Faille WMF : suite et pas fin
Malgré la publication d'un bulletin et d'un correctif 06-001, la faille WMF risque de faire parler d'elle quelques semaines encore. Quelques mois même, précisent nos confrères de CRN qui reviennent sur un antique sujet de discussion : les temps de déploiement en entreprise et l'ouverture croissante de la fenêtre de vulnérabilité. Mais ce n'est pas tout. Sur la liste FD, ainsi que sur certaines autres, l'on peut trouver trace d'un double PoC signé Cocoruder. Nous ne communiquerons pas le lien direct des images PoC forgée... elle est simple à retrouver. Ah bon ? Devant tant d'insistance... Le listing commenté se trouve dans les archives du bugtraq. Chez Microsoft, on se contente de préciser que ce ne sont là que peccadilles à peine capables d'affecter les performances du système. Affecter à tel point qu'une machine de test du labo sacrificiel de CSO France ne parvient toujours pas à s'en remettre. La différence entre une surconsommation CPU et un véritable crash, n'en déplaise aux services techniques de MS, dépasse et de loin la subtilité dialectique. Mais ce n'est pas tout. Le sujet est assez important pour mériter que l'on promette de le développer dans un proche avenir : Un expert sécurité français bien connu posait hier, sur le Butraq, une question qui n'est naïve qu'à première vue : pourquoi, avec un premier exploit aussi subtilement écrit, avec une telle longueur d'avance sur les processus de développement de rustine, avec une telle publicité faite autour de cette faille, pourquoi diable notre monde n'a pas été submergé d'une vague façon Sasser, Mydoom et autres joyeuseté virale ou botnetienne ? Tout s'expliquerait si ce trou avait effectivement été exploité dans le cadre d'une attaque touchant une « grande entreprise ou entité économique » et que la victime n'ait pas souhaité étaler ses déboires sur la place publique. Mais ce n'est pas tout. De mémoire de crosofties, jamais, au grand jamais, rustine n'a été analysée-conçue-testée-publiée aussi rapidement. Le sacro-saint « patch day » lui-même a été anticipé, une dérogation au protocole que des alertes bien plus « chaudes » ne sont jamais parvenues à provoquer. Comment le code d'un obscur hacker est-il parvenu à déclencher ce que des armées de banquiers, effrayés par une faille « keylogger », il y a moins d'un an, ne sont pas parvenu à faire ? Peut-être parce que la faille, non content d'être connue, était accompagné d'un processus de patch fortement amorcé, voir totalement achevé au moment de l'annonce ? Après tout, si l'on compte le cheptel de ce que l'on pourrait appeler les « failles NSA », ces défauts Windows jalousement conservés par les barbouzes et autres autorités « simplement au cas où », on ne peut imaginer un instant que leur parade ne soit pas élaborée depuis longtemps, prête à être publiée dès que ce genre de petit secret est éventé. Notre découvreur de la faille WMF aurait-il mis les pieds dans le plat sans le savoir ? Pis encore, notre découvreur de faille WMF aurait-il mis les pieds dans le plat en sachant pertinemment ce qu'il provoquait ? Car la filière WMF est une belle usine à Botnet, trop belle pour ne pas s'être monnayée quelques dizaines de milliers de dollars sur le marché parallèle, trop efficace pour que la menace de son usage ne génère des réactions radicales. Marc Maiffret de eEye éclaire même le problème d'un coup de projecteur un peu plus alarmiste. Il fait remarquer que ce genre de vulnérabilité « sans signature particulière » préfigure la venue d'une nouvelle famille de menaces. Bien entendu, le co-fondateur de eEye en profite pour glisser au passage un plaidoyer en faveur des outils de filtrage n'utilisant précisément pas lesdites signatures... charité bien ordonnée commence toujours par une page de publicité. Mais ce n'est pas tout. Il serait injuste de passer sous silence, tant pour saluer au passage le travail des frères Litchfield que pour honorer le panthéon des cavités, gouffres, alvéoles et avens du monde logiciel, les alertes numéro 2 et numéro 3 millésimées 2006. L'une donnerait accès à une exécution de code à distance via un défaut des fontes embarquées Web, l'autre également à une exploitation distante mal géré par Exchange et Outlook, et liée au contrôle des pièces attachées au format TNEF. Un dernier Mais ce n'est pas tout, avec une petite histoire de tableur et sa vidéo associée. Mais, comme aurait dit Kipling, ceci est une autre histoire. A suivre...