Infos

VENOM ne convient pas aux attaques

La divulgation de la vulnérabilité VENOM a suscité une vive réaction dans la communauté des experts en sécurité ; ils ont tenu de vifs échanges pendant trois jours sans parvenir toutefois à un consensus sur le danger que cette vulnérabilité représentait, sur la complexité de son exploitation et sur les risques associés à sa présence.

Il se peut que l’apparition du premier code d’exploitation en tant que preuve de concept a quelque peu calmé les inquiétudes relatives à ce bogue : il semblerait que son utilisation dans une attaque de grande envergure soit compliquée.

Peu de temps après la publication des détails relatifs à VENOM, Marcus Meissner, responsable du projet de sécurité de l’information SUSE chez Linux, a écrit un petit programme et l’a partagé avec les abonnés de la liste de diffusion OSS Security. D’après lui, cette preuve de concept confirme que les correctifs publiés sont fiables. Pour rappel, ce sont des chercheurs de CrowdStrike qui avait découvert cette vulnérabilité. On la doit au contrôleur virtuel de disquette de QEMU, un ensemble d’outils d’émulation dont le code source est ouvert. QEMU a été adopté par XEN, KVM et d’autres plateformes de virtualisation et les hébergeurs qui l’utilisent sont invités à appliquer le correctif le plus vite possible.

Répondant au question de Threatpost, Marcus Meissner a expliqué qu’il s’agit d’un "programme de base qui indique uniquement la condition d’apparition d’erreurs capables de provoquer l’échec du processus [QEMU]. Il ne tente pas de garantir l’exécution du code. Je l’ai programmé pour notre service de contrôle de la qualité afin de pouvoir confirmer que le bogue avait bel et bien été éliminé après la mise à jour."

D’après les explications de son auteur, le code d’exploitation tente de réaliser une écriture de façon à ce qu’elle dépasse la limite du tampon FIFO utilisé par le contrôleur de disquette pour l’écriture des commandes et des paramètres. La preuve de concept perturbe le processus QEMU.

Marcus Maissner indique qu’"il n’est pas compliqué de créer la condition indispensable au code d’exploitation, mais l’attaquant doit avoir un accès root sur la machine hôte. Avant de pouvoir exécuter le code, il faut disposer d’une bonne représentation du schéma de mémoire du processus QEMU en cours. En l’absence de randomisation de l’espace d’adressage, cela serait plus ou moins facile, mais je n’ai pas étudié ce cas."

Le code d’exploitation VENOM permet à l’attaquant de sortir des limites de la machine virtuelle et d’accéder à la plateforme hôte, ainsi qu’à l’ensemble des machines virtuelles associées à ce serveur. Evoquant le degré de gravité de cette vulnérabilité, Marcus Maissner a déclaré : "Je considère la fuite hors de la machine virtuelle hôte comme une menace qui se situe entre les niveaux ‘dangereux’ et ‘critique’.

Le célèbre chercheur Dan Kaminsky (Dan Kaminsky) a déclaré à Threatpost, que l’attaquant n’a pas besoin du code d’exploitation pour obtenir des autorisations locales ; il suffit de les acheter. "De nombreux prestataires de services d’informatique dans le nuage proposent de renforcer l’isolement du matériel afin que les clients puissent réduire les communications ouvertes entre les machines virtuelles au minimum, dans les limites de leur organisation. Si un tel service complémentaire est disponible, il serait bon de l’acheter afin de réduire les chances de l’attaquant" conseille l’expert.

S’il est vrai que les disquettes appartiennent définitivement au passé, le code FDC, à l’origine de cette vulnérabilité, est toujours largement utilisé à l’heure actuelle. "Les périphériques comme les contrôleurs de disquettes ou les cartes réseau, ont un automate d’état difficile à émuler. Ils sont souvent été créés sans penser particulièrement à la sécurité car cela remonte à 10 ans, voire plus. De plus, écrire une application en langage C est loin d’être simple et ces applications sont toujours remplies de bogues. Le contrôleur de disquette est loin d’être une exception" explique Marcus Maissner.

La majorité des vendeurs intéressés, voire tous, ont déjà diffusé le correctif pour VENOM. La balle est maintenant dans le camp des hébergeurs ; il reste à voir s’ils considèrent la suspension du service requise pour installer le correctif et redémarrer les machines comme un risque ou une perte acceptables.

Entre temps, les experts invitent les utilisateurs à ne pas céder à la panique suite aux analyses alarmistes de VENOM qui la mettentš sur le même pied que Heartbleed ou d’autres bogues dangereux pour l’ensemble d’Internet. Ainsi, Chris Eng, Vice-président de Veracode chargé des études en technologie de l’information, a déclaré qu’une exploitation massive de VENOM était pratiquement impossible car les codes d’exploitation d’exécution d’un code à distance doivent être orientés sur des environnements concrets. De plus, le fait que l’individu malintentionné doive absolument avoir accès à l’hôte pour organiser l’attaque réduit le risque.šššš

"Alors que l’exploitation d’une faille comme Heartbleed permet d’attaquer des millions de système, il est impossible d’atteindre une telle ampleur avec VENOM" souligne le représentant de Veracode. Les vulnérabilités comme VENOM servent avant tout de tremplin pour des attaques ciblées à des fins d’espionnage, pour des opérations militaires dans le cyberespace, etc. Les sociétés doivent appliquer les correctifs au fur et à mesure de leur publication.

Threatpost.com

VENOM ne convient pas aux attaques

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception