Windows VisthAck

• Imprimer

Les incessantes conférences, expositions, causeries, manifestations techniques traitant de sécurité se succèdent, en novembre, à un rythme effréné. Une suractivité qui a poussé la rédaction de CSOFrance à reporter ou négliger quelques informations techniques aussi amusantes que passionnantes. A commencer par une brillante démonstration de Marcus Murray lors d'une session technique qui s'est déroulée lors du dernier Tech'Ed Microsoft. Le titre de cette intervention se passe de commentaire : Why I Can Hack Your Network in a Day!. Il s'agit d'une démonstration d'usage de Metasploit dans le cadre d'une attaque en buffer overflow, accompagnée des contre-mesures conseillées et nécessaires. L'on peut remarquer notamment, au fil de cette amusette suédoise, comment les dernières versions de Process Explorer (celui de Mark Russinovich) est capable de signaler les processus DEP et, surtout ASLR*, et de quelle manière l'auteur « transforme » un code « non ASLR » en programme dont la position en mémoire sera décidée de façon tout à fait aléatoire. Cette « manip des deux octets-miracles » avait d'ailleurs fait l'objet d'un article de la part de David Maynor, sous le titre de Funny Vista Tricks with ASLR . Remarquons au passage que ce qui peut être fait sous Vista d'une certaine manière, peut très probablement être défait de manière automatique. Sur ce même thème, rappelons que le « Month of Vista Bug » de notre chercheur Français NewS0ft, continue sur son erre à collecter quelques belles incongruités, popups de disfonctionnement, erreurs de localisation, incompatibilités par inanition de drivers (ceux des cartes vidéo et des adaptateurs SCSI notamment)... et toujours cette éternelle question qui plane : A quoi peuvent donc bien servir les UAC hormis à tester le bon fonctionnement de l'affichage et éprouver les nerfs des utilisateurs ? NewS0ft aurait également pu ajouter à sa collection ce très amusant article de Mark Russinovich, grand dynamiteur de noyaux Windows devant l'Ethernel, qui nous narre ses péripéties avec un gadget (outils de la barre latérale du bureau) récalcitrant : une horloge qui peut, sur le coup d'une fuite de mémoire, , geler et consommer jusqu'à 2 Go d'espace RAM. Faut-il préciser que, dans ces conditions, le système d'exploitation devient aussi utile qu'une paire de chaussettes à un lombric. Ce qui est surtout comique, dans cette histoire, c'est la nature du programme incriminé. Déjà, dans les années 90, l'on recherchait avec avidité les « vieilles versions 16 bits de clock.exe » pour déterminer si telle ou telle application DOS lancée dans une fenêtre Winframe Citrix était ou non considérée comme « modale ». Si horloge « freezait », c'est que l'antique programme compilé en Clipper monopolisait tout le temps processeur. Dans le cas contraire, l'on pouvait considérer le thread comme « compatible multitache ». De l'art d'exploiter les bugs pour optimiser un système virtuel. Nous sommes à quelques mois de la sortie de Windows Server 2008, une plateforme qui, selon toute probabilité, sera majoritairement installée en version 64 bits. Pourra-t-on espérer feuilleter prochainement une série intitulée Mo2oo8B ?

* NdlR : Wikipedia donne une définition très simple et très claire de ce qu'est l' ASLR. L'on comprend pourquoi, avec une attribution aléatoire des allocations mémoire, il soit particulièrement difficile de situer avec précision la position d'une limite de buffer.