VENOM ne convient pas aux attaques

La divulgation de la vulnérabilité VENOM a suscité une vive réaction dans la communauté des experts en sécurité ; ils ont tenu de vifs échanges pendant trois jours sans parvenir toutefois à un consensus sur le danger que cette vulnérabilité représentait, sur la complexité de son exploitation et sur les risques associés à sa présence.

Il se peut que l’apparition du premier code d’exploitation en tant que preuve de concept a quelque peu calmé les inquiétudes relatives à ce bogue : il semblerait que son utilisation dans une attaque de grande envergure soit compliquée.

Peu de temps après la publication des détails relatifs à VENOM, Marcus Meissner, responsable du projet de sécurité de l’information SUSE chez Linux, a écrit un petit programme et l’a partagé avec les abonnés de la liste de diffusion OSS Security. D’après lui, cette preuve de concept confirme que les correctifs publiés sont fiables. Pour rappel, ce sont des chercheurs de CrowdStrike qui avait découvert cette vulnérabilité. On la doit au contrôleur virtuel de disquette de QEMU, un ensemble d’outils d’émulation dont le code source est ouvert. QEMU a été adopté par XEN, KVM et d’autres plateformes de virtualisation et les hébergeurs qui l’utilisent sont invités à appliquer le correctif le plus vite possible.

Répondant au question de Threatpost, Marcus Meissner a expliqué qu’il s’agit d’un "programme de base qui indique uniquement la condition d’apparition d’erreurs capables de provoquer l’échec du processus [QEMU]. Il ne tente pas de garantir l’exécution du code. Je l’ai programmé pour notre service de contrôle de la qualité afin de pouvoir confirmer que le bogue avait bel et bien été éliminé après la mise à jour."

D’après les explications de son auteur, le code d’exploitation tente de réaliser une écriture de façon à ce qu’elle dépasse la limite du tampon FIFO utilisé par le contrôleur de disquette pour l’écriture des commandes et des paramètres. La preuve de concept perturbe le processus QEMU.

Marcus Maissner indique qu’"il n’est pas compliqué de créer la condition indispensable au code d’exploitation, mais l’attaquant doit avoir un accès root sur la machine hôte. Avant de pouvoir exécuter le code, il faut disposer d’une bonne représentation du schéma de mémoire du processus QEMU en cours. En l’absence de randomisation de l’espace d’adressage, cela serait plus ou moins facile, mais je n’ai pas étudié ce cas."

Le code d’exploitation VENOM permet à l’attaquant de sortir des limites de la machine virtuelle et d’accéder à la plateforme hôte, ainsi qu’à l’ensemble des machines virtuelles associées à ce serveur. Evoquant le degré de gravité de cette vulnérabilité, Marcus Maissner a déclaré : "Je considère la fuite hors de la machine virtuelle hôte comme une menace qui se situe entre les niveaux ‘dangereux’ et ‘critique’.

Le célèbre chercheur Dan Kaminsky (Dan Kaminsky) a déclaré à Threatpost, que l’attaquant n’a pas besoin du code d’exploitation pour obtenir des autorisations locales ; il suffit de les acheter. "De nombreux prestataires de services d’informatique dans le nuage proposent de renforcer l’isolement du matériel afin que les clients puissent réduire les communications ouvertes entre les machines virtuelles au minimum, dans les limites de leur organisation. Si un tel service complémentaire est disponible, il serait bon de l’acheter afin de réduire les chances de l’attaquant" conseille l’expert.

S’il est vrai que les disquettes appartiennent définitivement au passé, le code FDC, à l’origine de cette vulnérabilité, est toujours largement utilisé à l’heure actuelle. "Les périphériques comme les contrôleurs de disquettes ou les cartes réseau, ont un automate d’état difficile à émuler. Ils sont souvent été créés sans penser particulièrement à la sécurité car cela remonte à 10 ans, voire plus. De plus, écrire une application en langage C est loin d’être simple et ces applications sont toujours remplies de bogues. Le contrôleur de disquette est loin d’être une exception" explique Marcus Maissner.

La majorité des vendeurs intéressés, voire tous, ont déjà diffusé le correctif pour VENOM. La balle est maintenant dans le camp des hébergeurs ; il reste à voir s’ils considèrent la suspension du service requise pour installer le correctif et redémarrer les machines comme un risque ou une perte acceptables.

Entre temps, les experts invitent les utilisateurs à ne pas céder à la panique suite aux analyses alarmistes de VENOM qui la mettentš sur le même pied que Heartbleed ou d’autres bogues dangereux pour l’ensemble d’Internet. Ainsi, Chris Eng, Vice-président de Veracode chargé des études en technologie de l’information, a déclaré qu’une exploitation massive de VENOM était pratiquement impossible car les codes d’exploitation d’exécution d’un code à distance doivent être orientés sur des environnements concrets. De plus, le fait que l’individu malintentionné doive absolument avoir accès à l’hôte pour organiser l’attaque réduit le risque.šššš

"Alors que l’exploitation d’une faille comme Heartbleed permet d’attaquer des millions de système, il est impossible d’atteindre une telle ampleur avec VENOM" souligne le représentant de Veracode. Les vulnérabilités comme VENOM servent avant tout de tremplin pour des attaques ciblées à des fins d’espionnage, pour des opérations militaires dans le cyberespace, etc. Les sociétés doivent appliquer les correctifs au fur et à mesure de leur publication.

Threatpost.com

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *