Microsoft préconise à ces utilisateurs d’être vigilants car cette vulnérabilité remettant en cause les fondations du système n’est pas prête d’être corrigée.

Une réponse insatisfaisante à mon sens qui vient encore noircir le tableau du géant américain.


[1] Le compte utilisateur root est le compte administrateur disposant du plus haut niveau de privilèges sur un système Linux.

[2] Système permettant de virtualiser des machines.


Pour plus d’informations sur Dirty Cow :

http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ACT-043/index.html

https://dirtycow.ninja/

https://www.youtube.com/watch?v=kEsshExn7aE

https://github.com/dirtycow/dirtycow.github.io/wiki/VulnerabilityDetails

https://github.com/dirtycow/dirtycow.github.io/wiki/Patched-Kernel-Versions

Pour plus d’informations sur Atom Bombing : 

https://breakingmalware.com/injection-techniques/atombombing-brand-new-code-injection-for-windows/ 

http://www.zdnet.fr/actualites/atombombing-une-inquietante-vulnerabilite-dans-windows-39844144.htm

sécurité, rssi, code, ssi, microsoft, antivirus


VIDAL