Les 0days permettent d'exploiter les bugs inconnus

Par Ludovic Blin, secuobs.com
Le 10/06/2005

---

Résumé : La connaissance des failles 0days permet d'anticiper les menaces pour se protéger efficacement. Quels sont les moyens pour l'acquérir ? - Lire l'article



La connaissance des failles 0days permet d'anticiper les menaces pour se protéger efficacement. Quels sont les moyens pour l'acquérir ?

La lutte contre les menaces informatiques est bien souvent le fruit d'une adaptation perpétuelle des défenses contre les nouvelles attaques. Encore faut-il que celles-ci soit identifiées. En effet, il s'écoule toujours un certain temps entre la découverte d'une faille et la sortie d'un patch par l'éditeur du logiciel vulnérable. Durant ce temps, ces bugs et le code d'exploitation permettant de les utiliser sont dénommés 0days.

A l'occasion du Symposium sur la sécurité des technologies de l'information et de la communication, organisé à l'ESAT (Ecole supérieure d'application des transmissions – Armée de terre) par un collectif regroupant administrations et entreprises (EADS, Thales, CEA, Supélec, ESAT…), Kostya Kortchinsky, responsable du CERT-Renater, a présenté un exposé sur la recherche et l'acquisition de ces fameuses failles « privées » en environnement Microsoft.

Celles-ci, au sein des nombreux outils s'offrant aux professionnels de la sécurité informatique occupent une place importante. En effet, ces failles qui n'ont pas encore été corrigées offrent un avantage important à d'éventuels pirates. Les organisations les plus sensibles se doivent donc de les connaître pour pouvoir se protéger efficacement. Plusieurs moyens sont à leur disposition pour acquérir des 0days.

Il est tout d'abord possible de les acheter. Plusieurs sociétés de sécurité, en particulier américaines, ont lancé le concept de Vulnerabilities Sharing Club. Ces offres permettent un accès privilégié aux nouvelles failles contre des frais d'adhésion importants (de l'ordre de 50 000 à 100 000 dollars selon certaines sources). Leur client-type est une grande entreprise ou une organisation gouvernementale américaine. Certaines sociétés proposent également aux chercheurs indépendants d'acheter des vulnérabilités, pour un prix variable, à partir de 2000 dollars environ.

Les pots de miels, ainsi que les investigations suite à la compromission d'un système peuvent également servir à cette fin. Ces deux moyens se révèlant moins efficaces, surtout le premier.

Enfin, il est possible d'échanger, au sein de forums « underground », des exploits 0dayz contre d'autres biens habituellement proposés dans ces endroits, tels que numéros de cartes bancaires, réseau de système compromis (botnets) etc…Les 0dayz tenant le haut du panier en terme de valeur marchande. Ce marché noir est bien sur illégal.

La meilleure manière de connaître a l'avance ces failles est donc de les découvrir soi même par le biais de la recherche de vulnérabilités. Plusieurs méthodes ont été mises au point pour parvenir à cette fin. Leur mise en œuvre nécessite néanmoins de solides compétences en informatique, au plus bas niveau, ainsi qu'un travail souvent long et fastidieux.

En premier lieu, il est possible de découvrir des bugs à partir d'essais manuels d'un service ou d'une application, en la soumettant à des comportements utilisateurs imprévus et en observant ses réactions (au besoin à l'aide d'un analyseur réseau), le but étant de la faire planter. Cette méthode peut être automatisée à l'aide d'outils dit de fuzzing. Ceux-ci font effectuer d'une manière automatique toutes les requêtes imaginables vers l'application, dans le but de la faire planter. Bien sur, un fuzzer spécifique doit être codé pour chaque protocole, ce qui peut poser des problèmes notamment lorsque celui-ci n'est pas ou peu documenté (Microsoft notamment). Des bibliothèques permettant un développement plus rapides de ces outils existent (Spike et Peach).

L'analyse de l'exécution des processus est également utilisée dans la recherche de failles. Pour cela, en ce qui concerne Windows, les débuggeurs OllyDbg (pour le ring3) et SoftIce (pour le ring0) sont recommandés. L'analyse différentielle de binaires constitue également une méthode, utilisée dans un cas particulier : lorsqu'il s'agit de trouver une faille à partir d'un correctif publié (il arrive souvent que des failles soit patchées silencieusement par Microsoft). Pour cela il est possible d'utiliser des outils de comparaison à base de graphes, qui peuvent être intégrés dans un plug-in pour le désassembleur IDA Pro (voir Sabre Security lien l'analyse statique de binaires paraît pour Kostya Kortchinsky la méthode la plus efficace. Celle-ci consiste à détecter au sein d'un binaire désassemblé l'utilisation d'instructions dangereuses (strcpy, strcat, sprintf …). Cette recherche peut, la encore, être facilitée par l'utilisation de plug-ins pour IDA.

Mais, une fois une vulnérabilité exploitable trouvée, seule la première partie du travail est effectuée puisqu'il va falloir également écrire un code d'exploitation fiable sur les nombreuses versions du système de Microsoft.