Expert: Miami

Extraction des fichiers .tor de Star Wars: The Old Republic

2011-12-09T18:38:00.000-05:00

Pour ceux qui veulent savoir ce qui se passe dans les fichiers de SW:ToR, voici un petit morceau de code pour "traiter" tous les fichiers .tor dans un repertoire. Le format est base sur des archives "MYP" avec des SHA-256 integres dans les donnees. Les noms de fichiers ne sont pas disponibles dans les archives, seuls un hash particulier sur 64 bits permet d'identifier les fichiers. Une liste partielle des fichiers est disponible avec le projet easymyp.

Le code ne fait pas grand chose, mais donne une idee du format des fichiers.
Il semble au passage que quantites de SHA-256 soient invalides.

Steam tombe

2011-11-10T19:19:00.001-05:00

Et un autre Stuxnet...

2011-10-18T15:24:00.010-04:00

Apparemment, les auteurs de Duqu seraient les memes que ceux de Stuxnet. Il y a un gros PDF qui regroupe les travaux de Symantec et du "laboratoire" qui a ete publie.

Le certificat utilise pour signer les .sys a semble-t-il ete vole, et bien que cache au sein du PDF (sauf son empreinte), il s'agirait d'un certificat de C-Media Eletronics Incorporation qui est maintenant revoque.

D'apres ce que j'ai lu, le but de Duqu est different de celui de Stuxnet et se concentre davantage sur le C&C que la proliferation et l'exploitation de vulnerabilites. Le rapport du "laboratoire" ne semble pas infirmer la presence de 0days dans les binaires.

Quelques liens:

Symantec: http://www.symantec.com/connect/w32_duqu_precursor_next_stuxnet
McAfee: http://blogs.mcafee.com/mcafee-labs/the-day-of-the-golden-jackal-%E2%80%93-further-tales-of-the-stuxnet-files
F-Secure: http://www.f-secure.com/weblog/archives/00002255.html, http://www.f-secure.com/v-descs/backdoor_w32_duqu.shtml
Norman: http://blogs.norman.com/2011/security-exposed/w32duqu-stuxnet-lite
Rapports Virus Total: http://www.virustotal.com/file-scan/report.html?id=f2b631fcdf83b928661a7e09dd11fa640251a4850ff570436f3b16abef0fad10-1317395560 (soumission du 30 Septembre 2011), http://www.virustotal.com/file-scan/report.html?id=1cd11a596ad732e3513aac21bd7e43a9883544b1abc7b775bdbb104a3f61ce0f-1318645582 (soumission du 13 Octobre 2011)
Contagio: http://contagiodump.blogspot.com/2011/10/duqu-rat-trojan-precursor-to-next.html
Dell SecureWorks: http://www.secureworks.com/research/threats/duqu/

Edit: tableau & liens.

idapython 1.5.2

2011-06-11T15:35:00.001-04:00

La nouvelle version d'idapython semble fixer le probleme du script de graph d'xrefs lorsque je l'ai passe en plugin ("crash" lors du double-clique sur un node et fermeture de l'IDB). Telechargez la si vous aviez un probleme avec xrefgraf.py:

http://code.google.com/p/idapython/downloads/list

Je rajouterai les fonctionalites manquantes dans la semaine. Peut-etre.

XrefGraf.py

2011-06-08T09:06:00.001-04:00

Bon j'ai rajoute les quelques lignes necessaires afin de transformer le script en un plugin. Copiez le fichier dans le repertoire de plugin de IDA (n'oubliez pas d'installer la derniere version de idapython), et ALT-F8 vous presentera le dialogue. J'ai aussi corrige un probleme de logique. Alors maintenant un autre bug est apparu: dans le plugin, double-cliquer sur un noeud provoque un crash d'IDA - j'ai essaye de trouve pourquoi ca marche en script et pas en plugin, sans succes. Si quelqu'un sait et peut me dire pourquoi ca serait sympa :)

Script idapython du Dimanche soir

2011-06-06T00:05:00.003-04:00

Apres une dure victoire des Miami Heat 88 a 86 contre les Dallas Mavericks pour le 3e match des finales des playoffs de la NBA (2-1!), je me suis decide a essaye de terminer le script d'hier. Apres avoir joue avec les Forms dans l'apres-midi, il se trouve qu'un dialogue se fait plus aisement que prevu. Donc je me suis efforce de faire quelque chose qui ressemblait au menu courant, toujours avec cette notion de filtre par expression reguliere sur les xrefs qui me tenait a coeur

J'ai inclus du code pour les xrefs to et les xrefs from. C'est moche mais ca a l'air de marcher. Comprenez bien qu'a 11:30PM un dimanche soir, ma batterie de test a consiste a tester 3 fonctions et a juger du resultat au nez. Mais comme Google, je vais faire confiance aux utilisateurs finaux pour tester, trouver des bugs, me les envoyer, et me traiter de tous les noms pour avoir pondu du code pourri.

Et comme je ne maitrise toujours pas le web 3.0 et que je n'arrive pas a coller du code proprement formate dans ce blog, je vais faire confiance a pastebin pour cela. Le code complet du script se trouve a l'adresse suivante:

http://pastebin.com/nidWa9U7

Enjoy!

Script idapython du Samedi

2011-06-04T17:57:00.009-04:00

Dans IDA, je cherche souvent comment arriver a une fonction depuis d'autres fonctions que j'ai analyse. Halvar dirait que BinNavi est fait pour ca, mais personnellement, vu que je suis vieux et refractaire au progres, j'utilise generalement la fonctionnalite de graphe de IDA (View -> Graph -> User xref chart...), qui utilise toujours en 2011 le tres laid wingraph.exe.

Tout va bien lorsque votre fonction est appelee 2 fois par des fonctions elles-meme appelees 2 fois, etc. On retrouve facilement ce que l'on cherche. Par contre, lorsque votre fonction est appelee 42 fois par des fonctions elles-meme appelees 42 fois, ca devient bordelique.

Lorsque j'audite, je renomme toutes les fonctions que j'analyse avec un prefixe particulier ('imm').Je me suis donc decide a ecrire un script idapython recherchant les recursivement les references en applicant une expression reguliere ('^imm') sur le nom des fonctions. Le resultat est un graphe epure ne contenant que les chemins que je cherchais (provenant d'une fonction analysee vers la fonction ciblee). Au final ca a pris 15 minutes et ca l'air de marcher.

Ce premier graphe correspond a une profondeur maximale de 2, sans expression reguliere appliquee, vers la fonction ciblee: c'est le bordel.

Ce second graphe correspond a une profondeur maxiumale de 8, avec expression reguliere '^imm', vers le meme fonction ciblee: c'est deja moins le bordel, et tous les blocs initiaux respectent effectivement mon expression reguliere.

J'aimerais bien remplacer le menu actuel Xref de IDA par quelque chose utilisant une version plus developpee de ce code, histoire d'avoir les Drefs/Crefs To et From avec application d'expressions regulieres. Ca me semble representer plus de travail que je ne desire y consacrer (surtout que je n'ai jamais essaye de creer un dialogue), mais si quelqu'un a du temps, amusez vous.

Et voici le code (de merde):

Edit: desole je suis infoutu de formater le code proprement.

Memorial Day week-end

2011-05-30T11:09:00.000-04:00

Une fois par an, pour "Memorial Day Week-End", South Beach se tranforme en un gigantesque Ghetto. Malgre une presence policiere decuplee, ca se finit toujours en drames. Cette annee, un echange de coups de feu a ete filme entre la police et des criminels. Les officiers finissent par decharger leurs pistolets sur la voiture.

Personnellement, je pense que le blame initial pour de telles situations revient a la ville de Miami Beach, qui se contente de laisser la situation degenerer tout un week-end jusqu'a des conclusions macabres comme celles-ci.

Les drivers graphiques

2011-05-11T09:17:00.002-04:00

Recemment, tout le monde s'est mis a s'inquieter du fait que WebGL existait. Ou du moins, commencait a etre integre a des navigateurs populaires comme Chrome ou Firefox. Certes, cela ajoute un niveau additionnel de complexite au code et une nouvelle surface d'attaque associee - ce qui n'est pas ideal - mais surtout ca expose les drivers graphiques aux Internets. Et ca, c'est le debut de la fin (meme si FX ne semble pas etre d'accord). Pour la bonne et simple raison que les drivers graphiques sont gros et tres mal codes (mon .sys ATI est plus gros que mon noyau).

Dans l'eventualite ou vous voudriez en avoir la preuve, je vous invite a vous rendre sur la page du test de conformite WebGL depuis un Windows XP sous VMware avec Chrome, le tout a jour, avec support 3D. Apres quelques tests, ma VM a bluescreene, faute au driver video de VMware qui a tente une division par 0 en ring 0 (dans vmx_fb.dll pour etre precis). La division par 0, ce n'est pas bien grave, mais ca ne represente qu'une portion infime de ce qui peut derailler dans le traitement de la 3D.

Maintenant, est-ce la faute de VMware seulement? Pas vraiment. Je citerai pour demonstration la liste noire de drivers videos dans Firefox 4. Mozilla a pris l'initiative de ne pas activer WebGL si les drivers graphiques sont "pourris" (enfin, ils le sont tous), et ne supporte vraiment que les 3 grandes marques ATI, Intel, Nvidia. Pour crasher votre VM avec Firefox, il faut aller dans about:config, et forcer WebGL. En fait, Chrome fait de meme, plus ou moins. On relevera les notes suivantes:

NVIDIA drivers older than 257.21 on Windows XP are assumed to be buggy.

Intel drivers older than 14.42.7.5294 on Windows XP are assumed to be buggy.

ATI drivers older than 10.6 on Windows XP are assumed to be buggy.

Je trouve relativement interessant qu'il releve aujourd'hui du navigateur de proteger l'utilisateur des couches de vulnerabilites de niveau inferieur. Enfin toujours est-il que lorsque je lis les recherches de "Context Information Security LTD", je me dis qu'ils sont passes a cote du probleme.

Tango Down

2010-12-22T15:50:00.001-05:00

L'expression est la mode. La victime du jour: Skype.

Sur le blog de Skype, on peut lire:

Under normal circumstances, there are a large number of supernodes available. Unfortunately, today, many of them were taken offline by a problem affecting some versions of Skype. As Skype relies on being able to maintain contact with supernodes, it may appear offline for some of you.

Je ne peux m'empecher de repenser aux presentations de Serpi, Phil et compagnie sur le sujet, evoquant la possibilite de DoS-er le reseau Skype en envoyant aux super-noeuds la commande de desactivation.

Maintenant les techniciens de Skype s'activent a creer de nouveaux mega super-noeuds pour retablir le reseau. C'est moche.

Overflow du serveur FTP de IIS 7.5

2010-12-22T12:29:00.001-05:00

Comme cadeau de Noel cette annee, Microsoft a decide de nous offrir un overflow distant pre-authentification dans le service FTP de IIS 7.5 (Windows 7 et 2008 R2). Le bug est marrant. Considerons l'extrait de pseudo code C suivant:

char *src,*dst,*end;
...
while (src!=end) {
if (*(++src)==(char)0xff)
*(dst++)=(char)0xff;
*(dst++)=*src;
}

Evidemment, si dst a assez de place pour accomoder les caracteres 0xff supplementaires, tout se passe bien. Le probleme se situe dans un cas particulier ou si la taille de src plus le nombre de 0xff est inferieure ou egale a la taille du buffer courant, alors pas la peine d'allouer dst, et on se contentera de dst=src. Dans ce cas precis, si src contient deux caracteres 0xff (ou plus, et pas necessairement consecutifs), dst va commencer a ecrire des 0xff dans une portion de src pas encore lu. Le nombre de 0xff dans src n'est alors plus deux, mais trois, et ca continue a augmenter. Au final, on va deborder de dst avec plein de 0xff.

La simple chaine '\xff\xff\xff\xff'+'A'*0x200+'\r\n' fera planter le service FTP d'IIS.

Le bug est-t-il exploitable? C'est loin d'etre gagne. La taille allouee pour src est controlable, la taille du debordement est controlable, le contenu ... pas super controlable. Il se peut qu'il soit possible de faire quelque chose avec le contenu d'un chunk ecrase par une serie de 0xff avant que le processus ne parte en vrille. Ou pas.

Maintenant concernant la terminologie: un debordement de buffer peut aboutir a un deni de service s'il n'est pas correctement exploite, les deux termes ne sont pas exclusifs.

La dette publique Americaine

2010-11-03T08:43:00.001-04:00

http://en.wikipedia.org/wiki/United_States_public_debt:

Leading Foreign owners of US Treasury Securities (July 2010)
Nation/Territory	billions of dollars	percentage
People's Republic of China (mainland)	846.7	20.8
Japan	821.0	20.2

Sur Marin

2010-10-22T14:37:00.001-04:00

Un sous-marin nucléaire d'attaque britannique s'échoue en Ecosse

C'est beau la technologie.

"Cyber guerre", 42e edition, et fichiers MOF

2010-09-30T16:42:00.000-04:00

Ces derniers deux derniers jours, les medias americains grand public (a savoir les journaux televises que je regarde) ont consacre une part non negligeable de leurs efforts journalistiques a Stuxnet. La raison: le NY Times donne la paternite du ver aux Israeliens (ou pas du tout si on lit l'article). L'attrait du commun des mortels pour les histoires d'espionnage fait le reste. Trois jours plus tot on trouvait une information similaire sur des blogs eclaires. Sur Le Monde, l'hypothese de l'operation marketing surgit aussi.

