Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Avril 2001<br />
C’est probablement pour cette raison que ce document restera une référence dans l’art et la manière de sécuriser (ou<br />
plus exactement renforcer) un système d’exploitation Windows 2000.<br />
Complément d'information<br />
http://www.systemexperts/com/win2k.shtml<br />
http://www.systemexperts.com/win2k/hardenW2K11.pdf<br />
TECHNIQUES<br />
CHALLENGE ARGUS SYSTEMS<br />
Description<br />
Le 5 ième défi initié par la société Argus Systems concernant son logiciel d'isolation 'PitBull' a été remporté par un<br />
groupe de 4 hackers Polonais. Dans son communiqué de presse, et contrairement aux habitudes, Argus fait le<br />
panégyrique du 'professionnalisme' ce groupe portant le doux nom de LSD, acronyme bien connu de … Last Stage of<br />
Delirium …<br />
Dans les faits, la lecture de ce communiqué de presse est d'autant plus intéressante que le rapport écrit par LSD,<br />
détaillant les principes mis en œuvre, n'est pas publiquement accessible pour des raisons déontologiques. L'analyse<br />
des événements à l'origine du succès de l'attaque menée par LSD proposée par Argus Systems est cependant<br />
suffisamment détaillée pour déterminer la vulnérabilité exploitée !<br />
As a conscientious member of the security community, Argus owes a professional obligation to operating<br />
system vendors supporting the Intel x86 architecture - the most widely-deployed system architecture in the<br />
world. Via the LSD exploit, Argus has become aware of the vulnerability in the architecture and must notify<br />
system vendors and afford them an opportunity to take corrective action if necessary prior to Argus releasing<br />
the details of this exploit. Complete details will be delivered to the public domain as soon as our professional<br />
obligations have been satisfied.<br />
Notons qu'Argus Systems utilise ce communiqué pour exposer sa doctrine largement inspirée par le rapport 'The<br />
Inevitability of Failure: The Flawed Assumption of Security in Modern Computing Environments' déjà mentionné à<br />
propos de 'LINUX SE'.<br />
This successful exploit is concrete and dramatic validation of the message we have been trying to deliver to the<br />
market, namely: operating system security is absolutely mandatory in today's environment. Users<br />
cannot even dream of securing their sites without immediate and appropriate consideration of<br />
operating system security.<br />
Le défi lancé mi-avril consistait à acquérir des privilèges autres que ceux accordés au titulaire d'un compte licite. A<br />
cette fin, un <strong>cert</strong>ain nombre de comptes libres d'accès ont été ouverts par Argus sur un système Solaris x86<br />
sécurisé par PitBull.<br />
En pratique, pour remporter ce défi, LSD a dû contourner la protection apportée par PitBull en attaquant au plus bas<br />
niveau, c'est à dire celui de la gestion de l'architecture du processeur INTEL par le noyau du système d'exploitation<br />
Solaris.<br />
Il semble que LSD ait adapté son attaque pour tirer parti d'un problème 'subtil' dans la gestion des descripteurs de<br />
contexte LDT (Local Data Table), problème ayant fait l'objet d'une alerte en environnement NetBSD.<br />
A subtle bug in validation of user-supplied arguments to a syscall can allow allow user applications on the i386<br />
platform to transfer control to arbitrary addresses in kernel memory, bypassing normal system protections.<br />
Il s'agit probablement de l'alerte 'x86 USER_LDT validation' publiée en février 2001. Cette alerte n'a jamais fait l'objet<br />
d'une reprise dans un environnement autre que NetBSD et pourtant LSD vient de démontrer qu'au moins un autre<br />
système est vulnérable …<br />
Complément d'information<br />
http://www.argus-systems.com/events/infosec/#Rules<br />
http://www.lsd-pl.net/aboutus.html<br />
http://www.linuxsecurity.com/advisories/netbsd_advisory-1157.html<br />
ADMMUTATE <br />
Description<br />
L'annonce, en début de mois, de la disponibilité d'un outil permettant d'échapper aux mécanismes de détection<br />
d'intrusion (IDS) a fait l'effet d'une bombe dans la presse spécialisée provoquant une réponse 'laconique', voire<br />
'fallacieuse', de la part de <strong>cert</strong>ains éditeurs.<br />
Le coupable est 'ADMMutate', une librairie développée par un hacker canadien, connu sous le pseudonyme de K2<br />
(du nom d'un célèbre sommet de l'himalaya), membre du groupe ADM, groupe à l'origine de nombreux outils<br />
d'attaques 'remarquables' dont le vers ADMw0rm (Mars 1999).<br />
En pratique, 'ADMMutate' exploite une faiblesse inhérente à la génération actuelle des systèmes de détection<br />
d'intrusion: l'utilisation d'une stratégie basée sur la recherche d'une signature connue et invariante. A ce titre,<br />
et sans vouloir encenser la communauté des hackers, force est de constater que la polémique déclenchée autour de<br />
cet 'outil' aura permis de faire prendre conscience des limitations des produits d'IDS. Il est fort probable que de<br />
nouvelles stratégies d'analyses soient rapidement intégrées dans ces produits, reproduisant le phénomène constaté il<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 40/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE