cloud's Blog

Demain Microsoft va publier une mise à jour exceptionnelle pour corriger 2 vulnérabilités :

• Une vulnérabilité pour Visual Studio
• Une vulnérabilité pour Internet Explorer

Dans les 2 cas, ces vulnérabilités exploitent la possibilité de bypasser la pseudo protection kill_bit pour désactiver les ActiveX vulnérables.

Pour rappel, le Kill-bit est le fait de placer un flag dans la base de registre Windows devant les ActiveX que l'on souhaite désactiver car ils sont obsolètes ou vulnérables. Chaque ActiveX possède un numéro unique appelé CLSID (Class Identifier) qui se retrouve alors désactivé.

Pour conséquence, lorsqu'une page par exemple essaie d'installer un nouvel ActiveX, l'installation est bloquée. De plus si une page essaie d'appeler un ActiveX qui a été désactivé, alors celui ci n'est pas exécuté.

A savoir également que cette mise à jour intervient le lendemain d'une présentation à la BlackHat 2009 à Las Vegas sur ce thème :) . Voici l'annonce.

Une démo des auteurs est disponible ici.

Cette mise à jour impose pour les utilisateurs de Visual Studio de recompiler leur application dans certains cas.
De plus, il est important d'appliquer dès sa sortie le patch pour les utilisateurs d'IE (il parait qu'il en existe encore :) ) car un exploit risque de très vite etre publié et largement utilisé car le niveau de criticité me semble élevé.

Nmap a sorti une nouvelle version majeure et en ait donc actuellement à la version 5.0. Cela annonce donc pas mal de nouveautés et surtout une bonne amélioration de l'existant et une remise à jour des données de base comme la liste des principaux ports à scanner. En nouveauté on trouve :

• Ajout de Ncat, un outil de debug, de transfert et de redirection
• Ajout de Ndiff qui permet de comparer des scans afin de voir les changements de votre réseau
• Le Nmap Scripting Engine (NSE) qui offre aux utilisateurs de développer ses propres scripts. De nombreux scripts sont d'ailleurs disponibles ici et je vais vous montrer quelques exemples

Ces scripts permettent de faire de nombreuses actions directement dans votre scan nmap et offre des sorties agréables et exploitables. On trouve par exemple des scripts pour le whois, détecter les versions de ssh obsolètes, des sql injections, des vulnérabilités protocolaires pour SMTP, Netbios, POP3 ... Bref une vrai trousse à outil qui peut devenir super efficace.

Tout d'abord voyons un whois :

(00:04:38 cloud ~) 0 $ nmap madpowah.org --script whois
                                
Starting Nmap 5.00 ( http://nmap.org ) at 2009-07-26 00:04 CEST
Interesting ports on madpowah.org (91.121.93.163):
Not shown: 994 closed ports
PORT     STATE    SERVICE
80/tcp   open     http

Host script results:
|  whois: Record found at whois.ripe.net
|  inetnum: 91.121.64.0 - 91.121.127.255
|  netname: OVH
|  descr: OVH SAS
|_ country: FR

La sortie nous donne bien le registrar mais par contre ne donne aucune info sur le propriétaire dans ce cas.

Il peut donner les disallow du fichier robots.txt pour voir ce qui s'y cache :)

(00:26:03 cloud ~) 0 $ nmap monsite.com --script robots.txt

Starting Nmap 5.00 ( http://nmap.org ) at 2009-07-26 00:26 CEST
Interesting ports on imu135.infomaniak.ch (84.16.88.8):
Not shown: 979 closed ports
PORT     STATE    SERVICE
80/tcp   open     http
|  robots.txt: has 7 disallowed entries 
|  /ucp.php /mcp.php /faq.php /style.php
|_ /search.php

Il est possible de déterminer la version de mysql et pleins d'infos intéressantes comme ceci :

(00:28:19 cloud ~) 0 $ nmap 127.0.0.1 --script mysql-info

Starting Nmap 5.00 ( http://nmap.org ) at 2009-07-26 00:28 CEST
Interesting ports on localhost (127.0.0.1):
Not shown: 982 closed ports
PORT      STATE SERVICE
3306/tcp  open  mysql
|  mysql-info: Protocol: 10
|  Version: 5.0.83
|  Thread ID: 1
|  Some Capabilities: Connect with DB, Compress, Transactions, Secure Connection
|  Status: Autocommit
|_ Salt: >p.qLgBSaijY`Uh-FWes

On trouve également des bruteforcer, des testeurs de versions de SSH, SSLv2, des vulnérabilités HTTP, SMB, Skype ... Bref de quoi s'amuser :)

Une vulnérabilité a été publiée pour le CMS Wordpress avec une version < 2.8.2.

Cette vulnérabilité assez simple est une vulnérabilité XSS exploitable grace à un manque de controle sur le lien donné par un utilisateur lors du post d'un commentaire de sa part.

Pour l'exploitation, voici un petit exemple à entrer dans le champ Website d'un commentaire :)

http://blog.madpowah.org' 
onmousemove='location.href=String.fromCharCode(104,116,116,112,58,47,47,98,108,111,103,46,109,97,100,112,111,119,97,104,46,111,114,103)

Une mise à jour est bien sur déjà disponible sur le site de Wordpress donc messieurs les webmasters, dépéchez vous :)

Une rumeur tourne depuis quelques jours sur un 0day OpenSSH. Cela provient d'observation de serveurs Red Hat hackés mais aucune analyse forensic n'a permis de déterminer réellement l'origine du problème.

Le dernier résultat est qu'apparement il s'agit plutot d'un brute force plutot qu'un 0day, bref du vent.

Le coté intéressant de cette histoire est à mon sens du coté de la réaction des communautés et des hébergeurs. En ce qui me concerne, OVH a fourni immédiatement des mises à jour pour OpenSSH. Des discussions sont également apparues sur la mailing sécurity de FreeBSD ce qui me rassure sur mes choix de bases techniques. On constate l'importance que peut avoir le forensic. Une analyse immédiate aurait pu permettre de déterminer l'origine exacte de l'attaque. Cela impose une gestion des traces et des tentatives de connexions rigoureuse.

En préconisation, les règles élémentaires à suivre sont :
-modifier le port d'origine d'OpenSSH (22)
-interdire via la configuration la connexion via l'utilisateur root
-utiliser des mots de passe robustes et imposer une politique à tous ses utilisateurs
-restreindre par des filtre du firewall uniquement pour les IP ayant le droit d'administrer (les FAI fournissent généralement des IP fixes)
-obfusquer le service SSH via du port knocking comme évoqué ici
-désactiver le service SSH si vous ne l'utilisez pas

Tous à vos configs :)

Milw0rm refonctionne. Ca c'est une chose mais il était surement tombé à cause des nombreux dump de base. Ce qui est plus étonnant, c'est qu'un nouvel exploit a été publié en date d'aujourd'hui et le message de str0ke a disparu.

2009-07-09 	FreeBSD 7.0/7.1 vfs.usermount Local Privilege Escalation Exploit

Y a t'il eu une reprise par quelqu'un d'autre ? str0ke a t'il réalisé de par les messages de soutien qu'il a recu que son site était une pièce maitresse du monde de la sécurité ? On croise les doigts !

Affaire à suivre.

Le 16 Juillet doit sortir un nouveau magazine : HackethiC

Par curiosité je suis allé voir la couverture de ce futur magazine annoncé comme la future référence et la que voit on au prorgamme de ce 1er numéro ?

Sommaire :
-Lascar-OS : distribution linux d'audit
-Injection SQL en PHP
-Mise en place d'un tunnel VPN grace à OpenVPN en SSL
-Hping2
-Nmap / TCPDump
-Licence pro de hacking éthique

Que du vu et revu, des articles qui semblent à première vue très bas niveau, axé sur l'utilisation d'outils. Pour un site qui se veut innovateur, c'est mal parti. Dans le genre que semble visé, Hakin9 me semble bien plus évolué. Après pour moi le magazine français de référence est MISC.

Je sais pas si ca vous fait cet effet mais je trouve que la couverture ressemble beaucoup aux anciennes couvertures de HZV :) .

Bref on verra la suite mais c'est surement pas ce magazine que j'achèterai.

Issu du site www.milw0rm.com :

"Well, this is my goodbye header for milw0rm. I wish I had the time I did 
in the past to post exploits, I just don't :(. For the past 3 months I 
have actually done a pretty crappy job of getting peoples work out fast 
enough to be proud of, 0 to 72 hours (taking off weekends) isn't fair to 
the authors on this site. I appreciate and thank everyone for their support 
in the past.
Be safe, /str0ke"

Voici le message laissé sur le site www.milw0rm.com par str0ke, le mainteneur de ce site. Ainsi depuis le 02 Juillet plus aucun exploit n'a été publié sur ce site. Celui ci l'explique par faute de temps de sa part qui entraine une baisse de qualité qu'il ne peut accepté vis à vis des personnes publiant sur son site.

Milw0rm est né à la fin des années 90, une période encore old school ou le hack se faisait "for fun" par une équipe de hacker. str0ke s'occupait de maintenir ce site qui est devenu la référence des sites d'exploits. Il a toujours été gratuit, simple, efficace bref tout ce qu'on demande à un site web. str0ke assurait un service de qualité en suivant chaque 0day, exploit ou PoC envoyé par quiconque.

Certes milw0rm peut paraitre à première vu un site dangereux utilisé par des script kiddies mais à mon sens il a surtout permis de faire évoluer et d'améliorer la sécurité sur le net par la théorie du full disclosure. Je ne discuterai pas de cette vision de la sécurité dans cet article mais en tout cas il a permis de découvrir de nombreuses vulnérabilités et d'entrainer la publication de patchs de sécurité pour corriger tous les logiciels impactés plutôt que de laisser ces vulnérabilités connues d'un groupe de privilégié qui les auraient exploiter à mauvais escient.

Maintenant la question de la relève va surgir. De nombreux sites publient et centralisent des exploits mais aucun à la milw0rm en testant directement et surtout avec un service aussi simple et efficace. De plus j'aurai personnellement beaucoup plus de mal à faire confiance à la nouvelle génération moins axée sur le coté "fun" de la sécu. Bref affaire à suivre

A l'heure actuelle, le site est down, surement à cause d'un nombre excessif de connexions récupérant l'ensemble des exploits :) (d'ailleurs je vais devoir attendre pour lancer mon script :p )