Meme si je n'ai pas d'information sur l'instigateur de l'operation, je peux cependant offrir quelques details techniques sur l'aspect exploitation du ver. Nicolas a passe cette derniere semaine a jouer avec Stuxnet, et a extrait et reecrit les deux 0days restant, non encore publies (disponibles aux clients Early Update de CANVAS). Des details sur ces vulnerabilites sont publics, le 1er utilise un fichier de "keyboard layout" specialement concu pour aboutir a l'execution de code en Ring0 sous Windows 2000 et XP, le 2nd utilise une vulnerabilite du "Task Scheduler" sous Vista et 7 pour elever les privileges d'un utilisateur local. Ajoutons a cela un faux 0day du Spooler d'impresssion de Windows, et celui des fichiers .LNK, et nous obtenons un bon cyber arsenal au format .exe. C'est d'autant plus beau que les auteurs de Stuxnet l'ont lache dans la nature, reduisant considerablement la duree de vie potentielle de leurs 0days. C'est culote, mais le jeu devait en valoir la chandelle.

Dans un post precedent, j'evoquais un moyen d'executer du code en deposant un fichier dans un repertoire privilegie de Windows. Lors de l'ecriture de l'exploit MS10-061, je ne savais pas quelle technique utilisait Stuxnet - une lecture posterieure des divers documents disponibles m'apprendra que nous utilisons la meme: les fichiers MOF. Le "Managed Object Format" est documente sur le MSDN, et permet entre autres d'instrumenter WMI. Usuellement, pour executer un MOF, un utilisateur devra faire appel a mofcomp.exe. Cependant Windows offre une fonctionalite interessante: un sous repertoire de system32 est surveille, et tout fichier depose dedans sera automatiquement compile (system32\wbem\mof). Un des avantages de MOF est la possibilite d'y inclure du VBscript, et d'executer le dit script en tant que LOCALSYSTEM. Differents exemples de fichiers MOF peuvent etre recuperes sur le MSDN. On melange le tout, et on obtient la transformation d'une primitive d'ecriture de fichier dans un repertoire privilegie en execution de code immediate.

C'est beau la cyber guerre.

MS10-068: indice a 1, mais pas vraiment?

2010-09-17T10:28:00.000-04:00

Apres en avoir plus ou moins fini avec la vulnerabilite du Spooler de Windows, je me suis attaque a celle de LSASS/AD, MS10-068. En regardant le resume des bulletins de Septembre, on peut voir que cette vulnerabilite a ete credite d'un indice d'exploitabilite de 1. Lorsque l'on regarde la FAQ du bulletin on peut lire:

Most attempts to exploit this vulnerability will cause an affected system to stop responding and restart.

Ca sonne plus comme une exploitabilite de 2+. Une analyze differentielle de ntdsa.dll montre plusieurs fonctions modifiees, dont 2 semblent correspondre a la description de la faille donnee dans le bulletin (encore une fois, peut-etre ne faut-il pas s'y fier): LDAP_REQUEST::GetSealHeaderField et LDAP_REQUEST::DecryptSignedOrSealedMessage. Il faut effectivement etre authentifie pour pouvoir sceller un message LDAP (une sorte de chiffrement MS qui se base sur une clee derivee de la negotiation NTLM). Le correctif est simple pour ces fonctions: verifier que le champ longueur du buffer SASL ne deborde pas lorsqu'on lui ajoute 4.

Un test avec une longueur de 0xfffffffc entraine une corruption du tas, et une violation d'acces en lecture lorsque la fonction de dechiffrement en atteint la fin. Cela merite plus de recherches, mais a premiere vue, je ne suis pas persuade que ce soit tres exploitable.

Stuxnet et ses quatre 0days

2010-09-15T22:25:00.000-04:00

Je n'ai personnellement pas regarde Stuxnet, je me contente de reporter le nombre tel qu'on a pu le voir sur certains sites. Outre les fichiers .lnk qui ont fait coule de l'encre le mois dernier, on apprend ce mois ci que Stuxnet exploitait aussi une vulnerabilite 0day du Spooler de Windows pour se propager sur le reseau (local?). Un article du blog de Kaspersky illustre cela. Quatre 0days, backdoor industrielle, ca ne deconne plus. Quelqu'un (je prends les paris quant au gouvernement concerne) a du perdre beaucoup lorsque son petit prodige a ete porte a l'attention du public.

J'ai pu travailler ces deux derniers jours sur MS10-061, et bien que la vulnerabilite soit relativement simple, elle n'en est pas moins efficace. Etant donne un acces a une imprimante partagee (soit anonymenent, soit via un compte Guest ou des imprimantes antediluviennes), il est possible d'entrainer la creation arbitraire d'un fichier sur le disque systeme en tant qu'utilisateur privilegie. Il est aussi possible d'en maitriser le contenu. Maintenant la problematique d'ou et quoi ecrire se pose. Comment obtenir execution de code (ou d'une commande shell) de facon quasi immediate en deposant un fichier, tout en faisant preuvre d'un tant soit peu de finesse (eviter de remplacer un executable ou une bibliotheque)? L'immediatete recherchee exclut l'utilisation des repertoires lies au demarage de l'OS (bien que cela reste une solution valable pour le long terme).

En cherchant a droite et a gauche, je suis tombe sur le Task Scheduler de Windows. Chose que je ne savais pas, il est possible de deposer des fichiers .job directement dans %WINDIR%\Tasks, et ils seront pris en compte par le service de CRON de Windows. Le format des fichiers .job est definit dans le MSDN. J'ai tente de deposer des fichiers crees par mes soins (mais non signes) via la vulnerabilite Spooler, et l'execution a toujours echoue (probleme de droits d'acces que je n'ai pas pu resoudre dans le fenetre temporelle impartie). Un petit soucis de synchronisation se pose aussi.

La solution retenue pour l'exploit CANVAS utilise un autre format de fichier, a un autre endroit, et j'en dois la connaissance a Sinan - plus d'information sans doute plus tard. Je ne sais pas quelle technique Stuxnet utilise pour cet exploit, toujours est-il que ce ver place la barre assez haut en terme de technologie offensive.

Skillz

2010-08-26T10:10:00.002-04:00

Les mecs auraient du choisir un autre metier...

Et un 42e bug dans xxxCreateWindowEx

2010-08-10T13:34:00.005-04:00

Celui merite le detour dans la mesure ou il etait connu depuis 2007:

http://social.msdn.microsoft.com/Forums/en-US/windowsgeneraldevelopmentissues/thread/57c3783b-dd38-4a57-9217-61a920541ad0

En retournant un pseudo handle HWND_TOPMOST dans le champ hwndInsertAfter d'un hook WH_CBT, on aboutit a une violation d'acces, exploitable si l'on mappe l'espace a NULL (difficilement, mais Ronald a fait quelque chose de plus ou moins stable).

Les personnes susceptibles de Googler "windows bluescreen" auront eu un local 0day pendant 3 ans 1/2. Malheureusement, Core Security l'a tue(r), et a ete credite a la place de "JonnyDeep" qui a fait l'effort de le reporter mais n'a pas ete ecoute par MS (ils devraient lire leurs propres forums de temps en temps!).

C'est dingue ce que l'on trouve sur le Windows Developer Center :)

Edit: Et aussi, contrairement a la precedente, la vulnerabilite n'est pas specifiee comme ayant ete connue du public. Duree de vie: 1301 jours (pour ceux qui veulent faire des slides sur les 0days).

"It does on CSI: Miami"

2010-07-01T11:55:00.000-04:00

MS10-032, ou pourquoi c'est mal de changer de parent lors de la creation d'un enfant

2010-06-21T08:57:00.004-04:00

Dans le bulletin MS10-032, trois vulnerabilites ont ete corrigees: CVE-2010-0485, CVE-2010-0484, CVE-2010-1255. Mais seule la premiere a un indice d'exploitabilite de 1. Il est interessant de constater que personne n'est credite pour la decouverte de cette vulnerabilite, decrite comme etant "Win32k Window Creation vulnerability". De plus, le bulletin specifie que la vulnerabilite a ete portee a la connaissance du public, mais il n'y a pas d'exploit circulant. Etrange.

Une rapide analyse differentielle du binaire (win32k.sys) mettra en evidence le rajout d'un "UnlinkWindow" dans une branche du code qui n'est atteinte que si WM_NCCREATE rate. Les fonctions "LinkWindow" et "UnlinkWindow" sont utilisees pour lier parents et enfants entre eux, pour la transmission de messages, le "Z-ordering", etc. Cependant, la liaison d'un enfant fraichement cree avec son parent n'a lieu qu'apres un WM_NCCREATE ayant reussi. Quel est donc l'interet de de-lier un enfant dont la creation a echoue, a un parent qu'il n'a pas? Tout simplement parceque dans le gestionnaire de WM_NCCREATE, il est possible de faire appel a SetParent() et donc de changer le parent d'un enfant en cours de creation.

Faire appel a SetParent() dans le gestionnaire de WM_NCCREATE et retourner 0, entrainera un cas singulier ou le parent pense qu'il a un enfant mais l'enfant a en fait ete detruit par un xxxFreeWindow(). Certains penseront de suite a un cas d'utilisation apres liberation, mais c'est en fait un chouillat plus complique. Le lien qui existe fait que lors de sa destruction, l'enfant est marque comme detruit mais pas libere. C'est moche, ca nous aurait facilite la tache. On se retrouve alors avec un enfant invisble, marque comme detruit, et qui ne repond a aucun message. Seule specificite de l'enfant, son parent est NULL. Il n'est pas facile de referencer le parent d'un enfant qui n'accepte aucun message. Il faut donc trouver un message a envoyer au parent, qui va etre diffuse a ses enfants, dont le traitement devra entrainer un referencement du parent. Il s'avere que deplacer le parent mettra en branle cette chaine d'evenements et se terminera en ecran bleu.

Quelques commentaires. Je pense que j'ai du rater quelque chose, parceque l'exploitation du chemin que j'ai trouve ne merite clairement pas un "1", c'est plus un 1.5 - 2. Certes on dipose de toutes les informations necessaires localement, mais la primitive que l'on obtient, une addition dans une boucle qui va finir par crasher, est difficilement exploitable. Je reviens maintenant sur le fait que cette vulnerabilite etait connue du public. Il faut remonter jusqu'en 2004 pour trouver une trace de ce bug:

http://www.tech-archive.net/Archive/Development/microsoft.public.win32.programmer.kernel/2004-03/0602.html

microsoft.public.win32.programmer.kernel n'etait probablement pas le bon endroit pour signaler une faille de securite. Neanmoins certaines personnes attentives auront pu beneficier d'une elevation de privileges dans TOUTES les versions de Windows pendant ces 6 dernieres annees...

Edit: Un lien envoye par ivanlef0u sur un doc de taviso sur les parents des fenetres: https://docs.google.com/View?id=dfqd62nk_228h28szgz. Interessant!

Question du Jour

2010-05-25T09:50:00.001-04:00

Trouve dans une DLL d'un systeme d'exploitation bien connu:

lea eax, [ebp+var_44]
push eax ; hMem
call ds:__imp__LocalFree@4 ; LocalFree(x)

Quelqu'un peut-il me dire:

Pourquoi c'est "mal"?
Quelle est l'erreur du programmeur qui a mene a ce code?
Comment exploiter cela?

Par une operation du Saint Esprit, le code n'est pas atteignable dans la DLL en question. C'est moche.

Exception Culturelle

2010-05-19T22:21:00.011-04:00

La derniere fois que je suis tombe sur du code promouvant l'exception culturelle Francaise, il s'agissait de cles DES specifiees en dur dans le Protected Storage. Cette fois-ci, on va regarder SChannel.

Un utilisateur averti pourra se demander pourquoi dans SChannel v5.1.2600.5834 (XP SP3 US plus ou moins a jour) on trouve la fonction IsSchEncryptionPermitted(), qui contient:

call ds:__imp__GetSystemDefaultLCID@0 ; GetSystemDefaultLCID()
cmp ax, 40Ch
jz short loc_767F41A7
push 0Ah ; cchData
lea ecx, [ebp+LCData]
push ecx ; lpLCData
push 5 ; LCType
push eax ; Locale
call ds:__imp__GetLocaleInfoA@16 ; GetLocaleInfoA(x,x,x,x)
test eax, eax
jz short loc_767F41A7
lea eax, [ebp+LCData]
push eax
call _MyStrToL@4 ; MyStrToL(x)
cmp eax, 21h
jnz short loc_767F41B8
loc_767F41A7: ; CODE XREF: IsSchEncryptionPermitted()+1Aj
; IsSchEncryptionPermitted()+2Dj
and _g_ProtEnabled, 0FFFFFFFCh
mov _g_fFranceLocale, 1

Sauf que cette fois ci, le resultat n'est pas le meme. Si le Windows est francophone, on enleve les deux bits de poids faible de _g_ProtEnabled et on met a 1 une variable obscure.

Dans le code de SslReadRegOptions(), si _g_fFranceLocale est non 0, on ne prend pas en compte l'activation ou desactivation des protocoles specifies dans la base de registre, decrit dans la KB187498, si les bits de poids faible sont presents.

Les bits utilises pour l'activation des protocoles sont:

"Multi-Protocol Unified Hello\\Client": 80000000h
"Multi-Protocol Unified Hello\\Server": 40000000h
"PCT 1.0\\Client": 2
"PCT 1.0\\Server": 1
"SSL 2.0\\Client": 8
"SSL 2.0\\Server": 4
"SSL 3.0\\Client": 20h
"SSL 3.0\\Server": 10h
"TLS 1.0\\Client": 80h
"TLS 1.0\\Server": 40h

En conclusion, si je ne me suis pas plante, pas de drame - a part qu'un Windows francophone ne puisse pas faire de PCT du tout (client ou serveur). Ca m'aurait ete utile de savoir ca en 2004 pour l'exploit PCT Handshake...

Si quelqu'un veut confirmer, amusez-vous, je testerai sans doute dans la semaine pour verifier et mettrai a jour le post. Je n'ai pas d'explication au bannissement de PCT en France.

Et joyeux anniversaire a ma soeur!

Exploiter un double free() sous Windows

2010-05-19T11:29:00.002-04:00

Un soir, une discussion avec Ronald et Sean nous a mene sur le sujet des doubles free() sous Unix, et je me suis rendu compte que je n'avais jamais exploite un double free() sous Windows. Bien que la problematique ne soit pas extremement complexe, il semblerait qu'il n'y ait pas des masses de documentation sur le sujet, a part une entree de sh0ck qui se retrouve massacree un peu partout.

Bien entendu, de nombreux elements entrent en compte:

Y a-t-il ecriture des donnees entrent les deux free()?
Le Heap en question a-t-il un Lookaside?
Est-ce que le Lookaside a atteint sa profondeur maximale avant le 1er free()? Apres?
Le Chunk libere est-il VirtualAllloc()'ed?

Quelques inexactitudes sur le sujet:

Tout d'abord: le free() d'un chunk deja marque comme libere (Chunk.Flag & 1 == 0) n'a aucun effet. Donc contrairement a ce qu'affirment des papiers comme Towards Automatically Generating Double-Free Vulnerability Signatures Using Petri Nets (1), meme s'il y a possibilite d'ecriture dans la partie data du chunk entre les deux free(), il ne se passera rien. S'il y a liberation, ecriture puis allocation, c'est une histoire differente (unlink sur un LIST_ENTRY maitrise qui donne un Write4) et ce n'est pas un double free().

Ensuite, si le chunk est VirtualAlloc'ed() - c'est usuellement le cas si la taille/8 est > 0xfe00 qui est le seuil par defaut - le 1er free() va retourner la page au gestionnaire de memoire de Windows qui va decommit la zone rapidement. Cela entrainera une violation d'acces lors du second free().

Nous sommes donc restreints aux cas ou le chunk est libere vers la Lookaside puisque dans ce cas la le chunk est toujours marque comme occupe. Donc:

Le Heap en question doit avoir un Lookaside
Le free() doit etre sur un chunk dont la taille est < 1024
L'entree correspondante du Lookaside doit avoir au moins 1 place disponible (la profondeur par defaut est 4 la plupart du temps) sinon il sera libere vers la FreeList[]

Apres, il existe plusieurs possibilites, que l'on trouvera decrites dans une entree du blog de Symantec par Matt Connover.

Premier free() vers le Lookaside qui se retrouve plein entrainera un second free dans la FreeList[] (et potentiel coallesce) avec ecrasement du LIST_ENTRY apres premiere allocation, et une entree de Lookaside pointant vers le chunk libre (de la FreeList[]) suivant.
Premier et second free() vers le Lookaside, qui entrainera une primitive WriteN lors de la troisieme allocation d'un chunk de la taille en question.

Au final, un double free() ca s'exploite relativement bien dans XP et 2003, mais pas comme le decrivent certains.

Edit: petite correction dans le 1er cas.

(1): "After it has been freed, the programmer mistakenly uses temp and writes X in the first 4 bytes and Y in the second 4 bytes of temp. Then the programmer frees temp again. The system will then try to insert temp into the free list for a second time right before where it is already inserted."

Supernaturel

2010-05-06T19:53:00.000-04:00

Ce soir, Sam & Dean rencontrent le 3e Cavalier de l'Apocalypse: Mort. Cela faisait un moment que je n'avais pas autant accroche a une serie TV - mais Supernatural semble combler le manque. Voici le trailer de l'episode en attendant la diffusion dans une heure!

Microsoft et les bugs

2010-04-28T10:01:00.009-04:00

Au hasard de mes peregrinations au sein de Windows j'ai ete confronte a une situation qui m'a laisse songeur. N'ayant pas tous les elements en main, si quelqu'un en sait davantage, n'hesitez pas a me corriger.

Dans des extensions FrontPage pour IIS 6, se trouve un morceau de code parsant les images GIF. Jusque la rien d'extraordinaire. Un rapide coup d'oeil aux symboles et l'on trouve les fonctions suivantes:

VgdImageGifDecoder::Decode
ReadOK
VgdImageGifDecoder::LWZReadByte
VgdImageGifDecoder::ReadColorMap
VgdImageGifDecoder::DoExtension
etc.

Un peu de Googling m'apprendra que LWZReadByte() est aussi present dans libgd et SDL_image. Au vu du nom des fonctions, on pourra supposer que Microsoft a pris le code de libgd pour decoder ses GIF. L'analyze du code assembleur revele du moins que les codes ont une source similaire.

Toujours est-il qu'une vulnerabilite a ete decouverte dans LWZReadByte il y a un moment, et a touche aussi bien libgd que SDL_image:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4484 pour libgd
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6697 pour SDL_image
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1373 pour un bug similaire dans CUPS, bien que la fonction ne soit pas la meme

Le code original semble provenir de 1990 par un certain David Koblas, mais je n'ai pas trouve de signalement du bug datant d'avant 2006.

Maintenant, regardons le code present dans Windows 2003 SP0 (sorti le 24 Avril 2003 d'apres Wikipedia):

.text:32E274FF ; private: int __thiscall VgdImageGifDecoder::LWZReadByte(class Vistream *, int, int)

.text:32E274FF ?LWZReadByte@VgdImageGifDecoder@@AAEHPAVVistream@@HH@Z proc near

.text:32E274FF ; CODE XREF: VgdImageGifDecoder::ReadImage(VgdImage *,Vistream *,int,int,uchar (*)[256],int,int)+8Ep

.text:32E274FF ; VgdImageGifDecoder::ReadImage(VgdImage *,Vistream *,int,int,uchar (*)[256],int,int):loc_32E278F2p ...

.text:32E274FF

.text:32E274FF var_104 = byte ptr -104h

.text:32E274FF arg_0 = dword ptr 8

.text:32E274FF arg_4 = dword ptr 0Ch

.text:32E274FF arg_8 = dword ptr 10h

.text:32E274FF

.text:32E274FF push ebp

.text:32E27500 mov ebp, esp

.text:32E27502 sub esp, 104h

.text:32E27508 push ebx

.text:32E27509 xor ebx, ebx

.text:32E2750B cmp [ebp+arg_4], ebx

.text:32E2750E push esi

.text:32E2750F push edi

.text:32E27510 mov esi, ecx

.text:32E27512 jz loc_32E275CE

.text:32E27518 mov ecx, [ebp+arg_8]

.text:32E2751B cmp ecx, 0Ch

.text:32E2751E jg loc_32E2782B

On voit ici que le 3e argument de la fonction est bien compare a MAX_LWZ_BITS (12), et si la taille du code est superieure, on sort. Donc Microsoft etait au courant de ce bug au minimum 3 ans avant qu'il ne soit corrige dans les bibliotheques publiques - et bien entendu la vulnerabilite n'a pas ete reporte par Microsoft. Notez que je ne blame personne, je me contente de constater :) Responsible Disclosure, tout ca.

Encore une fois je ne dispose pas de tous les elements, donc si quelqu'un a quelque chose a ajouter, feel free!

Et pour finir une entree marrante d'un blog de Microsoft qui n'a rien a voir avec le sujet precedent:

http://blogs.msdn.com/david_leblanc/archive/2010/04/16/don-t-use-office-rc4-encryption-really-just-don-t-do-it.aspx

EDIT: le fix est aussi present dans FP4 pour Windows 2000, donc les 3ans se transforment d'un coup en beaucoup plus.

FIRST Conference 2010: In Miami, Bitch

2010-04-21T01:21:00.004-04:00

La 22e conference du FIRST se deroulera du 13 au 18 Juin 2010 a Miami. Le programme est disponible ici. Je n'ai pas trop prete attention au deroulement de ces conferences depuis que j'ai quitte le "milieu", mais bon cette annee c'est special vu que ca se deroule pas loin de mon WHQ - et Dave presentera une keynote! Je serai dans les environs, histoire de dire bonjour aux anciennes connaissances - ou me faire cracher dessus.

Si vous comptez vous deplacer pour l'occasion, qu'il n'y a pas de gros nuage volcanique, etc., envoyez moi un mail et je tacherai de vous faire decouvrir Miami et Miami Beach!

Ultra Music Festival 2010

2010-03-10T11:05:00.000-05:00

Gros line-up comme d'habitude pour l'UMF cette annee. Miami va etre relativement penible a vivre pendant la semaine de la Winter Music Conference, mais bon on va tacher de faire avec.

Barbouzeries

2010-02-19T14:47:00.002-05:00

27 minutes qui valent le detour.

Un peu d'humour

2010-01-28T09:36:00.000-05:00

Vu que je n'ai rien d'autre a poster:

Heap Overflows a Miami en Janvier

2009-11-24T13:30:00.000-05:00

Pas de mise a jour ces derniers temps, il ne se passe pas grand chose.

Debut Janvier aura lieu a Miami Beach un training sur les Heap Overflows organise par Immunity. D'habitude je ne parle pas de ce genre de choses sur ce blog, si ce n'est que ce coup-ci, deux francais seront aux commandes: Nicolas Pouvesle et moi-meme. Le training sera donne en Anglais (vu que les participants deja inscrits sont anglophones), mais peut etre que certains lecteurs de ce blog trouveront un interet a avoir des "trainers" francophones. L'autre avantage sera bien evidemment de passer une semaine a Miami Beach a une periode de l'annee ou il fait plutot froid ailleurs :)

Pour plus de details sur le training, contactez admin a immunityinc point com.

L'honneur est sauf!

2009-10-05T11:54:00.000-04:00

Comme certains d'entre vous auront pu s'apercevoir, une technique d'exploitation du bug SMBv2 a ete publiee sur le blog de Metasploit par Piotr Bania (qui ne travaille pas pour Immunity comme pourraient le penser certaines personnes mal informees - cf. FLS). Et elle se revele plus fiable que la precedente de Stephen Fewer (qui ne marchait jamais).

Donc l'honneur est sauf! Je ne serai pas a l'origine de la nouvelle apocalypse numerique, comme le prophetisait certains, et je pourrai dormir paisiblement pendant que les jeunots pirateront des honeypots avec l'exploit Metasploit.

Quelques precisions/pensees sur le bug SMBv2:

Malgre tout le buzz qui en a ete fait (y compris par Immunity), je trouve que le bug au final n'est que peu interessant, pour la simple raison qu'il n'est exploitable que sur plateformes x86.
Si vous avez du x64, vous etes tranquille (pour le moment, mais ca ne devrait pas changer - sauf intervention divine), parceque les parametres de la fonction sont passes par registres et non par la pile, ce qui rend la technique de stack shifting inutilisable. Du 2008 x86 c'est super rare (3GB de memoire sur un serveur en 2009 c'est pas super utile), et du Vista x86, meme si c'est plus repandu, ca reste tout de meme rare (cf. pentests recents que j'ai pu mener).
Comme d'habitude, pas grand monde n'a compris ce qui se passait, c'est pas nouveau, la securite informatique ce n'est pas un succes. Si vous avez des problemes de comprehension, evitez de l'ouvrir, vous passerez pour plus stupide que vous ne l'etes.
Il est dommage de constater que l'exploitation d'un bug de nos jours est si problematique. Il aura fallu ~3 semaines a Stephen Fewer pour creer un exploit qui ne fonctionne pas souvent (a cause de l'adresse choisie dans le Bios/HAL), et ~1 mois a Piotr Bania pour arriver a quelque chose de fonctionnel grace, semble-t-il, a l'exploit publie precedemment. Beau boulot neanmoins des 2, puisque le resultat est la!

C'est beau Internet.

Flyer

2009-09-24T09:20:00.002-04:00

Credit: Nicolas Waisman

Merci Microsoft!

2009-09-18T15:00:00.002-04:00

http://blogs.technet.com/srd/archive/2009/09/18/update-on-the-smb-vulnerability.aspx

We have analyzed the code ourselves and can confirm that it works reliably against 32-bit Windows Vista and Windows Server 2008 systems. The exploit gains complete control of the targeted system and can be launched by an unauthenticated user.

Je pense que c'est la premiere fois que je vois ca. Ca fait plaisir :)

Bonne nouvelle du jour!

2009-09-17T08:54:00.002-04:00

Toto a trouve un autre code path qui fait fonctionner l'exploit contre un SP1, et Skylar l'a implemente dans la nuit. Le tout est relativement fiable (tres), et avec du banner grabbing, le choix de la cible est automatique. Ce qui en fait une vulnerabilite "wormable" :)

Trop dure la vie.

SMBv2 Exploit Video

2009-09-16T11:18:00.005-04:00

http://www.immunityinc.com/documentation/smb2.html

Quelques commentaires:

Cet exploit releve de la magie noire plus que d'autre chose. Il est vraiment beau. Vraiment. J'en pleurerais tellement il est beau.
Le coup du RDTSC n'est pas une blague. On verifie l'uptime de la machine via une requete Negotiate SMBv2 standard, la reponse inclut le BootTime et CurrentTime du serveur. En fonction, on lance l'exploit. Si le RDTSC est trop haut, reboot et zou.
Ca fait plaisir de bosser avec des gens comme Skylar et Toto, ca rend la vie plus facile.
Pourquoi SP2 seulement? Parceque dans le SP1 une des structures dont nous avons besoin n'est pas alignee sur 8 octets, et ca fout en l'air la technique. Mais on travaille a une solution :)
Il reste du boulot sur cet exploit, mais je suis sur un PenTest pour le reste de la semaine :(

Edit: Dave va refaire une video parcequ'il trouve la mienne toute pourrie. La faute au multimedia sous Ubuntu! Ca droppe des frames a gogo.

Exploit SMBv2 distant pour Vista!

2009-09-15T16:36:00.003-04:00

On a un int3 fiable sur un Vista SP2 :) Et ca passe au travers de l'ASLR, etc. Reste a caser un shellcode dedans. Et a rooter du 2008 Server en attendant qu'un patch sorte un jour, peut-etre. Le prochain MS Tuesday est dans 3 semaines++, donc s'il font pas un out-of-band, ca va saigner! Ah, si seulement j'etais un pirate... Enfin bon, on arrive en fin de journee ici, donc on finira ca demain.

Gros bravo a Nicolas P. qui a reussi a comprendre mon code :)

Un peu plus pres du remote

2009-09-15T14:17:00.005-04:00

Maintenant on transforme le call srv2!ValidateRoutines[i] en call x (avec ici x=0x42424242) en remote (un seul paquet). Le probleme c'est l'ASLR. C'est sympa de pouvoir appeler quelque chose qui va toujours etre au meme endroit, mais ca ne sert pas a grand chose dans Vista++. Le progres par rapport au Local, c'est qu'on est plus oblige d'appeler 0x00000000. C'est beau. Mais c'est pas gagne encore.

Quelques pensees en vrac sur la vulnerabilite SMBv2

2009-09-14T16:02:00.004-04:00

Il est dommage de poster une vulnerabilite de ce type au grand public sans vraiment savoir quelles en sont les consequences. Si vous ne savez pas quoi faire de vos vulnerabilites, je peux vous en racheter les "droits", surtout qu'avec un peu de temps dessus, on peut en faire quelque chose de beau.
Pourquoi pas un Local et pourquoi ce n'est pas boiteux? Il s'avere que contrairement a la plupart des bugs qui aboutissent a une elevation de privileges, l'utilisateur ici ne controle pas la memoire du processus userspace qui joue a touche-pipi avec srv2.sys. Ie.: pas possible d'allouer a 0 et de sauter a 0. Tout le monde doit maintenant connaitre la primitive du bug (call srv2!ValidateRoutines[i] avec 0<=i<=65535), et tout le monde a du penser a un moment qu'il etait facile d'avoir un pointeur vers 0 dans la section .data. Oui c'est facile, non c'est pas exploitable de la sorte vu que vous ne controllez pas ce qui est 0 (qui sera non mappe). Et pareil pour toute adresse du userland. ALSR = pas gagne.
ASLR noyau, ASLR en espace utilisateur, ca vous rend la vie compliquee. Tres. Et meme si vous avez des vulnerabilites a la con comme celle-la dans Vista, ca sera toujours mieux que d'avoir XP. Vraiment. Le seul truc qui manque, c'est le NX noyau.
Au final il aura fallu ~2 jours (2*8h) de boulot pour faire un local (et oui je faisais le guignol a NY quand c'est sorti), le remote probablement le triple, si tant est que cela soit possible.

Edit: le lien vers le site de CEU: http://www.immunityinc.com/ceu-index.shtml

Exploitation de la vulnerabilite SMBv2

2009-09-14T14:42:00.006-04:00

Cela faisait un moment que je n'avais pas eu l'occasion de me faire les dents sur une chouette vulnerabilite. Quelque chose qui resiste, mais qui finit par casser, apres suffisamment d'efforts. De nos jours, soit on tombe sur quelque chose d'infaisable, soit sur une injection de commande version 1992AD.

L'exploitation de la vulnerabilite est extremement interessante, car elle requiert une facon de penser completement differente. Alors que certains s'interessent a des techniques plus "classiques", je me suis brise les synapses sur un autre moyen, mais qui se revele plutot lucratif au final. Le resultat est un local fiable (sur Vista SP1 a jour, SP2), et peut-etre un distant dans les jours qui viennent :) (Si on me colle pas sur du consulting!)

Edit: Output de l'exploit local: http://pastebin.com/m6c7d30ce (ca sauve de la place)

"Exploitability Index" ou comment perdre son (mon) temps

2009-06-11T11:02:00.006-04:00

Depuis quelques mois deja, Microsoft a rajoute un "Exploitability Index" a ses bulletins mensuels. Cet indice d'exploitabilite est decrit sur cette page. Il consiste en un simple chiffre:

Consistent exploit code likely
Inconsistent exploit code likely
Functionning exploit code unlikely

Le modele a fait l'objet d'un papier du sieur Bas Alberts (disponible ici). Et les gens de Microsoft se plantent rarement dans leur analyse. Un post du "Silver Surfer" Mike Reavey couvre le sujet en analysant un mois de bulletins et d'exploits.

Somme toute, il s'agit d'une bonne metrique si vous voulez prioriser un patch lors d'un Microsoft Tuesday, soit en tant qu'administrateur soucieux de securiser votre reseau, soit en tant que "differ" soucieux d'avoir un exploit fonctionnel au plus vite.

La ou le bat blaisse pour moi, c'est quand Microsoft se plante. L'erreur n'est pas dans la sous evaluation du risque, mais dans la surevaluation.

Prenons l'example du Microsoft Tuesday de Juin 2009. Plusieures failles interessantes (comprenez anonymes distantes), dont MS09-018 et MS09-022.

Le second bulletin, ciblant le service Spooler a ete boucle en moins de deux heures pour la version 2000 (XP n'est que local d'apres le bulletin).

Le premier touche Active Directory, comprend 2 failles, un free() invalide et une fuite de memoire. Un free() d'un pointeur sous votre controle, c'est exploitable sous Windows. Et l'indice d'exploitabilite pour cette faille etait de 1 (cf. blog du MSRC). Donc Toto se met au boulot histoire de voir de quoi il retourne. Apres quelques heures de lecture intensive de lignes d'assembleur et d'envoi de paquets LDAP, il annonce "Je ne vois pas comment ca peut etre exploitable ...". Je regarde, pas mieux.

La primitive du bug est un free(pointeur+X) avec 1<=X<=6, et le pointeur est fixe pointant sur des donnees sous votre controle. Un tel bug pourrait etre exploitable si X=8, 16 ou 24, etc. Par contre si (pointeur+X)&7!=0, RtlFreeHeap() vous envoie chier joyeusement et rien ne se passe. Pourquoi cet indice d'exploitabilite de 1?? C'est rageant, on continue a bosser dessus en pensant qu'on a rate quelque chose. Et puis aujourd'hui, on voit sur le bulletin:

V1.1 (June 10, 2009): Corrected the rating and key notes for CVE-2009-1138 in the Exploitability Index.

Alors la. L'indice de 1 est passe a 3, et une petite ligne a ete ajoutee:

However, due to additional checks on the heap, a functioning remote code execution exploit is very unlikely.

C'est moche :( Resultat je ne vais plus faire trop confiance a leur "Exploitability Index"...

Edit: extrait du bulletin iDefense:

06/05/2009 - Microsoft informs iDefense that the Bulletin was promoted
to potential Code Execution
06/08/2009 - iDefense requests clarification, offers further insight
06/10/2009 - iDefense reiterates request
06/10/2009 - MS Responds that they agree that code execution is very
unlikely and will change the Exploitability Index
06/11/2009 - MS Changes Exploitability Index from 1 to 3
06/11/2009 - Coordinated public disclosure

Les "Certifications"

2009-05-01T09:40:00.004-04:00

Aujourd'hui je recois un mail d'un mec qui veut des informations a propos de VMware. La personne en question est CISSP, SANS GCIA, MCSE, CCSA, CCSE, CSA, CCNA, et CNA. Ca fait beaucoup. Les questions sont: Et votre exploit il fait quoi??? Et ca marche sous ESX???

Donc apparemment plus avez de certifications, moins vous savez utiliser Google. Et ca semble diminuer d'autant votre comprehension de l'Univers aussi. Et les questions (ou leurs reponses pour etre exactes) sont destinees a etre ajoutees a des slides pour une presentation ayant lieu dans 2 semaines a une grosse conference.

C'est pas mal de decouvrir ce qui se passe deux semaine avant. Ca doit etre ce qu'on appelle la veille.

MOSDEF over Direct3D

2009-04-28T13:41:00.003-04:00

Des fois, je fais des trucs a la con.

Un example est quelque chose sur lequel je bosse un peu en ce moment: MOSDEF Over Direct3D. C'est le genre de trucs qui va m'etre utile une seule fois, mais dont le concept est intellectuellement stimulant. Le seul interet de MOSDEF Over Direct3D: le bug VMware. Ou comment s'assurer du maintient d'un canal de communication entre l'Hote et l'Invite sans se fier a des fonctionalites pouvant etre absentes (reseau) ou desactivees (vmrpc, vmci, etc).

La solution: etablir un canal de communication via le Frame Buffer de l'Invite. Dans la mesure ou le Frame Buffer est sense etre 'abstrait' par les multiples couches graphiques de Windows, il n'est pas evident de pouvoir y acceder directement en Ring 3. Sauf via DirectX/Direct3D.

Le jeu est donc d'ecrire un proxy TCP (MOSDEF se fonde sur du TCP de base) vers Direct3D pour l'Invite, puis du cote de l'Hote: lecture et execution du code et reecriture du resultats dans le Frame Buffer (facile).

C'est bien de se faire plaisir de temps en temps. Le tout devrait faire l'objet d'une presentation si je suis accepte a Vegas.

Sans le SANS ...

2009-04-14T09:13:00.004-04:00

... que ferait-on? Ils ont decide de se reveiller ce matin pour une raison que j'ignore:
VMware exploits - just how bad is it ?

Pas mal les mecs. Il leur a fallu 2 semaines pour realiser ce qui se passait. Et dire qu'ils sont senses representer une sorte d'elite de la securite, toujours au courant de ce qui se passe, etc.

Edit: Au passage, un CVSS de 10! (NIST)

La bonne nouvelle c'est qu'Ulduar, la nouvelle instance de Raid de WotLK sort aujourd'hui. On va enfin pouvoir faire autre chose!

HP NetTop

2009-04-11T12:38:00.003-04:00

Page Wikipedia:
http://en.wikipedia.org/wiki/NetTop

Le document "technique":
http://h71028.www7.hp.com/enterprise/downloads/HP_NetTop_Whitepaper2.pdf

Le "Virtual Air Gap" (c) HP:

Allez, pour bien commencer le Samedi

2009-04-11T12:30:00.005-04:00

Tire du Blog de VMware Fusion:
http://blogs.vmware.com/teamfusion/2009/04/vmware-fusion-204-update-now-available.html

"2.0.4 already?", you ask. That's right, we are releasing VMware Fusion 2.0.4 today to address a critical security issue. At VMware, we take security very seriously and always stay vigilant to provide the safest products and solutions possible.

Maintenant, on sait que CLOUDBURST a ete fixe en silence avec VMSA-2009-0005 (dans Workstation du moins), puis annonce avec VMSA-2009-0006. Question: quel produit est specifie non affecte dans 0005, et patche une semaine plus tard avec 0006?

Quelque part ca suit la politique de l'OS sur lequel ca tourne.

CVE-2009-1244

2009-04-10T12:39:00.005-04:00

Il semblerait qu'apres une tentative de patch silencieux de la part de vous-savez-qui, CLOUDBURST se soit vu assigner un CVE:

http://lists.vmware.com/pipermail/security-announce/2009/000055.html

"A critical vulnerability in the virtual machine display function might allow a guest operating system to run code on the host."

J'aime bien le "might". Heureusement qu'on est Vendredi.

Mais bordel de merde

2009-04-08T10:44:00.002-04:00

EL OH EL du jour:
http://www.reuters.com/article/topNews/idUSTRE53729120090408

Google translating this blog

2009-04-08T09:02:00.007-04:00

There seems to be a lot of non French people trying to read this blog lately, and most of them are using Google Translate to get something they can understand. You have to be aware that Google Translate is doing a terrible job at it. I think the main reason is that I am typing everything on Qwerty keyboards, and thus not bothering with accents and some other special characters involved in the French language. I am also using a bit of slang. The resulting is often something that doesn't have at all the meaning it has in French.

Having a look at the previous post translated, the last paragraph turns out to be funny: [Google-EN] "At this time there, I have done evil, and I am furious." for [FR] "Sur ce coup la, je me suis fait avoir mechamment, et je suis furieux." which means more something like [EN] "On this one, I got badly owned and I am furious". I am not sure where the "I have done evil" comes from.

I think Google is trying to make it look worse than it is. OMG CONSPIRACY.

I would add that the reason I maintain this blog in French, is that it's mostly the only place where I can still use my mother tongue. And when you realize that sometimes you struggle to find a word in your first language while it comes fairly easily in English, it means that every exercise is good.

Vulnerability Disclosure en 2009

2009-04-07T09:26:00.008-04:00

Il semblerait que personne n'apprenne quoi que ce soit. Jamais. Ca serait con de tirer des lecons des erreurs des autres hein?

Curieusement, le seul editeur a avoir regulierement progresse dans le domaine du "on-va-eviter-de-tenter-de-cacher-des-trucs-et-se-faire-refaire-le-trou-du-cul-deux-jours-plus-tard" est Microsoft. Bravo a eux. Ils ont appris ca en 2004, et depuis ils ne le refont plus. Quelques hoquets ici et la, mais globalement OK.

Nous voici en 2009. Certaines compagnies que je vais eviter de citer (en fait j'en ai une seule en tete), pensent toujours en 2009 que ce genre de comportement est non seulement acceptable, mais va leur eviter d'avoir a annoncer que leur produit (certifie EAL 4 machin-truc) n'est pas si solide que ca (comprenez "a-chier-EL-OH-EL").

Sur ce coup la, je me suis fait avoir mechamment, et je suis furieux. Non seulement ce bug n'aurait jamais du etre "disclosed". Mais la gestion qui en est faite en ce moment est pitoyable. C'est ridicule. Je ne peux malheureusement pas controler ce que les "hautes autorites" decident. Et je n'ai qu'a executer. Super. Maintenant on me demande de la fermer. Ce n'est plus ce que c'etait.

Edit: Quelques lignes de Burn After Reading

CIA Superior: What did we learn, Palmer?
CIA Officer: I don't know, sir.
CIA Superior: I don't fuckin' know either. I guess we learned not to do it again.
CIA Officer: Yes, sir.
CIA Superior: I'm fucked if I know what we did.
CIA Officer: Yes, sir, it's, uh, hard to say
CIA Superior: Jesus Fucking Christ.

CLOUDBURST: Hacking 3D

2009-04-06T21:49:00.006-04:00

Et dire que je pensais que la 3D et le hacking, c'etait bon pour Hackers et les fantasmes du genre. J'avais tort (une fois du plus diront certaines mauvaises langues). Il n'est pas necessairement connu de tout le monde que les produits VMware implementent un certain support 3D depuis un long moment. Et oui, on peut jouer a WoW dans une VMware...

Les fonctionalites 3D etaient tout d'abord presentes et desactivees par defaut. Puis les dernieres versions de Workstation (6.5) et ESX (4.0) ont passe ces fonctions en configuration par defaut. Si vous creez une nouvelle VM, vous aurez le support 3D. Si vous ouvrez une vieille VM, la case sera decochee par defaut mais le code tout de meme execute, resultant en un message d'erreur.

Ces differentes fonctions 3D correspondent en gros aux fonctions de coeur de Direct3D et OpenGL (je n'y connais pas grand chose, j'ai juste Google quelques noms). Les fonctions 3D executees par un programme dans le Guest sont transmises via le driver video a l'Hote qui les "parse" et affiche le resultat. Ce qui est extremement cocace dans le cas de ESX 4.0, c'est que l'Hote parse tout de meme les commandes video, meme si la "console" du Guest est soit un VNC ou un TS . Aucun interet de mon point de vue, mais passons. Le driver video des VMware Tools simplifie le travail, mais n'est pas necessaire a l'exploitation de l'Escape.

L'avantage (pour les partisans du Chaos du moins) est que le traitement de ces commandes 3D implique une quantite impressionante d'operations de copie de buffers. Generalement depuis le Frame Buffer vers le Frame Buffer, ou du Heap vers le Frame Buffer et vice versa. Bien entendu, le Frame Buffer est partage entre le Guest et l'Hote.

La ou ca devient drole, c'est lorsque l'Hote ne verifie pas trop ce qu'il doit copier et ou il doit le copier. Le resultat: deux types de bugs.

Le premier est un leak de la memoire l'Hote dans le Guest. L'Hote copie une portion de la memoire dans le Frame Buffer, le Guest lit le Frame Buffer. Bingo part 1.
Le second est un write arbitraire (je simplifie la). Le Guest ecrit dans le Frame Buffer. L'Hote copie une portion du Frame Buffer vers sa memoire, et Bingo part 2.

En couplant les deux types de vulnerabilites, on peut tout faire. Fingerprinting de l'Hote, leak des pointeurs necessaires aux etapes suivantes de l'exploitation (l'ASLR n'est donc pas un problem), desactivation du DEP. J'entrerai davantage dans les details dans un prochain post.

VMware + Ubuntu = <3

2009-04-06T13:15:00.001-04:00

Bon Xvidcap me chie dessus mechamment et ne capture que 10% des frames. Si quelqu'un connait un moyen alternatif de capturer une video de son bureau sous Ubuntu je suis preneur.

Resultat, ca passe beaucoup plus vite que pour Windows, je vous conseille de faire du frame par frame avec mplayer pour y voir quelque chose:

http://immunityinc.com/documentation/cloudburst-ubuntu.html

Le gros avantage de Ubuntu par rapport a Vista, c'est qu'il y a 0 protection, et que vmware-vmx est suid 0, ie: votre cher xcalc est root. C'est beau.

VMware Escape

2009-04-04T10:37:00.000-04:00

http://lists.vmware.com/pipermail/security-announce/2009/000054.html

~~"a. Denial of service guest to host vulnerability in a virtual device~~
~~A vulnerability in a guest virtual device driver, could allow a guest operating system to crash the host and consequently any virtual machines on that host."~~

Edit: Suite a discussion avec VMware, il semblerait que le bug soumis par Andrew Honig soit bel et bien un DoS, dans un peripherique virtuel. Neanmoins la serie de bugs necessaire a l'execution de l'"escape" est corrigee (non creditee). Comprenez ce que vous voulez de cela. Ca commence a devenir complique ces conneries.

Et non, encore une fois, tout faux. Avec VMware 6.5.2 vient de mourir un des bugs Guest -> Host les plus fiables qui ait existe (a ma connaissance). Il s'agissait en fait de la combinaison de 3 a 4 bugs presents dans le code d'emulation d'un peripherique (execute sur l'hote):

un memory leak
un write relatif
un write absolu
et quelques goodies supplementaire pour desactiver DEP

L'avantage est qu'il est possible de rooter tout hote. Windows Vista SP1 avec son ASLR et DEP AlwaysOn, Ubuntu 8.04 LTS et son ... euh rien, ESX 4.0 (RC) et ses protections. Player, Workstation, tout.

Le code etait plus ou moins present depuis un long moment, et n'a ete active par defaut que dans la branche 6.5 de Workstation, et 4.0 de ESX.

J'attendais avec impatience la sortie de la finale de ESX 4.0, et le chaos que ca aurait engendre. Malheureusement la derniere version affectee aura ete le ESX 4.0 RC Hard Freeze.

Je me rejouis cependant de quelques details. Certaines organisations gouvernementales utilisent une solution fondee sur VMware pour le cloisenement du traitement des donnees secretes ou non. Fail. Je ne peux que sourire aussi en pensant a tous les honeypoteurs et autres analystes de malware qui font tourner des binaires dans leur VMware sans trop se soucier de quoi que ce soit.

Mais ne vous inquietez pas, personne n'a utilise un outil de la sorte dans le "wild". Ca se saurait, hein?

Sur ce, malgre un Samedi matin ensoleile, une semi gueule de bois, et une rage intense, je vais au taf pour faire une video Flash et mettre a jour CANVAS Early Updates avec une version de ce que j'avais prepare.

Edit: lien vers la video http://immunityinc.com/documentation/cloudburst-vista.html

Dead Bug continued

2009-04-03T16:38:00.000-04:00

A la suite du deces (confirme) de mon protege, je vais m'efforcer de publier le papier pour le moment confidentiel couvrant le sujet, les implications. Je suis furieux. On ne tue pas quelque chose de ce potentiel.

Side note: j'uploade les photos de Ultra 2009 sous peu.

Apparemment Skype ca rapporte

2009-02-13T09:31:00.000-05:00

Apparemment, la NSA n'est pas aussi douee que je le pensais a une lointaine epoque:
http://www.theregister.co.uk/2009/02/12/nsa_offers_billions_for_skype_pwnage/
Dire que certains faisaient ca pour le fun, et que d'autres essayaient d'en tirer des profits gratuitement. Vivement que les mentalites francaises (et leur portefeuille) changent.

Ou sinon c'est un gros piege de la NSA pour faire croire que les terroristes peuvent utiliser Skype en securite. Que ce soit l'un ou l'autre, chapeau.

Dead Bug

2009-02-06T14:00:00.000-05:00

Un des ex-occupants de la piece CANVAS - Miami, FL

Aujourd'hui est un jour grave. Et non seulement parce que je suis plus vieux d'un an. Mais parcequ'un des plus beaux bugs sur lequel j'ai pu travailler vient d'etre condamne a la peine capitale. Une perle de technique et de fiabilite. Alors que certains vivent dans un monde ignorant totalement ce qui se trame dans leur dos, d'autres travaillent a faire de l'offensif un art aux ramifications insoupconnees. Plus jeune j'envoyais regulierement mes trouvailles aux editeurs divers et varies, fier d'avoir participe a la securisation des internets. Mon point de vue sur le sujet a evolue. J'aime les bugs vivants, j'aime savoir qu'ils peuvent servir a quelque chose, et parfois aider. Malheureusement je ne controle pas toujours l'avenir de mes creations. Peut-etre une intervention divine sauvera-t-elle celui ci, mais je n'y crois pas trop. Tristesse.

Au revoir, Grissom

2009-01-16T09:15:00.000-05:00

Nouvelle annee, nouveau post. J'ai ete faineant sur la mise a jour de ce blog, de meme que sur mes reponses de mails de bonne annee. Je remedie au premier ici meme, je m'attacherai au second dans les jours qui suivent.

Donc meilleurs voeux pour 2009, etc. Beaucoup de reussite tout ca.

Ensuite hier soir s'est terminee une ere, l'ere de Gil Grissom dans CSI. Double episode, Grissom raccroche et quitte. Au profit de Laurence Fishburne semble-t-il, nouvel arrivant dans le staff. Beaucoup de changements cette saison dans CSI, avec la mort de Warrick (un des meilleurs episodes de la serie). Cela ne peut que me rappeler les Urgences, X-Files et autres, ou le depart de figures principales de la serie annoncent le debut de la fin (d'un autre cote les Law & Order continuent encore et encore).

Des trois, Mac Taylor, Horatio Caine et Gil Grissom, le dernier a toujours ete mon favoris.

Ma soeur cette heroine

2008-11-12T15:16:00.001-05:00

Ma soeur sauve des vies. Et apparemment plutot bien. S'il vous arrive une merde dans la region parisienne, je pense que tomber sur elle lorsqu'elle est de garde aux Urgences est de bon augure. John Carter en serait fier!

Recemment elle m'a donne un article fonde sur sa these a traduire en Anglais. Ce genre de travail est relativement fastidieux dans la mesure ou je ne connais pas grand chose au vocabulaire medical, m'exposant a des inexactitudes ou approximations nuisant au sens du texte. En voici neanmoins un extrait dans sa version originale, suffisamment generique :

Malheureusement, cette présentation inappropriée des résultats ne peut arriver sans la complicité tacite ou active de l’industrie pharmaceutique, des journaux et des investigateurs. L’industrie pharmaceutique cherche à vendre les médicaments qu’elle produit, elle est donc à la recherche de résultats positifs, quitte à biaiser certains critères d’inclusion. Les journaux veulent un scoop et préfèrent publier des résultats positifs. Quant aux investigateurs, ils savent qu’ils ont plus de chances d’être publié si leurs résultats sont eux aussi significatifs.

Je suis fier de ma soeur, empecheuse de tourner en rond de deux ans ma cadette! Ca doit etre genetique.

Halloween a South Beach

2008-11-12T07:43:00.000-05:00

Halloween aux USA, c'est de la folie. Au moment ou je suis parti aux USA, cela commencait a s'implanter en France, mais il faudra un temps fou pour atteindre l'effervescente activite d'une nuit d'Halloween aux USA. Tout le monde est deguise. Et lorsque je dis tout le monde, ca inclut les bebes de 3 mois dans leur costume de vache ou d'etoile de mer.

Lincoln Road est la rue pietonne commerciale de South Beach, et un rendez-vous incontournable pour tout evenement de la sorte. Vous l'aurez sans doute vu sans le savoir dans des series ou films se deroulant dans les environs.

Ci-dessous, un petit example (cliquez pour voir le film):

From Halloween 2008

J'ai honte

2008-11-07T11:55:00.000-05:00

Aujourd'hui, j'ai honte. Je viens d'enterrer tous mes principes en exploitant un XSS lors d'un pentest pour chopper les cookies des administrateurs de l'application Web. Ca me fait vraiment mal d'en arriver a des extermites de la sorte. Dave est plutot "Whatever it takes to get in", mais la je viens de violer une regle que je m'etais impose depuis bien longtemps. Merde.

Adobe Acrobat Madness

2008-11-04T17:34:00.001-05:00

Allez, grande demonstration de stupidite:

Tout le monde l'avait cette vulnerabilite, il fallait vraiment etre idiot pour passer a cote (allez question du jour: qui l'avait vu aussi?).

C'est comme un kill de boss post-3.0 dans WoW, ca ne se poste pas tellement c'est nul. Apparemment ca n'a pas arrete grand monde.

Mes felicitations a Adobe pour avoir mis 8 mois a la patcher... Medaille d'or. Prochain post: Halloween a South Beach.

Le bon hacker et le mauvais hacker

2008-10-24T09:13:00.000-04:00

Ce mois-ci, c'est le mois de l'"underflow" pour Microsoft. Chose relativement surprenante mais comprehensible puisque les "overflows" sont tous patches depuis belle lurette. Ou pas.

Hier a ete publie en urgence le correctif MS08-067. Touchant une sous fonction de CanonicalizePathName, meme fonction ayant presente la vulnerabilite patchee par Microsoft avec MS06-040. C'est moche. Il y a 42 experts securite chez Microsoft qui ont bosse sur le patch (indice: nombre fictif) et ils n'ont pas vu cette faille juste sous leur nez! Bon allez, je ne les blame pas je ne l'ai pas vu non plus. D'un autre cote je ne bossais pas chez Immunity a l'epoque, mais chez EADS donc necessairement moins de temps a ecrire des exploits (excuse bidon numero 42).

La vulnerabilite est vicieuse. Je vous conseille d'aller jeter un oeil au blog du sieur Sotirov pour voir le reverse de la fonction vulnerable.

Pourquoi donc le mois de l'"underflow"? Avec MS08-062, on avait une copie de buffer debordant devant le buffer et pas derriere, pareil avec MS08-067. C'est nouveau, c'est beau. Le stack cookie est derriere le buffer, donc avec un underflow, on ecrase le stack frame d'une fonction fille et pas le cookie de la fonction ou le buffer est defini, et c'est gagne. Grandiose! Je ne sais pas si c'est tres clair, c'est complique a expliquer.

Apres on peut aller voir le PoC sur milw0rm. Et c'est la qu'on voit le mauvais hacker.

This is because it depends on the state of the stack prior to the "overflow".You need a slash on the stack prior to the input buffer.

Declencher la vulnerabilite est ridiculement facile. Toute la difficulte reside dans la possibilite d'obtenir un '\' unicode a un endroit determine pour que votre "underflow" soit fiable. Cela prend 10min lorsque l'on comprend ce qui se passe, ou apparemment c'est trop complique pour qu'on s'y attarde pour les autres.

Deception

2008-10-17T11:31:00.000-04:00

Autant des fois je m'emerveille sur la qualite et la complexite de certains bugs, autant des fois je me demande comment d'autres ont pu survivre jusqu'en 2008.

Et quand je regarde MS08-063, je me demande meme comment ca a pu passer 2001.

Une des fonctions au coeur de SMB, un parametre trop long, une soustraction, un debordement. Et paf le kernel. N'importe quoi. Une vulnerabilite comme ca, je m'en veux de ne pas l'avoir vu plus tot. Encore aurait-il fallu que je regarde le dit driver.

/sigh

Edit: En fait il y a pire avec MS08-059. La fonction RPC s'appelle _SnaRpcServer_RunExecutable et prend 2 chaines de caracteres en parametres. Le service RPC de HIS ecoute sur un port TCP/IP dynamique, pas d'authentification bien sur. Tres 1992.

Tres bon mois!

Encore un coup des Chinois!

2008-10-16T16:44:00.000-04:00

Hacked by Chinese all over again!

Ce Microsoft Tuesday etait plein de bonnes surprises. Tout d'abord Microsoft nous fournit ce mois-ci plethore d'information sur les bugs, soit dans les avis officiels, soit sur le blog de SWI. Cool. Nous avons aussi maintenant le droit a un indice d'exploitabilite des bugs. Cette fois-ci MS n'a plus le droit a l'erreur, ce n'est plus un individu lambda qui va annoncer sur un blog 'Mais non ce n'est pas exploitable, LoL!', c'est une "position officielle".

On pourra s'etonner aussi du fait que l'on trouve une faille reportee par le CERT/CC utilisee dans des attaques "ciblees". Ce n'est pas la premiere fois que cela arrive, neanmoins dans les cas precedents, ce n'etait pas mis en avant de la sorte. On supposera que la vulnerabilite en question a ete trouvee lors d'une session forensique rondement menee par nos amis CERTiens. Bien joue. Ca change du PHP include.

Dans nos HQ miamiens, lorsqu'un truc comme ca arrive, Dave dit que c'est Chinois. Ca pourrait etre Russe ou Indien pour autant qu'on le sache, mais bon, c'est Chinois pour nous. Et c'est plutot bien fait.

La vulnerabilite est saugrenue. Tout d'abord le filtre ISAPI en question n'est accessible que post-authentification. Passe encore. Vous envoyez votre requete IPP en demandant au filtre de venir recuperer des informations sur telle imprimante. Bien evidemment il s'avere que cette imprimante est en fait hebergee dans vos locaux, et puis que ce n'est pas une imprimante du tout mais quelques lignes de python qui simulent un serveur SMB/RPC. Apres avoir initie la connexion et effectue quelques requetes, une des reponses de notre "imprimante" est utilisee n'importe comment par le filtre ISAPI, qui va allouer de la memoire a partir d'un parametre de la reponse en copier des donnes dans le buffer alloue en se fondant sur un autre.

Quelle sale histoire. Un bon heap overflow des familles, mais complexe a mettre en oeuvre, et a trouver... Ils sont forts ces Chinois! Moralite, filtrez le SMB sortant.

C'est la rentree!

2008-10-01T16:13:00.000-04:00

La rentree c'est cool.

D'abord parce que toutes les series TV reprennent. Avec la greve des scenaristes durant la precedente saison, la plupart des series se sont vu ampute d'une bonne partie de leurs episodes. Chuck a repris Lundi; ce soir, c'est au tour de Pushing Daisies. Bas, eternel amateur de Buffy the Vampire Slayer, me conseille ardamment de regarder True Blood. Quant a Dexter, il est de retour depuis Dimanche dernier. O joie.

La rentree cela veut aussi dire que la temperature a Miami va se calmer un peu, que l'on en a bientot termine avec la saison des ouragans, et que l'on peut se remettre au soleil sans se retrouver couvert de transpiration au bout de 10s. Si tant est que l'on aime ca.

Et puis la rentree, c'est aussi passer quelques jours a Hawaii, et prendre son cafe du Vendredi matin sur Waikiki beach. Trop dure la vie.

Ca sert d'avoir un blog ...

2008-09-11T00:03:00.001-04:00

Et de se moquer des gens dessus ... Microsoft a sorti en Aout un patch pour le "biais" du generateur de cles aleatoires (LoL)du Protected Storage des Windows Francophones devoile sur ce blog.

Merci a monsieur news0ft pour m'avoir transmis l'information.

Curieusement mon petit doigt m'avait remonte il n'y a pas trop longtemps que ce post avait seme un peu le bordel a la DCSSI et chez MS France. Rassurez vous, vous etes de nouveau en securite. Et tout le monde me hait je pense la bas. C'est dommage j'aide mon pays a etre plus sur!

D'apres cette note:

To make sure that the product was available to the French market in a synchronized manner with all locales, Microsoft chose to disable the encryption of Protected Storage by using a single, fixed encryption key for the French locale.

Oui, oui, c'etait pour votre bien. Allez maintenant je vais preparer un challenge de cassage de crypto sur NT 4.0 francais. Toujours pour votre bien hein. C'est dans des moments comme ca que je regrette de ne pas avoir appris la "securite" informatique plus tot. Je me serais tellement amuse en 1998 avec tout cela.

Bon promis ce week end je raconte la rentree a Miami. Les series TV, les ouragans, tout ca.

Zul'Aman Bear Runs

2008-07-24T11:45:00.000-04:00

Si vous voulez voir a quoi ressemble un Bear Run complet, voici les videos que Twenty a capture de nos runs:

Cher Blizzard,

2008-07-18T10:10:00.001-04:00

J'ai ete gentil cette annee, j'ai aide beaucoup de personnes a se proteger des mechants hackers du ternet, j'ai beaucoup travaille et je suis alle souvent a la piscine, j'ai paye toutes mes factures. Est-ce que je peux avoir une cle pour la Beta de Wrath of the Lich King?

Merci.

Edit: Allez je rajoute meme que j'audite votre code gratuitement pendant 4 week ends si vous me filez une cle!

Vegas Baby!

2008-07-17T16:19:00.000-04:00

En ce moment je suis a Boston pour deux semaines, ou je fais beneficier un client de mes competences en massacrage de programmes. C'est chouette comme job, vous dites "Vous avez fait de la merde la, la et la. Et la c'est encore pire". Vous developpez les exploits pour prouver que vous ne dites pas de la merde vous-meme, et le client vous dit merci et paye, bien. Tres bien. Boston c'est chouette au passage. J'aime beaucoup les batiments en briques (je suis a Cambridge, MA en fait, juste a cote de Boston) et la population locale. Ca change un peu des greluches en bikinis.

Enfin bon, tout ca pour dire que je vais m'occuper cette annee de la certification NOP d'Immunity a Vegas (Network Offense Professional). Le principe sera de developper un exploit pour un binaire proprietaire en un temps determine sur plateforme Win32. Vous reussissez, tant mieux, vous etes certifie. [troll]Sinon bah vous pouvez toujours tenter le CISSP[/troll]. C'est marrant, tout le monde a plein d'avis differents sur la question, d'apres les posts sur DD. Personnellement je trouve ca amusant. Et puis si vous n'etes pas certifie, ca ne veut pas dire que vous etes un incapable, ca veut juste dire que vous n'etiez pas la.

Vous pourrez me retrouver la-bas, avec soiree au Sapphire comme chaque annee pour profiter des strip-teaseuses locales!

Garde a vous

2008-07-10T13:55:00.000-04:00

Depuis que je vis aux USA, je ne m'interesse que tres peu aux affaires interieures de l'hexagone. Je suis ca de loin quand le temps le permet, lorsqu'une affaire fait la une internationale, ou lorsque le streamer RSS de Gmail me pond un truc qui m'interesse.

J'ai fait mon service nationale bien qu'etant de la derniere "promotion", n'ayant pas opte pour la solution "inscription en universite", j'ai fait mes classes sur la base aerienne 115, et cotoye des gens plus ou moins interessants (plus souvent moins que plus) servant les couleurs de la France. J'ai eu une periode patriotique, rapidement calmee par l'ineptie et la fourberie des gens auxquels j'ai eu a faire (speciale dedicace aux OPJ de la D*T). Les methodes de crevards employees constituent toujours en 2008 une excellente source de rage - tres utile pour le sport.

Et recemment je me suis mis a suivre les peripeties de l'actuel president face au corps militaire francais. Et je rattrappe mon retard. J'avoue que malgre mon experience (aussi courte soit elle) dans le domaine, je suis surpris par l'etendue des dommages. J'apprecie particulierement les articles du Nouvel Observateur sur le sujet. Sur l'affaire du Ponant, je lis:

En panne moteur, l'un des deux avions Bréguet-Atlantic-2 (27 ans d'âge) chargés de surveiller «le Ponant» a failli se crasher en se posant en urgence au Yémen. Les bateaux engagés «sur zone» ont connu quelques problèmes. La frégate «Jean-Bart», âgée de seulement 17 ans, a été victime d'avaries mais a pu être opérationnelle. La frégate «Surcouf» était à Djibouti. En panne. Le porte-hélicoptères «Jeanne-d'Arc» (45 ans d'âge) était en surchauffe moteur. La frégate «Georges-Leygues» (31 ans), victime «de problèmes techniques», n'a pas pu participer à l'opération. Deux hélicoptères Puma (40 ans d'âge), stationnés à Djibouti, étaient en panne, «comme tous les jours». Quant à la barge de débarquement pour les commandos marine, elle a coulé tout simplement à proximité du «Jean-Bart»...

Meme dans un film comique, les scenaristes n'oseraient pas en faire autant!

Les sources:
Article 1
Article 2
Article 3

On a frole le Big One

2008-07-10T11:07:00.000-04:00

Je trouve des failles. J'ecris des exploits. Je fais des pentests. Je suis utilisateur de Windows. Je joue a WoW. De quoi ai-je peur? Du vide, comme j'en ai eu une belle confirmation a Singapour, mais au niveau informatique de pas grand chose. Et surtout pas de DNS cache poisoning.

Recemment j'ai failli me faire avoir une fois. Par un 0day Acrobat Reader (cherchez le post dans l'historique du blog). Parcequ'un iframe d'un site de pub legitime (pas redirige par une entree d'un cache DNS) servait joyeusement un PDF verole. Et tout le monde s'en foutait a l'epoque. Pourtant je ne suis pas passe loin. De quoi? Je n'en suis pas sur. D'un formatage de disque probalement (Oh non 1/2 journee de perdue!)

On a eu l'occasion de faire des campagnes de social engineering a Immunity pour des grosses boites US, avec montage de site bidon, etc: taux de reussite de 10% en envoyant des emails aux employes et en leur demandant de rentrer leur user/password sur le site.info a la place du site.com. Pas besoin de cache poisoning.

Les 0days serverside exploitables sur des Windows 2003 SP2 sur des ports non filtres ca existe. Est-ce que ca sera la fin du monde lorsqu'ils seront exploites a grande echelle? Pas plus que ca ne l'a ete pour Code Red. Un exploit qui root un Firefox <= 2.0.0.14 sans sourciller sur un Windows XP SP3, on a (cf. Early Updates). Tant pis pour les gens qui chient en permanence sur IE, j'espere qu'ils font tourner un anti-rootkit regulierement. Et ca ne change rien pour Internet.

Le "Big One", ca me fait grincer des dents. La mediatisation on en fait aussi a Immunity, ca fait vendre du produit. Mais la ca depasse mes capacites d'assimilation.

Les loleries du renseignement francais

2008-07-09T11:24:00.000-04:00

Article du Nouvel Observateur:
Sarkozy lance la DST aux trousses des militaires

Continuez les mecs, vous devriez avoir votre place au betisier 2008.

DNS

2008-07-09T08:41:00.000-04:00

Pareil que Sid.

Je vais juste rajouter qu'une fois de plus un maitre de l'escroquerie a reussi a faire monter la mayonnaise. C'est vraiment nul, les journalistes sont stupides. Article du Figaro. Quand je lis des trucs comme ca j'ai envie de changer de metier. Genre elever des moutons. Faire tueur a gages. Ouaip tueur a gages c'est mieux. J'ai vu Wanted hier soir, et ca donne envie. Prochaine activite prevue avec Bas & Rocky, le shooting range. Un des avantages des Etats-Unis...

Edit: certaines personnes pensent qu'il serait deraisonnable de mettre un semi-automatique charge dans mes mains. Avis?

Series TV

2008-06-23T10:06:00.000-04:00

Un petit lien sur une entree d'un blog qui vaut le detour:
http://seriestv.blog.lemonde.fr/2008/06/22/cinq-videos-dramatiques-remarquables/

Le blog lui meme est une tres bonne source d'information.

Maintenant, on pourra s'interroger sur le fait qu'une personne vivant en France puisse avoir acces a toutes les series diffusees aux US en "temps reel". Y compris les PreAir. Hmmm. Ou alors sur la concordance entre la mise a disposition des torrents des episodes en question et leur commentaire (http://seriestv.blog.lemonde.fr/2008/06/21/prettyhandsome-le-melange-des-sexes/ le 21/06 http://xxx.yyy.it/Pretty.Handsome.S01E01.PREAiR.DVDSCR.XviD-MEDiEVAL.%5Beztv%5D.torrent le 20/06) :) Visiblement la loi n'est pas la meme pour tout Le Monde (<= jeu de mots) ...

Francaises, Francais, time to bend over!

2008-06-13T11:17:00.000-04:00

Desole, pas trop eu l'occasion de mettre le blog a jour recemment (question de flemme sans doute). Bon cette entree a pour but de relever un truc marrant sous Windows. J'ai bosse sur MS08-034, l'elevation de privilege locale sur le serveur WINS, et c'etait plutot marrant a faire. La socket de notification est en ecoute sur 127.0.0.1, vous lui envoyez de la merde, vous avez un write4, gagne.

Bon le truc c'est que l'idee du correctif adoptee par Microsoft est plutot pas mal. On chiffre les donnees avec CryptProtectData, on les envoie, puis le serveur dechiffre avec CryptUnprotectData, et voila. Vu que seul l'utilisateur qui a chiffre peut dechiffrer, ca assure que seul LOCALSYSTEM puisse communiquer sur la socket, probleme regle.

D'ou l'idee d'aller regarder ce qui se passe au niveau de la fonction de chiffrement. J'aime bien la crypto, mais je n'ai jamais passe trop de temps sur la crypto de Windows en soi. Plus sur les programmes tierce partie. Je me ballade donc dans les DLLs associees, lsasrv.dll, cryptsvc.dll, psbase.dll, tout ca. Je tombe sur le morceau de code suivant:

call esi ; LocalAlloc(x,x) ; LocalAlloc(x,x)
test eax, eax
mov [ebx], eax
jz loc_743CB422
push dword ptr [edi]
push eax
call _SystemFunction036@8 ; SystemFunction036(x,x)
test al, al
jz loc_743CB412
call ?FIsEncryptionPermitted@@YGHXZ ; FIsEncryptionPermitted(void)
test eax, eax
jnz short loc_743CB387
mov eax, [ebx]
mov dword ptr [eax], 6D8A886Ah
mov eax, [ebx]
mov dword ptr [eax+4], 4EAA37A8h
loc_743CB387: ; CODE XREF: FMyEncryptKeyBlock(ushort const *,ushort const *,uchar * const,uchar * *,ulong *,_DESKey *,_DESKey *)+97j
push dword ptr [ebx] ; unsigned __int8 *
push [ebp+var_DC] ; struct _DESKey *
call ?FMyMakeDESKey@@YGHPAU_DESKey@@PAE@Z ; FMyMakeDESKey(_DESKey *,uchar *)

Marrant ca. La fonction SystemFunction036 est un generateur pseudo aleatoire fort, mais si le chiffrement n'est pas autorise, alors les donnees utilisees pour la cle DES ne sont plus aleatoire mais hardcodees. Regardons donc la fonction en question:

call ds:__imp__GetSystemDefaultLCID@0 ; GetSystemDefaultLCID()
cmp ax, 40Ch
jz loc_743C524E
loc_743C1599: ; CODE XREF: FIsEncryptionPermitted(void)+3CEFj
push 0Ah ; cchData
lea ecx, [ebp+var_10]
push ecx ; lpLCData
push LOCALE_ICOUNTRY ; LCType
push eax ; Locale
call ds:__imp__GetLocaleInfoA@16 ; GetLocaleInfoA(x,x,x,x)
test eax, eax
jz loc_743C525A
loc_743C15B0: ; CODE XREF: FIsEncryptionPermitted(void)+3CFAj
push offset a33 ; "33"
lea eax, [ebp+var_10]
push eax ; lpString1
call ds:__imp__lstrcmpA@8 ; lstrcmpA(x,x)

Le LCID 0x40c est le francais, le country code 33 est pour la France. Et ca provient d'un XP SP2 a jour.

Heureux possesseurs de Windows Francophones, il semblerait que certaines fonctions cryptographiques de votre OS (pas toutes, rassurez vous) vous propose 32768 fois moins d'entropie qu'un OpenSSH sous Debian.

Cyber guerre!!

2008-05-16T09:32:00.000-04:00

Ou pas.
http://blogs.lexpress.fr/virtuel/2008/05/le_site_de_lambassade_de_franc.html
Allez c'est vendredi. On ne s'enerve pas le vendredi. En plus ya Prince Caspian ce soir. Allez.

Et le talent dans tout ca?

2008-05-15T09:44:00.000-04:00

Je m'emerveille toujours de l'absence totale de reflexion apportee dans le milieu de la securite face a des problemes comme celui recent de OpenSSH sous Debian/Ubuntu. Aussi bien du cote des developpeurs, que du cote des journalistes (With the Quickness: HD Moore sets new land speed record with exploitation of Debian/Ubuntu OpenSSL flaw).

Pour "l'exploit" (grincement de dents), il suffit de generer 32768 cles pour les differents algorithmes possibles et longueurs de cles. Trop dur. Tres 2000 comme technique. Et le sieur HDM, il ne s'est pas fait suer a reimplementer la generation de la cle, il s'est just contente d'une bibliotheque falsifiant le pid et de 31 xeons. Et le plus deprimant, c'est que ca marchera mieux que tous les overflows imaginables, car totalement independant de l'architecture, de la version, etc (modulo la presence de la vulnerabilite).

Le talent et la reflexion, c'est tres surfait au final.

La vie d'un hackeur dans Le Monde

2008-05-07T16:31:00.001-04:00

http://www.lemonde.fr/technologies/article/2008/05/07/marc-maifret-la-drole-de-vie-d-un-hacker-ethique_1041848_651865.html#ens_id=1025210

"LEMONDE.FR | 07.05.08 | 11h49 • Mis à jour le 07.05.08 | 13h37"

Le lecteur attentif remarquera l'heure de mise a jour.

Les AV, c'est a chier

2008-04-30T09:00:00.001-04:00

Et non amis WoW-iens anglophones, je ne parle pas d'Alterac Valley ce coup-ci. Mais des antivirus. A Defcon cette annee aura lieu le 'Race to Zero', je n'ai pas trop suivi mais Dave a tente de m'expliquer ca rapidement: il s'agirait de contourner des batteries d'AV en modifiant des virus connus tout en les conservant executables. Les equipes gagnent des points par virus passant les detections, tout ca. Libre a vous de verifier, la maintenant j'ai la flemme.

En soi, ca ne m'a pas l'air trop complique, et la presse va sans doute faire tout un battage mediatique sur l'inutilite des antivirus une fois les 42 premiers virus modifies avec succes. Genre. Je me ficherai bien de tout cela si ca n'avait provoque une reaction en chaine dans le milieu de la protection ("LoL") anti-virale. Tous les editeurs savent pertinemment qu'ils vont se faire exploser joyeusement, a plusieurs reprises pendant quelques jours, et ca les inquiete un peu.

Et c'est dans ces moments la qu'on peut voir a quel point ces gens la sont pathetiques:

Entree dans le blog de McAfee Avert Labs
Article de geek.com avec des citations a se faire dessus de Trend Micro et AVG
et probablement beaucoup d'autres prochainement

Un bel exemple de "fail" encore une fois. Messieurs les editeurs d'AV, il vous reste 3 mois pour ameliorer vos produits, ou vous mettre a genou et pleurer en disant que c'est vraiment trop injuste calimero-style.

Cretins.

Detecter l'escroc

2008-04-17T12:55:00.000-04:00

Quand on lit le papier de Dowd (cf. entree precedente), et que l'on est technique, on pense comprendre ce qui se passe. Certains y arrivent tres bien, d'autres comprennent les choses a moitie et surfent sur la vague pour essayer d'en tirer un soupcon de renommee, mais en racontant des conneries.

J'ai en tete un post de monsieur Ptacek sur le blog de Matasano, a la fin de ce dernier on peut lire:

First, even though IE and Firefox use different Flash builds, the addressing inside them is compatible. The exploit works in both places.

Bon certes le monsieur a des connaissances techniques (ou pas), mais clairement son post est une escroquerie. Je vais me concentrer uniquement sur cette phrase la, les lecteurs avises pourront noter d'autres anneries tout au long de l'article.

J'ai fini l'exploit sous IE, ca marche impec, XP SP2, SP3rc2, Vista, cool. Maintenant je regarde Firefox. On est plus sous flash9[d,e].ocx mais dans npswf32.dll. "Compatible addressing"? Ca semble louche. Et effectivement le tableau AS3_argmask n'est pas du tout au meme endroit. On peut voir dans le commentaire de Mark au sujer de ce post:

1. Address you need to overwrite (location of AS3_argmask)
...

Issue #1 could possibly cause problems, but hey - exploiting both browsers at once worked out alright by doing multiple overwrites, so you could probably do multiple overwrites to address different versions of Flash also. But, I have never confirmed this, so I can’t be sure.

Et voila la solution. Il suffit de faire plusieurs overwrite differents, histoire de remplacer le mask de l'opcode marker pour IE et Firefox, le reste des constantes utilisees etant des offsets relatifs, donc pas de soucis pour cela. Plusieurs SWF sans bytecode ne crasheront pas le browser si vous faites suffisamment attention, puis un final avec le bytecode non-verifie permettra d'executer votre shellcode.

Escroc.

Groovy Week End

2008-04-17T12:29:00.000-04:00

Ca y est, j'ai recu mes tickets pour le Bacardi B-Live'08. La meteo s'annonce clemente (comprendre 27degC et ciel relativement bleu). Le concert sera streame en live sur myspace.com/blivemiami si l'on en croit le site officiel de l'evenement http://www.bacardi.com/#/us/en-us/blive_miami_08/. Au programme, Dave Navarro (un habitue), Cedric Gervais, Deep Dish, et Groove Armada! Et surtout des Mojitos a ne plus savoir qu'en faire.

Le Duke *

2008-04-16T11:29:00.000-04:00

S'emerveiller devant une faille et un exploit se fait rare de nos jours. Il n'y a pas grand chose de nouveau, et on finit toujours avec les memes primitives de bugs et des exploits dont le principe est toujours le meme. Alors quand je dois ecrire l'exploit pour une faille comme celle recemment publiee pour Flash par ISS, je suis heureux.

Le papier de Mark "Duke" Dowd est une perle. Un contenu exact de A a Z, une approche novatrice pour une primitive de bug pas necessairement evidente a exploiter (ecrire 4 octets pas entierement controlables a une addresse multiple de 12 pour simplifier). Ecrire son bytecode AS3 non verifie pour prendre le controle de EIP, c'est marrant. "Exciting and Dynamic" comme dirait Runara.

Bien que le papier soit hyper detaille (ca change des merdes usuelles), il reste pas mal de boulot a un neophite de Flash pour ecrire l'exploit. Quelques heures passees sur les formats SWF et les blobs ABC auront suffit pour satisfaire les exigences de Flash et de sa VM.

Au final, pas la meilleure faille du monde (DEP OptOut introduit une complexite non couverte par le papier de Duke), mais probablement l'exploitation la plus interessante sur laquelle j'ai pu travailler.

* Reference a The Big Lebowski meme si en VO il s'agit du 'Dude' et non du Duc ou Duke, et meme si le sieur Dowd n'a rien a voir avec.

De retour de SF

2008-04-13T15:41:00.000-04:00

Et voila, RSA 2008 c'est fini. C'est le genre de conference dans laquelle il ne serait pas bon de lacher un Ruff, je pense qu'il y avait plus de goodies qu'un etre humain puisse gerer. Ma performance de ce cote a ete relativement decevante, je me suis contente de devaliser le stand de la NSA, cela fait toujours bien de laisser trainer un bloc note de la dite agence dans son appartement. Quelques photos ont ete ajoutees sur le Picasaweb.

Cote personnes, j'ai pu trainer avec les suspects usuels (cf. Photos). San Francisco est decidement une ville tres appreciable.

If you're going to San Francisco

2008-04-08T00:18:00.000-04:00

Helas non, je n'ai pas de fleurs de les cheveux. Je ne sais pas si c'est faute de fleurs, ou de cheveux. Enfin voila, San Francisco est mon etape de la semaine. La conference RSA 2008 s'y deroule, et Immunity, Inc. y sera represente par Justine, Sinan et moi meme. Si vous etes dans le coin passez me dire bonjour! Vous aurez le droit a une demonstration de Silica :)

A defaut de fleurs, un gros coeur (promis je remets des tetes de mort des que j'en trouve):

Les habitues reconnaitront le dos d'Halvar a droite!

D'apres les News, la flamme olympique devrait passer dans le coin sous peu une fois qu'elle aura quitte Paris ... A suivre.

Je mettrais les photos au fur et a mesure ici:
http://picasaweb.google.com/kostya.kortchinsky/SanFrancisco/

Ultra Music Festival, day 2

2008-04-01T22:52:00.000-04:00

Et voila, Samedi c'etait le deuxieme et dernier jour de l'Ultra Music Festival. Ma foi, j'ai ete encore surpris. La scene Carl Cox & Friends blindee pour Fedde Legrand et David Guetta. J'ai passe 2h tout devant pour le mix de David Guetta, avec Carl Cox qui a fait la transition quand Moby a commence... Ca fait bizzare le grand black baraque a cote du freluquet pale a lunettes :) Avec Guetta et sa coupe beau gosse blond au milieu. Enur etait de la partie, Ferry Corsten, Sander Van Doom. Bref le bonheur pour un amateur de house et autres musiques electroniques.

Les photos:
http://picasaweb.google.com/kostya.kortchinsky/Ultra08Day2

Ultra Music Festival, day 1

2008-03-28T23:16:00.000-04:00

Un an et demi que je suis a Miami, et j'ai deja rate les deux editions precedents pour cause de voyages professionnels ou autre. Cette fois-ci j'avais tout prevu pour etre la, et ma foi je suis relativement surpris de mon premier Ultra. Les musiques electroniques ne representent qu'une part de marche ridicule aux USA, et pourtant Ultra regroupait beaucoup de monde pour un Vendredi, et pas mal de connaisseurs. Sur la scene Amnesia, le public acclamait Robbie avant qu'il ne se mette a mixer... je ne le pensais pas connu de ce cote de l'Atlantique.

J'ai commence la journee vers 17h, j'ai pu voir entre autres The Crystal Method, Eric Prydz, Robbie Rivera, Tiesto (je ne suis pas reste jusqu'au bout).

Photos et videos du premier jour:
http://picasaweb.google.com/kostya.kortchinsky/Ultra08Day1

Ca continue demain!

The Guild (attention: WoW inside)

2008-03-24T13:35:00.000-04:00

Comme tout le monde doit la savoir maintenant, je joue a WoW. J'etais a temps complet dessus a la sortie de Burning Crusade histoire d'arriver niveau 70, j'ai raide comme un tare 5 jours par semaine, 6h par soir, pendant 3 mois, jusqu'a atteindre Black Temple et Hyjal Summit en Juin (classe dans les 100 premieres guildes mondiales), puis j'ai tout lache parceque c'etait vraiment trop prenant.

J'ai recommence en Novembre avec un rythme plus leger, et finalement j'y trouve mon compte. Beaucoup moins de raids, beaucoup moins de temps passe, une guilde cool avec des gens pour qui WoW ne represente pas 80% de leur journee, et qui savent jouer. Certains ont meme un vrai boulot! J'ai recommence tout SSC et TK depuis le debut, et apres quelques mois, me revoici enfin au niveau de progression ou j'avais laisse le jeu, et j'ai pu voir Archimonde pour la premiere fois hier soir.

Kill de Azgalor, leade par K!

Bon le jeu c'est de me trouver sur le precedent screenshot!

The Guild, c'est une petite serie qui conte les aventures IRL de quelques joueurs de WoW, c'est drole, d'autant plus lorsque vous realisez a quel point c'est proche de la realite:
http://www.watchtheguild.com/episodes/

New-York, New-York

2008-03-19T16:46:00.000-04:00

Et voila, mes deux semaines de consulting dans la Grand Pomme touchent a leur fin. Ce fut ma foi fort interessant, en particulier puisque j'ai pu vivre l'affaire Bear Sterns depuis l'interieur d'un des acteurs. Et ce genre de choses, ca ne s'imagine que difficilement. Je mettrai quelques photos de la ville en ligne une fois rentre ce week-end, mais pas trop eu le temps de faire du tourisme cette fois ci.

Au cas ou vous n'auriez pas suivi l'histoire, il suffit de regarder le cours de l'action NYSE:BSC sur une semaine autour du 17 Mars 2008:
http://finance.google.com/finance?q=NYSE%3ABSC

Dans la serie LoL:
http://securitywatch.eweek.com/disaster_planning/hannaford_data_breach_the_security_vendor_conundrum.html

Il y a vraiment des cretins sur cette planete

2008-03-07T09:42:00.000-05:00

CANVAS des fois, ca ne marche pas. Il y a une merde, un module qui crashe, quelque chose qui ne va pas. Lorsque cela arrive, on envoie un mail a 'support a immunityinc.com', et on attend que quelqu'un fixe le merdier. 80% des requetes recues proviennent de personnes qui ne comprennent pas qu'il faut Gtk Et pyGtk pour que cela marche. Passe encore. Et des fois on a des requetes avec un Crash.log qui contient des trucs du style:

module 'MOSDEF.atandtparse' from 'C:\Documents and Settings\OrphousV\桌面\Immunity.Canvas.v5.0.RETAIL-UNiQUE\Immunity.Canvas.v5.0.RETAIL-UNiQUE\UNiQUE\Imunity canvas\MOSDEF\atandtparse.py'
module MOSDEF.atandtscan:
module 'MOSDEF.atandtscan' from 'C:\Documents and Settings\OrphousV\桌面\Immunity.Canvas.v5.0.RETAIL-UNiQUE\Immunity.Canvas.v5.0.RETAIL-UNiQUE\UNiQUE\Imunity canvas\MOSDEF\atandtscan.py'

Des fois je m'emerveille des niveaux de stupidite atteints par les habitants de cette planete.

Bacardi B-Live 2008!

2008-02-29T09:34:00.000-05:00

Et voila, nouvelle edition du Bacardi B-Live a Miami, l'annee derniere on avait eu droit a Paul Oakenfold accompagne de l'orchestre philharmonique de Miami, entrees gratuites, Bacardi Mojitos a gogo (payants par contre). Cette annee meme recette, avec Groove Armada au Bayfront Park!

http://www.blivemiami08.com/

I see you baby, shakin' that ass!

garfield minus garfield

2008-02-27T09:57:00.000-05:00

Ca vaut le detour:
http://garfieldminusgarfield.tumblr.com/page/1

Electro

2008-02-26T11:50:00.000-05:00

Miami est une reference pour la musique electronique aux USA. Tous les ans se deroule le Ultra Music Festival sur deux jours, avec une liste d'invites assez impressionante. J'y serai cette annee, au programme:

Tiesto
Moby
Underworld
Eric Prydz
Paul Van Dyk
Carl Cox
David Guetta
Robbie Rivera
et beaucoup d'autres!

Tres tres bon tout ca!

The World Needs More Canada

2008-02-26T09:56:00.000-05:00

Je reviens de 10 jours a Ottawa, et j'adore toujours le Canada.

Entre Vancouver, Montreal, Toronto et Ottawa, je n'ai jamais ete decu. Au niveau climat, j'ai eu le droit a un bon -10degC, certains jours sous un ciel bleu exceptionnel, d'autres dans des tempetes de neige redoutables. Lorsqu'un manteau neigeux immacule couvre les rues et les toits, qu'aucun nuage ne vient perturber la monochromie celeste, tout est beau. Peut-etre parceque cela me change des palmiers. Les canadiens sont courtois, sympathiques, se deplacent en patins a glace sur le canal gele; les canadiennes ont nettement plus de classe que les americaines (toujours moins que les francaises cependant); et la vie y semble relativement facile.

Quelques photos.

Whoop Whoop

2008-02-10T16:19:00.000-05:00

Ce matin, j'avais oublie d'eteindre le reveil. Je me suis donc fait reveiller par Y100, Elvis Duran laissant la place a de la musique le dimanche. La musique qui tournait a cet instant precis etait Calabria 2007 par Enur feat. Natasja. Certains d'entre vous connaissent peut etre la version de Alex Gaudino feat. Crystal Waters. Je vous mets les deux clips et vous laisse jouer au jeu des 10 differences. Et oui, la version de Enur c'est de l'Anglais... et meme apres 1an++ aux USA, je capte pas grand chose.

Enur feat. Natasja

Alex Gaudino feat. Crystal Waters

Pourquoi Adobe se taisait?

2008-02-08T16:12:00.001-05:00

J'avais la reponse a cette question mais je n'ai rien dit. Maintenant c'est public:

http://www.adobe.com/support/security/advisories/apsa08-01.html

"Acrobat and Adobe Reader 7.0.9 and earlier versions are also affected by these vulnerabilities. Adobe will provide further information as to the nature of the vulnerabilities via the company's Security Bulletins and Advisories page (http://www.adobe.com/support/security/) once updates are available for all affected versions of Acrobat and Adobe Reader. "

En gros la branche 7 etait pas patchee mais vulnerable... Elle ne l'est toujours pas puisque leur solution est de passer a la 8.1.2. C'est stupide. En 2008, si vous sortez un patch, vous aurez suffisamment de personnes qui le decortiqueront dans le monde pour que tout ce que vous fixez soit trouve. Et ca ne sera pas necessairement public. Surtout un stack overflow dans un parametre de fonction, tres 1992AD. Ca merite un award!

Le CERTA a mis a jour son bulletin:
http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-053/index.html

"1 Risque
Exécution de code arbitraire à distance ;
contournement de la politique de sécurité."

Ca meriterait meme une alerte concernant la branche 7.

C'est pour des raisons comme ca ...

2008-02-07T16:17:00.000-05:00

... que je suis passe de l'autre cote:

http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-053/index.html

"1. Risques
Contournement de la politique de securite"

Certes, on pourrait voir l'execution de code distante comme un contournement de politique de securite (LoL comme dirait *). En l'occurence je trouve ca ridicule. Bon le CERTA n'est pas a blamer, il y a 4200 patches par jour, personne n'a les moyen de les analyser tous et d'en deduire ce qui se passe. Donc si l'editeur ne dit pas: "vous allez vous faire rooter", tout le monde se tait. Mais au final, c'est que la reference gouvernementale francaise en matiere de SSI qui se vautre lamentablement. Et entraine sans doute avec elle le reste du pays. Quand vous vivez ca de l'interieur, ca vous degoute un peu.

Ca serait marrant d'envoyer CERTA-2008-AVI-053.pdf un peu modifie a tous les RSSI gouvernementaux. Mais ne vous inquietez pas, je ne me permettrais pas de le faire ...

Putain d'USA

2008-02-07T10:32:00.000-05:00

http://www.miamiherald.com/news/miami_dade/story/409527.html

Donc voila. Ce CVS c'est la ou je vais faire mes courses. C'est a deux blocks du boulot, deux blocks de chez moi. Un peu de geographie:

le CVS
le Flamingo (mon building)
les bureaux d'Immunity, Inc.

South Beach c'est relativement sur, probablement parceque c'est touristique, blinde de riches et de celebrites, mais ca n'empeche visiblement personne de s'entretuer. Merci le second amendement. Sur ce, je vais tacher des faire un peu plus attention aux balles perdues.

Notification de brulure

2008-02-06T08:34:00.000-05:00

J'aime bien les traductions litterales a la con. "Burn Notice" c'est une serie TV dont je n'ai pas encore parle ici. On y retrouve Jeffrey Donovan, l'acteur qui fait le frere du Chameleon dans la serie du meme nom, Bruce Campbell (Evil Dead, Brisco County, etc), et Gabrielle Anwar, avec un accent irlandais que j'adore (en fait je craque completement sur l'accent). Burn Notice, c'est une sorte de tutorial desabuse sur les ficelles de l'espionnage, et ca se passe a Miami. Un peu comme dans Dexter, c'est le "vrai" Miami, pas celui au ciel orange des experts. J'aime bien le second degre, l'espion a la mere trop envahissante, la copine ex-devaliseuse de banque pour l'IRA, le vieil espion a la retraite alcoolique. L'ambiance en general.

Bon sinon coup de gueule du matin, puisque j'en ai souvent. Hier soir, sur mon PC a la maison, XP MCE 2005 a jour de chez jour, DEP OptOut, je me ballade sur un site "safe" pour recuperer des informations sur un truc de Warcraft. Et la, fenetre DEP "L'application Acrobat Reader va etre fermee parcequ'elle a tente de faire un truc pas normal". Et merde. Acrobat 8.1.1, pourtant je me rappelle l'avoir mis a jour recemment. Je sauve le dump memoire, vais verifier le site d'Adobe, et bam, 8.1.2. Apres verification elle etait sortie dans la journee en silence. Analyze du bousin, PDF embarque dans un iframe servi par un site de pubs avec bon stack overflow des familles. IE 7 a meme pas bronche. Dangereux. C'est quoi ce monde ou je ne peux meme plus surfer mes sites de WoW tranquille. Bordel.

UPDATE

LoLPoC @ CANVAS Early Updates
Non seulement je hais Vista, mais je hais Adobe. Cretins.

IPv6 lulz

2008-02-05T15:19:00.000-05:00

MS08-001 MLDv2 BugCheck sur Vista Ultimate

Rien que pour avoir le bugcheck, c'est l'enfer. Je pense qu'il va me falloir une autre vie pour faire un exploit.

Hacked par la femme de menage

2008-02-05T13:00:00.000-05:00

Imaginez que vous ayez sur votre lieu de travail un PC sous Windows en 'Free for All' que tout le monde utilise a des fins de test. Imaginez que vous decouvriez un matin tout un historique de navigation impliquant des MySpace, Yahoo! Mail, et tout un tas de trucs qui pourraient tout aussi bien distribuer des malwares. Imaginez que vous decouvriez que la femme de menage se pense dans un cyber cafe quand le bureau est vide. Imaginez que votre tolerance a ce genre de comportement est nulle et que vous remplaciez l'OS en question par une VM plein ecran avec keylogger et tout le reste. Imaginez que vous recuperiez tout un tas de credentials. Imaginez le potentiel de nuisance que cela vous confererait.

Bon sinon, dans la vraie vie cette fois-ci, Vista, ca s'annonce tendu, je me suis tape l'implementation des queries MLDv2. A cette occasion je me suis rappele Arnaud qui pestait sur les checksums des paquets IPv6 et effectivement j'ai pu avoir un apercu du merdier pour ICMPv6. Le probleme c'est que Vista dans une VMware avec une forte charge CPU ca droppe des paquets comme personne. Champion du monde toutes categories. Je hais Vista. Et cette fois-ci, avec 738 paquets minimum a envoyer, c'est pas gagne.

Ah ouais j'ai 31 ans aujourd'hui, et j'ai l'impression que je n'ai plus ni conscience, ni scrupules.

Et Vista dans tout ca?

2008-02-01T10:05:00.001-05:00

Dans le bulletin original, Microsoft nous annonce que MS08-001 touche aussi sous Vista. Sauf que sous Vista, ce n'est pas IGMPv3 qui declenche le debordement, mais MLDv2. La difference? Alors que l'on devait envoyer des paquets contenant des sources IPv4 (4 octets) distinctes pour IGMPv3, il va falloir envoyer des sources IPv6 distinctes (16 octets). Au final, le MTU restant le meme, ca fait grosso modo 4 fois plus de paquets a envoyer. Le probleme c'est que chaque fois que la pile TcpIp de Windows veut rajouter une IP a la liste chainee, elle parcourt toute la liste pour verifier si l'IP n'y est pas deja. Et quant on veut ajouter 65000+ IP, ca a tendance a peser sur le CPU. Et quand quelque chose pese sur le CPU, la probabilite que des paquets soient droppes augmente.

Pour XP, on envoie environ 180 paquets de 1500 octets. Le CPU monte a 100% (ou 50 si Dual Core) le temps de traiter les paquets (une quinzaine de secondes), et generalement quand le CPU retombe a 0, vous avez le ConnectBack (ou le BugCheck). Et ca, ca veut dire que pour Vista, le nombre d'elements de la liste reste le meme, mais le nombre de paquets va influer sur le taux de succes. Malheureusement je ne peux pas passer mes journees a coder des exploits, il faut aussi faire du "consulting" et autres activites professionnelles hautement remuneratrices, donc l'exploit Vista ne sera pas pret avant un moment. D'autant plus que je ne supporte pas Vista. Mais c'est faisable, sauf suprise de derniere minute.

Tout ca m'amene donc a IPv6. Depuis 2001 et RENATER, on m'a saoule avec IPv6. On est maintenant en 2008 et qu'est-ce qui a change? Rien. Premier remote Vista: IPv6. Je ne peux que m'emerveiller que ce "nouveau " protocole suppose resoudre toutes les problematiques securitaires d'IPv4 soit a l'origine d'une majeure partie des failles des piles et applicatifs reseaux de ces dernieres annees. Personne n'apprend des erreurs passees. Et en tant qu'"utilisateur final", tout ce que je vois d'IPv6 aujourd'hui, c'est plus de facons de me faire rooter. C'est beau le progres.