Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée

Full disclosure (divulgation intégrale)

Dernière mise à jour : 2017-04-28T00:00 - 28.04.2017
05.01.2015 - 00h00 - Paris - (Assiste - Pierre Pinard) - Ajout d'un exemple de Full disclosure après délais

Full disclosure (divulgation intégrale)

Full disclosure (divulgation intégrale)Full disclosure (divulgation intégrale)Full disclosure (divulgation intégrale)

Il n'existe pas de programmes informatiques 100% sans erreur.

En matière de sécurité informatique, il existe, en permanence, des découvertes d'erreurs dans le code des programmes. Certaines de ces erreurs peuvent être exploitées pour provoquer un comportement inattendu du programme. On appelle ces erreurs des failles de sécurité.

Certains sites d'alertes, dont des sites gouvernementaux, (l'un des CERT, en France, le CERTA, dépend du Premier Ministre), révèlent, à titre d'alertes sécuritaires et préventives, des failles non corrigées.

La manière dont les découvreurs de failles de sécurité communiquent les résultats de leurs découvertes est sujette à d'interminables polémiques.

Les CERT ne donnent pas, bien entendu, les caractéristiques ni le " mode d'emploi " des failles trouvées. Il s'agit d'alerter les responsables de la sécurité des systèmes d'information, par exemple pour suspendre l'usage d'un dispositif faillible, ou le déconnecter de l'Internet, le temps qu'un correctif soit disponible. Malheureusement, une lecture inverse de ces alertes constitue une source d'informations pour les cybercriminels.

Quant aux sites ou forums des " chevaliers blancs " (les " gentils hackers " ou " white hat ") et des " chevaliers noirs " (les " méchants hackers " ou " black hat "), ils publient le détail des failles et leurs modes d'emploi, ce qui s'appelle le Full disclosure, soit dès la découverte, pour se faire mousser dans le milieu des hackers (" chevaliers noirs "), soit pour faire bouger les choses lorsque après une à plusieurs alertes auprès du propriétaire du site (période plus ou moins longue dite de " sécurité par l'obscurité "), l'alerte est totalement ignorée (chevaliers blancs outrés par la désinvolture du propriétaire d'un site).

Exemple de signalement d'une faille avec délais donné avant de pratiquer un " full disclosure "

Publié de 30 septembre 2014 - délais donné à l'éditeur : 90 jours (donc échéance au 28.12.2014)

Statut le 03.01.2015 :

Vendor-Microsoft
Product-Windows-Kernel
Severity-High
Finder-forshaw
Reported-2014-Sep-30
CCProjectZeroMembers
Deadline-90
MSRC-20544
PublicOn-2014-Dec-29
Deadline-Exceeded

Le découvreur, Forshaw, travaille sur Google OS
La publication a été faite sur google.com
Un délai de 90 jours a été donné mais rien n'indique que le découvreur ait prévenu Microsoft (l'ennemi).
Le PoC (Prof of Concept) est publié, 90 jours plus tard, dans le texte ci-dessous, avec les outils pour l'exploiter.
Le 15.07.2014, Google a lancé un "zero day project" (appelé Project Zero). Il s'agit de donner une vitrine aux hackers pour publier des failles zero day déjà en cours d'exploitation. Sous prétexte de sécuriser le Web en se donnant le beau rôle, cela lui permet de taper sur tout le monde en pratiquant du full disclosure.
La découverte de Forshaw n'entre pas dans le cadre du Project Zero de Google (la faille n'aurait pas été en cours d'exploitation, ou en tout cas, aucune preuve n'aurait été trouvée par le découvreur), à la date de la publication.

"Platform: Windows 8.1 Update 32/64 bit (No other OS tested)

On Windows 8.1 update the system call NtApphelpCacheControl (the code is actually in ahcache.sys) allows application compatibility data to be cached for quick reuse when new processes are created. A normal user can query the cache but cannot add new cached entries as the operation is restricted to administrators. This is checked in the function AhcVerifyAdminContext.

This function has a vulnerability where it doesn't correctly check the impersonation token of the caller to determine if the user is an administrator. It reads the caller's impersonation token using PsReferenceImpersonationToken and then does a comparison between the user SID in the token to LocalSystem's SID. It doesn't check the impersonation level of the token so it's possible to get an identify token on your thread from a local system process and bypass this check. For this purpose the PoC abuses the BITS service and COM to get the impersonation token but there are probably other ways.

It is just then a case of finding a way to exploit the vulnerability. In the PoC a cache entry is made for an UAC auto-elevate executable (say ComputerDefaults.exe) and sets up the cache to point to the app compat entry for regsvr32 which forces a RedirectExe shim to reload regsvr32.exe. However any executable could be used, the trick would be finding a suitable pre-existing app compat configuration to abuse.

It's unclear if Windows 7 is vulnerable as the code path for update has a TCB privilege check on it (although it looks like depending on the flags this might be bypassable). No effort has been made to verify it on Windows 7. NOTE: This is not a bug in UAC, it is just using UAC auto elevation for demonstration purposes.

The PoC has been tested on Windows 8.1 update, both 32 bit and 64 bit versions. I'd recommend running on 32 bit just to be sure. To verify perform the following steps:

1) Put the AppCompatCache.exe and Testdll.dll on disk
2) Ensure that UAC is enabled, the current user is a split-token admin and the UAC setting is the default (no prompt for specific executables).
3) Execute AppCompatCache from the command prompt with the command line "AppCompatCache.exe c:\windows\system32\ComputerDefaults.exe testdll.dll".
4) If successful then the calculator should appear running as an administrator. If it doesn't work first time (and you get the ComputerDefaults program) re-run the exploit from 3, there seems to be a caching/timing issue sometimes on first run.

This bug is subject to a 90 day disclosure deadline. If 90 days elapse
without a broadly available patch, then the bug report will automatically
become visible to the public.
"

Remarque :
Cela est publié par un développeur Google

Il existe une page de centralisation des Full disclosure : la Full Disclosure Mailing List.

Un célèbre spécialiste en cryptographie, sécurité informatique et protection de la vie privée, Bruce Schneier, a déclaré, dans un essai de janvier 2007, sur son site :

Schneier - Janvier 2007 - Full disclosure - Une foutu de bonne idée !

"Full disclosure -- the practice of making the details of security vulnerabilities public -- is a damned good idea. Public scrutiny is the only reliable way to improve security, while secrecy only makes us less secure."

"Divulgation intégrale -- la pratique consistant à rendre publiques les détails des failles de sécurité est une foutue bonne idée. La transparence publique est le seul moyen fiable d'amélioration de la sécurité, tandis que la politique de sécurité par l'obscurité ne fait qu'abaisser notre niveau de sécurité."

Source (archivée)

Enfin, il y a les hackers qui, après avoir découvert une faille de sécurité, la vendent confidentiellement à des cybercriminels.

La loi 2004-575 du 21 juin 2004, dite "LCEN" (Loi pour la Confiance en l'Économie Numérique), considère que ce type de pratique est incontestablement dangereux et peut entraîner au cas par cas une mise en cause pénale du chef de complicité par fourniture de moyens (portail d'accès) d'une infraction principale d'introduction frauduleuse sur le réseau à condition de rapporter la preuve de l'élément intentionnel du complice. Il sera tenu compte sur l'appréciation de l'élément intentionnel des conditions de la révélation, même si la correction du site n'a pas été établie en temps réel.

Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Sécurité informatique - Contre-mesuresSécurité informatique - Contre-mesuresSécurité informatique - Contre-mesures

Derrière le rideauDerrière le rideauDerrière le rideau

RéférencesRéférences" Références "

RessourcesRessources" Ressources "

Full Disclosure Mailing List

 Requêtes similairesRequêtes similaires" Requêtes similaires "