Rapports d’incident de Windows : un outil dans la détection des attaques de type 0jour

Les rapports d'erreur Windows, connus également sous le nom de rapports Dr. Watson sont des rapports d'incident de Windows envoyés par défaut et sans chiffrement à Microsoft afin que l'éditeur de Redmond puisse éliminer les bogues. Ces rapports sont riches en données système que Microsoft exploite également pour améliorer l'interaction des utilisateurs avec ses produits. Vu qu'ils sont envoyés en clair à Redmond, ils pourraient être interceptés par des pirates qui peuvent ensuite analyser les données système à la recherche de vulnérabilités qu'ils pourront exploiter plus tard.

Cela peut paraître exagéré, mais une revue allemande signalait à la fin du mois de décembre que c'était précisément la démarche adoptée par la National Security Agency (NSA) aux Etats-Unis : l'agence utilisait son outil XKeyscore afin de récolter les rapports d'incident et cibler les vulnérabilités comme il se devait.

Cette fonction peut être limitée lorsque les administrateurs Windows décident de désactiver manuellement l'envoi des rapports d'incident à Windows, une décision qui n'est pas très répandue. Microsoft reçoit des milliards de rapports d'incident de 80 % de sa base d'utilisateurs ayant installé ses applications.

En décembre, Websense, la société spécialisées en sécurité, a encouragé les administrateurs à adopter une attitude proactive face à ces rapports et à les utiliser en tant que première étape dans la détection des attaques complexes contre une organisation car en général, les codes d'exploitation provoquent le comportement anormal des applications. La société a publié un rapport qui explique exactement comment agir et elle a déclaré qu'elle avait été en mesure d'identifier des attaques complexes en cours contre un grand opérateur de téléphonie mobile et un site du gouvernement turc. Elle a également dévoilé une autre campagne qui ciblait des terminaux de point de vente à l'aide d'une version du cheval de Troie ZeuS et de portes dérobées.

Le secret consiste à faire la différence entre les incidents qui trahissent la présence de codes d'exploitation et ceux qui sont simplement le fruit d'un bogue de programmation. Par exemple, des incidents qui surviennent en dehors de la zone mémoire programmable pourraient indiquer la présence d'un code d'exploitation actif qui autorise l'exécution de code à distance.

Alex Watson, directeur du service de recherche sur la sécurité chez Websense, a déclaré : "On passe d'un petit élément à quelque chose d'intéressant".

Il a indiqué que sa société avait récolté 16 millions de rapports Dr. Watson au cours d'une période de 4 mois. L'objectif était de trouver des incidents causés par des codes d'exploitation inconnus jusque là de la vulnérabilité CVE-2013-3893, une vulnérabilité d'utilisation après la libération présente dans Internet Explorer 6-11 qui avait été utilisée dans les attaques de type "trou d'eau" Deputy Dog contre plusieurs sociétés dans des secteurs de pointe en Asie. Les processus en échec qui avaient provoqué les incidents ont permis à Websense de relever l'empreinte des dégâts causés par une tentative d'utilisation d'un code d'exploitation.

Sur les 16 millions de rapports, cinq en provenance de quatre organisations correspondaient à l'empreinte obtenue par Websense qui reprenait des secteurs de la mémoire où Internet Explorer aurait pu arrêter de fonctionner en cas d'attaque par le code d'exploitation de CVE-2013-3893. Il se fait que deux organisations furent victimes du cheval de Troie d'accès à distance HWorm utilisé dans le cadre d'attaques ciblées. Alex Watson a déclaré que le RAT avait émis depuis les deux organisations au moment où la tentative échouée d'utilisation du code d'exploitation avait eu lieu.

"Nous avons été en mesure d'associer l'échec de la tentative d'exécution du code d'exploitation au RAT afin d'obtenir un indice de techniques communes."

Websense a déclaré qu'elle avait également récolté des rapports d'incidents d'applications pour terminaux de point de vente semblables à celles qui avaient été compromises par un programme malveillant gratteur de mémoire dans les attaques contre Target et Neiman Marcus. Ce programme est capable de voler les informations d'identification et les données des cartes de paiement avant leur chiffrement et leur envoie au partenaire de traitement des paiements. La majorité des rapports d'incident utilisés par Websense provenait d'un magasin de vêtements établi dans l'Est des Etats-Unis dont les terminaux de point de vente avaient été infectés par une version de ZeuS qui cible ces terminaux et les applications qu'ils utilisent. D'après Alex Watson, le programme malveillant tentait de se connecter à des serveurs de commande au moment de l'arrêt fautif des applications.

Alex Watson explique "qu'aujourd'hui, la majorité des codes d'exploitation obligent les applications à adopter un comportement inhabituel qui les amène à exécuter un code shell ou à réaliser d'autres opérations de ce genre. Depuis que Microsoft a introduit l'ASLR, les attaquants parviennent difficilement à exécuter des codes d'exploitation. La probabilité d'un échec est bien plus importante. Une fois que les attaquants ont pris pied dans le réseau et franchi le système de sécurité du périmètre, ils ont tendance à penser que leur contenu n'est plus contrôlé par les systèmes IPS, ce qui les amène à choisir la voie d'accès ç leur cible la plus directe avec les codes d'exploitation. Ici aussi, la probabilité d'un arrêt d'une application sur le réseau suite à une erreur est élevée.

http://threatpost.com/windows-crash-reports-used-to-find-zero-day-attacks/104349

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *