Le premier exploit disponible a été développé par le groups chinois XFocus et permet d’exploiter les versions chinoises de Microsoft Windows NT/2000/XP afin de prendre la main à distance sur la machine attaquée.

Le second, développé et distribué par l’expert en sécurité informatioque H.D Moore permet bien sûr d’attaquer les versions chinoises mais aussi anglaises de Microsoft Windows. Il a amélioré l’outil et a rajouté les adresses de retour (RET) permettant d’exploiter différentes version vulnérables de Microsoft Windows. C’est ce que l’on appelle des « targets ». Cela donne la possibilité à l’outil d’exploiter une même vulnérabilité sur des versions de systèmes d’exploitation différents avec des adresses de retour différentes.

Il est vrai que l’outil pourrait être écrit de maniére à tester des plages entiéres d’adresses de retour, cependant, lors de l’exploitation de cette vulnérabilité, si une mauvaise adresse de retour qui ne correspond pas à celle du système attaqué est utilisée, cela provoque un déni de service et il faut attendre un reboot complet de la machine avant de tester une nouvelle adresse. L’exploitation de cette faille necessite donc certaines connaissances sur le système attaqué.

Pas plus tard qu’hier, c’est la société A.D Consulting, société française basée à Montpellier qui diffuse au grand public un code permettant d’exploiter pas moins de 48 versions de Microsoft Windows NT/2000/XP comme par exemple les version françaises, allemandes, mexicaines, koréene, japonaise ou encore kenyane ! En bref, une nouvelle arme est mise à disposition des pirates et autres « script-kiddy ».

Pourquoi une société française spécialisée dans la sécurité des systèmes d’information offre aux pirates du monde entier le moyen d’attaquer la quasi totalité des versions de Microsoft Windows ? La preuve que cette vulnérabilité est exploitable a déja été donnée par Xfocus avec leur premier code diffusé sous la forme de « proof of concept ».

Peut-être est-ce pour permettre aux administrateurs de tester la présence de cette faille sur leurs serveurs ?

Difficile de croire qu’un administrateur va se risquer à tester cet outil qui peut causer un déni de service en cas d’exploitation ratée sur ses serveurs en production. De plus, la société Eeye propose un outil qui présente les mêmes fonctionnalités mais qui ne cause pas de déni de service et n’est pas « intrusif ».

Quelle est la part de responsabilité des sociétés ou particuliers qui diffusent à grande échelle de tels programmes ?

Nous revenons là sur un probléme de fond bien connu des acteurs de la sécurité informatique, le « full disclosure ». Doit on publier autant d’informations techniques sur les vulnérabilités au risque de voir apparaitre sur la toile les outils qui serviront à nous pirater, ou bien se contenter d’appliquer aveuglement les patchs recommandés par les constructeurs ?

Qu’en est il de la législation en matiére de « Codes malicieux » ?

Les « exploits » pouvant faire autant de dégat qu’un Virus peuvent ils étre assimiliés à du code virale d’autant plus que les « vers » utilisent des vulnérabilités pour se propager sur la toile ? Voilà un bon sujet pour un prochain article à mon retour de vacances.