Wednesday, November 12, 2008

Ma soeur cette heroine

Ma soeur sauve des vies. Et apparemment plutot bien. S'il vous arrive une merde dans la region parisienne, je pense que tomber sur elle lorsqu'elle est de garde aux Urgences est de bon augure. John Carter en serait fier!

Recemment elle m'a donne un article fonde sur sa these a traduire en Anglais. Ce genre de travail est relativement fastidieux dans la mesure ou je ne connais pas grand chose au vocabulaire medical, m'exposant a des inexactitudes ou approximations nuisant au sens du texte. En voici neanmoins un extrait dans sa version originale, suffisamment generique :

Malheureusement, cette présentation inappropriée des résultats ne peut arriver sans la complicité tacite ou active de l’industrie pharmaceutique, des journaux et des investigateurs. L’industrie pharmaceutique cherche à vendre les médicaments qu’elle produit, elle est donc à la recherche de résultats positifs, quitte à biaiser certains critères d’inclusion. Les journaux veulent un scoop et préfèrent publier des résultats positifs. Quant aux investigateurs, ils savent qu’ils ont plus de chances d’être publié si leurs résultats sont eux aussi significatifs.

Je suis fier de ma soeur, empecheuse de tourner en rond de deux ans ma cadette! Ca doit etre genetique.

Halloween a South Beach

Halloween aux USA, c'est de la folie. Au moment ou je suis parti aux USA, cela commencait a s'implanter en France, mais il faudra un temps fou pour atteindre l'effervescente activite d'une nuit d'Halloween aux USA. Tout le monde est deguise. Et lorsque je dis tout le monde, ca inclut les bebes de 3 mois dans leur costume de vache ou d'etoile de mer.

Lincoln Road est la rue pietonne commerciale de South Beach, et un rendez-vous incontournable pour tout evenement de la sorte. Vous l'aurez sans doute vu sans le savoir dans des series ou films se deroulant dans les environs.

Ci-dessous, un petit example (cliquez pour voir le film):

From Halloween 2008

Friday, November 7, 2008

J'ai honte

Aujourd'hui, j'ai honte. Je viens d'enterrer tous mes principes en exploitant un XSS lors d'un pentest pour chopper les cookies des administrateurs de l'application Web. Ca me fait vraiment mal d'en arriver a des extermites de la sorte. Dave est plutot "Whatever it takes to get in", mais la je viens de violer une regle que je m'etais impose depuis bien longtemps. Merde.

Tuesday, November 4, 2008

Adobe Acrobat Madness

Allez, grande demonstration de stupidite:
Tout le monde l'avait cette vulnerabilite, il fallait vraiment etre idiot pour passer a cote (allez question du jour: qui l'avait vu aussi?).

C'est comme un kill de boss post-3.0 dans WoW, ca ne se poste pas tellement c'est nul. Apparemment ca n'a pas arrete grand monde.

Mes felicitations a Adobe pour avoir mis 8 mois a la patcher... Medaille d'or. Prochain post: Halloween a South Beach.

Friday, October 24, 2008

Le bon hacker et le mauvais hacker

Ce mois-ci, c'est le mois de l'"underflow" pour Microsoft. Chose relativement surprenante mais comprehensible puisque les "overflows" sont tous patches depuis belle lurette. Ou pas.

Hier a ete publie en urgence le correctif MS08-067. Touchant une sous fonction de CanonicalizePathName, meme fonction ayant presente la vulnerabilite patchee par Microsoft avec MS06-040. C'est moche. Il y a 42 experts securite chez Microsoft qui ont bosse sur le patch (indice: nombre fictif) et ils n'ont pas vu cette faille juste sous leur nez! Bon allez, je ne les blame pas je ne l'ai pas vu non plus. D'un autre cote je ne bossais pas chez Immunity a l'epoque, mais chez EADS donc necessairement moins de temps a ecrire des exploits (excuse bidon numero 42).

La vulnerabilite est vicieuse. Je vous conseille d'aller jeter un oeil au blog du sieur Sotirov pour voir le reverse de la fonction vulnerable.

Pourquoi donc le mois de l'"underflow"? Avec MS08-062, on avait une copie de buffer debordant devant le buffer et pas derriere, pareil avec MS08-067. C'est nouveau, c'est beau. Le stack cookie est derriere le buffer, donc avec un underflow, on ecrase le stack frame d'une fonction fille et pas le cookie de la fonction ou le buffer est defini, et c'est gagne. Grandiose! Je ne sais pas si c'est tres clair, c'est complique a expliquer.

Apres on peut aller voir le PoC sur milw0rm. Et c'est la qu'on voit le mauvais hacker.
This is because it depends on the state of the stack prior to the "overflow".You need a slash on the stack prior to the input buffer.

Declencher la vulnerabilite est ridiculement facile. Toute la difficulte reside dans la possibilite d'obtenir un '\' unicode a un endroit determine pour que votre "underflow" soit fiable. Cela prend 10min lorsque l'on comprend ce qui se passe, ou apparemment c'est trop complique pour qu'on s'y attarde pour les autres.

Friday, October 17, 2008

Deception

Autant des fois je m'emerveille sur la qualite et la complexite de certains bugs, autant des fois je me demande comment d'autres ont pu survivre jusqu'en 2008.

Et quand je regarde MS08-063, je me demande meme comment ca a pu passer 2001.

Une des fonctions au coeur de SMB, un parametre trop long, une soustraction, un debordement. Et paf le kernel. N'importe quoi. Une vulnerabilite comme ca, je m'en veux de ne pas l'avoir vu plus tot. Encore aurait-il fallu que je regarde le dit driver.

/sigh

Edit: En fait il y a pire avec MS08-059. La fonction RPC s'appelle _SnaRpcServer_RunExecutable et prend 2 chaines de caracteres en parametres. Le service RPC de HIS ecoute sur un port TCP/IP dynamique, pas d'authentification bien sur. Tres 1992.

Tres bon mois!

Thursday, October 16, 2008

Encore un coup des Chinois!

Hacked by Chinese all over again!

Ce Microsoft Tuesday etait plein de bonnes surprises. Tout d'abord Microsoft nous fournit ce mois-ci plethore d'information sur les bugs, soit dans les avis officiels, soit sur le blog de SWI. Cool. Nous avons aussi maintenant le droit a un indice d'exploitabilite des bugs. Cette fois-ci MS n'a plus le droit a l'erreur, ce n'est plus un individu lambda qui va annoncer sur un blog 'Mais non ce n'est pas exploitable, LoL!', c'est une "position officielle".

On pourra s'etonner aussi du fait que l'on trouve une faille reportee par le CERT/CC utilisee dans des attaques "ciblees". Ce n'est pas la premiere fois que cela arrive, neanmoins dans les cas precedents, ce n'etait pas mis en avant de la sorte. On supposera que la vulnerabilite en question a ete trouvee lors d'une session forensique rondement menee par nos amis CERTiens. Bien joue. Ca change du PHP include.

Dans nos HQ miamiens, lorsqu'un truc comme ca arrive, Dave dit que c'est Chinois. Ca pourrait etre Russe ou Indien pour autant qu'on le sache, mais bon, c'est Chinois pour nous. Et c'est plutot bien fait.

La vulnerabilite est saugrenue. Tout d'abord le filtre ISAPI en question n'est accessible que post-authentification. Passe encore. Vous envoyez votre requete IPP en demandant au filtre de venir recuperer des informations sur telle imprimante. Bien evidemment il s'avere que cette imprimante est en fait hebergee dans vos locaux, et puis que ce n'est pas une imprimante du tout mais quelques lignes de python qui simulent un serveur SMB/RPC. Apres avoir initie la connexion et effectue quelques requetes, une des reponses de notre "imprimante" est utilisee n'importe comment par le filtre ISAPI, qui va allouer de la memoire a partir d'un parametre de la reponse en copier des donnes dans le buffer alloue en se fondant sur un autre.

Quelle sale histoire. Un bon heap overflow des familles, mais complexe a mettre en oeuvre, et a trouver... Ils sont forts ces Chinois! Moralite, filtrez le SMB sortant.

Wednesday, October 1, 2008

C'est la rentree!

La rentree c'est cool.

D'abord parce que toutes les series TV reprennent. Avec la greve des scenaristes durant la precedente saison, la plupart des series se sont vu ampute d'une bonne partie de leurs episodes. Chuck a repris Lundi; ce soir, c'est au tour de Pushing Daisies. Bas, eternel amateur de Buffy the Vampire Slayer, me conseille ardamment de regarder True Blood. Quant a Dexter, il est de retour depuis Dimanche dernier. O joie.

La rentree cela veut aussi dire que la temperature a Miami va se calmer un peu, que l'on en a bientot termine avec la saison des ouragans, et que l'on peut se remettre au soleil sans se retrouver couvert de transpiration au bout de 10s. Si tant est que l'on aime ca.

Et puis la rentree, c'est aussi passer quelques jours a Hawaii, et prendre son cafe du Vendredi matin sur Waikiki beach. Trop dure la vie.

Thursday, September 11, 2008

Ca sert d'avoir un blog ...

Et de se moquer des gens dessus ... Microsoft a sorti en Aout un patch pour le "biais" du generateur de cles aleatoires (LoL)du Protected Storage des Windows Francophones devoile sur ce blog.

Merci a monsieur news0ft pour m'avoir transmis l'information.

Curieusement mon petit doigt m'avait remonte il n'y a pas trop longtemps que ce post avait seme un peu le bordel a la DCSSI et chez MS France. Rassurez vous, vous etes de nouveau en securite. Et tout le monde me hait je pense la bas. C'est dommage j'aide mon pays a etre plus sur!

D'apres cette note:
To make sure that the product was available to the French market in a synchronized manner with all locales, Microsoft chose to disable the encryption of Protected Storage by using a single, fixed encryption key for the French locale.

Oui, oui, c'etait pour votre bien. Allez maintenant je vais preparer un challenge de cassage de crypto sur NT 4.0 francais. Toujours pour votre bien hein. C'est dans des moments comme ca que je regrette de ne pas avoir appris la "securite" informatique plus tot. Je me serais tellement amuse en 1998 avec tout cela.

Bon promis ce week end je raconte la rentree a Miami. Les series TV, les ouragans, tout ca.

Thursday, July 24, 2008

Zul'Aman Bear Runs

Si vous voulez voir a quoi ressemble un Bear Run complet, voici les videos que Twenty a capture de nos runs:



Friday, July 18, 2008

Cher Blizzard,

J'ai ete gentil cette annee, j'ai aide beaucoup de personnes a se proteger des mechants hackers du ternet, j'ai beaucoup travaille et je suis alle souvent a la piscine, j'ai paye toutes mes factures. Est-ce que je peux avoir une cle pour la Beta de Wrath of the Lich King?

Merci.

Edit: Allez je rajoute meme que j'audite votre code gratuitement pendant 4 week ends si vous me filez une cle!

Thursday, July 17, 2008

Vegas Baby!

En ce moment je suis a Boston pour deux semaines, ou je fais beneficier un client de mes competences en massacrage de programmes. C'est chouette comme job, vous dites "Vous avez fait de la merde la, la et la. Et la c'est encore pire". Vous developpez les exploits pour prouver que vous ne dites pas de la merde vous-meme, et le client vous dit merci et paye, bien. Tres bien. Boston c'est chouette au passage. J'aime beaucoup les batiments en briques (je suis a Cambridge, MA en fait, juste a cote de Boston) et la population locale. Ca change un peu des greluches en bikinis.

Enfin bon, tout ca pour dire que je vais m'occuper cette annee de la certification NOP d'Immunity a Vegas (Network Offense Professional). Le principe sera de developper un exploit pour un binaire proprietaire en un temps determine sur plateforme Win32. Vous reussissez, tant mieux, vous etes certifie. [troll]Sinon bah vous pouvez toujours tenter le CISSP[/troll]. C'est marrant, tout le monde a plein d'avis differents sur la question, d'apres les posts sur DD. Personnellement je trouve ca amusant. Et puis si vous n'etes pas certifie, ca ne veut pas dire que vous etes un incapable, ca veut juste dire que vous n'etiez pas la.

Vous pourrez me retrouver la-bas, avec soiree au Sapphire comme chaque annee pour profiter des strip-teaseuses locales!

Thursday, July 10, 2008

Garde a vous

Depuis que je vis aux USA, je ne m'interesse que tres peu aux affaires interieures de l'hexagone. Je suis ca de loin quand le temps le permet, lorsqu'une affaire fait la une internationale, ou lorsque le streamer RSS de Gmail me pond un truc qui m'interesse.

J'ai fait mon service nationale bien qu'etant de la derniere "promotion", n'ayant pas opte pour la solution "inscription en universite", j'ai fait mes classes sur la base aerienne 115, et cotoye des gens plus ou moins interessants (plus souvent moins que plus) servant les couleurs de la France. J'ai eu une periode patriotique, rapidement calmee par l'ineptie et la fourberie des gens auxquels j'ai eu a faire (speciale dedicace aux OPJ de la D*T). Les methodes de crevards employees constituent toujours en 2008 une excellente source de rage - tres utile pour le sport.

Et recemment je me suis mis a suivre les peripeties de l'actuel president face au corps militaire francais. Et je rattrappe mon retard. J'avoue que malgre mon experience (aussi courte soit elle) dans le domaine, je suis surpris par l'etendue des dommages. J'apprecie particulierement les articles du Nouvel Observateur sur le sujet. Sur l'affaire du Ponant, je lis:

En panne moteur, l'un des deux avions Bréguet-Atlantic-2 (27 ans d'âge) chargés de surveiller «le Ponant» a failli se crasher en se posant en urgence au Yémen. Les bateaux engagés «sur zone» ont connu quelques problèmes. La frégate «Jean-Bart», âgée de seulement 17 ans, a été victime d'avaries mais a pu être opérationnelle. La frégate «Surcouf» était à Djibouti. En panne. Le porte-hélicoptères «Jeanne-d'Arc» (45 ans d'âge) était en surchauffe moteur. La frégate «Georges-Leygues» (31 ans), victime «de problèmes techniques», n'a pas pu participer à l'opération. Deux hélicoptères Puma (40 ans d'âge), stationnés à Djibouti, étaient en panne, «comme tous les jours». Quant à la barge de débarquement pour les commandos marine, elle a coulé tout simplement à proximité du «Jean-Bart»...


Meme dans un film comique, les scenaristes n'oseraient pas en faire autant!

Les sources:
Article 1
Article 2
Article 3

On a frole le Big One

Je trouve des failles. J'ecris des exploits. Je fais des pentests. Je suis utilisateur de Windows. Je joue a WoW. De quoi ai-je peur? Du vide, comme j'en ai eu une belle confirmation a Singapour, mais au niveau informatique de pas grand chose. Et surtout pas de DNS cache poisoning.

Recemment j'ai failli me faire avoir une fois. Par un 0day Acrobat Reader (cherchez le post dans l'historique du blog). Parcequ'un iframe d'un site de pub legitime (pas redirige par une entree d'un cache DNS) servait joyeusement un PDF verole. Et tout le monde s'en foutait a l'epoque. Pourtant je ne suis pas passe loin. De quoi? Je n'en suis pas sur. D'un formatage de disque probalement (Oh non 1/2 journee de perdue!)

On a eu l'occasion de faire des campagnes de social engineering a Immunity pour des grosses boites US, avec montage de site bidon, etc: taux de reussite de 10% en envoyant des emails aux employes et en leur demandant de rentrer leur user/password sur le site.info a la place du site.com. Pas besoin de cache poisoning.

Les 0days serverside exploitables sur des Windows 2003 SP2 sur des ports non filtres ca existe. Est-ce que ca sera la fin du monde lorsqu'ils seront exploites a grande echelle? Pas plus que ca ne l'a ete pour Code Red. Un exploit qui root un Firefox <= 2.0.0.14 sans sourciller sur un Windows XP SP3, on a (cf. Early Updates). Tant pis pour les gens qui chient en permanence sur IE, j'espere qu'ils font tourner un anti-rootkit regulierement. Et ca ne change rien pour Internet.

Le "Big One", ca me fait grincer des dents. La mediatisation on en fait aussi a Immunity, ca fait vendre du produit. Mais la ca depasse mes capacites d'assimilation.

Wednesday, July 9, 2008

Les loleries du renseignement francais

Article du Nouvel Observateur:
Sarkozy lance la DST aux trousses des militaires

Continuez les mecs, vous devriez avoir votre place au betisier 2008.

DNS

Pareil que Sid.

Je vais juste rajouter qu'une fois de plus un maitre de l'escroquerie a reussi a faire monter la mayonnaise. C'est vraiment nul, les journalistes sont stupides. Article du Figaro. Quand je lis des trucs comme ca j'ai envie de changer de metier. Genre elever des moutons. Faire tueur a gages. Ouaip tueur a gages c'est mieux. J'ai vu Wanted hier soir, et ca donne envie. Prochaine activite prevue avec Bas & Rocky, le shooting range. Un des avantages des Etats-Unis...

Edit: certaines personnes pensent qu'il serait deraisonnable de mettre un semi-automatique charge dans mes mains. Avis?

Monday, June 23, 2008

Series TV

Un petit lien sur une entree d'un blog qui vaut le detour:
http://seriestv.blog.lemonde.fr/2008/06/22/cinq-videos-dramatiques-remarquables/

Le blog lui meme est une tres bonne source d'information.

Maintenant, on pourra s'interroger sur le fait qu'une personne vivant en France puisse avoir acces a toutes les series diffusees aux US en "temps reel". Y compris les PreAir. Hmmm. Ou alors sur la concordance entre la mise a disposition des torrents des episodes en question et leur commentaire (http://seriestv.blog.lemonde.fr/2008/06/21/prettyhandsome-le-melange-des-sexes/ le 21/06 http://xxx.yyy.it/Pretty.Handsome.S01E01.PREAiR.DVDSCR.XviD-MEDiEVAL.%5Beztv%5D.torrent le 20/06) :) Visiblement la loi n'est pas la meme pour tout Le Monde (<= jeu de mots) ...

Friday, June 13, 2008

Francaises, Francais, time to bend over!

Desole, pas trop eu l'occasion de mettre le blog a jour recemment (question de flemme sans doute). Bon cette entree a pour but de relever un truc marrant sous Windows. J'ai bosse sur MS08-034, l'elevation de privilege locale sur le serveur WINS, et c'etait plutot marrant a faire. La socket de notification est en ecoute sur 127.0.0.1, vous lui envoyez de la merde, vous avez un write4, gagne.

Bon le truc c'est que l'idee du correctif adoptee par Microsoft est plutot pas mal. On chiffre les donnees avec CryptProtectData, on les envoie, puis le serveur dechiffre avec CryptUnprotectData, et voila. Vu que seul l'utilisateur qui a chiffre peut dechiffrer, ca assure que seul LOCALSYSTEM puisse communiquer sur la socket, probleme regle.

D'ou l'idee d'aller regarder ce qui se passe au niveau de la fonction de chiffrement. J'aime bien la crypto, mais je n'ai jamais passe trop de temps sur la crypto de Windows en soi. Plus sur les programmes tierce partie. Je me ballade donc dans les DLLs associees, lsasrv.dll, cryptsvc.dll, psbase.dll, tout ca. Je tombe sur le morceau de code suivant:

call esi ; LocalAlloc(x,x) ; LocalAlloc(x,x)
test eax, eax
mov [ebx], eax
jz loc_743CB422
push dword ptr [edi]
push eax
call
_SystemFunction036@8 ; SystemFunction036(x,x)
test al, al
jz loc_743CB412
call
?FIsEncryptionPermitted@@YGHXZ ; FIsEncryptionPermitted(void)
test eax, eax
jnz short loc_743CB387
mov eax, [ebx]
mov dword ptr [eax],
6D8A886Ah
mov eax, [ebx]
mov dword ptr [eax+
4], 4EAA37A8h
loc_743CB387: ; CODE XREF: FMyEncryptKeyBlock(ushort const *,ushort const *,uchar * const,uchar * *,ulong *,_DESKey *,_DESKey *)+97j
push dword ptr [ebx] ; unsigned __int8 *
push [ebp+var_DC] ; struct _DESKey *
call ?FMyMakeDESKey@@YGHPAU_DESKey@@PAE@Z ; FMyMakeDESKey(_DESKey *,uchar *)


Marrant ca. La fonction SystemFunction036 est un generateur pseudo aleatoire fort, mais si le chiffrement n'est pas autorise, alors les donnees utilisees pour la cle DES ne sont plus aleatoire mais hardcodees. Regardons donc la fonction en question:

call ds:__imp__GetSystemDefaultLCID@0 ; GetSystemDefaultLCID()
cmp ax,
40Ch
jz loc_743C524E
loc_743C1599:
; CODE XREF: FIsEncryptionPermitted(void)+3CEFj
push 0Ah ; cchData
lea ecx, [ebp+var_10]
push ecx
; lpLCData
push LOCALE_ICOUNTRY ; LCType
push eax ; Locale
call ds:__imp__GetLocaleInfoA@16 ; GetLocaleInfoA(x,x,x,x)
test eax, eax
jz loc_743C525A
loc_743C15B0:
; CODE XREF: FIsEncryptionPermitted(void)+3CFAj
push offset a33 ; "33"
lea eax, [ebp+
var_10]
push eax
; lpString1
call ds:__imp__lstrcmpA@8 ; lstrcmpA(x,x)


Le LCID 0x40c est le francais, le country code 33 est pour la France. Et ca provient d'un XP SP2 a jour.

Heureux possesseurs de Windows Francophones, il semblerait que certaines fonctions cryptographiques de votre OS (pas toutes, rassurez vous) vous propose 32768 fois moins d'entropie qu'un OpenSSH sous Debian.

Friday, May 16, 2008

Cyber guerre!!

Ou pas.
http://blogs.lexpress.fr/virtuel/2008/05/le_site_de_lambassade_de_franc.html
Allez c'est vendredi. On ne s'enerve pas le vendredi. En plus ya Prince Caspian ce soir. Allez.

Thursday, May 15, 2008

Et le talent dans tout ca?

Je m'emerveille toujours de l'absence totale de reflexion apportee dans le milieu de la securite face a des problemes comme celui recent de OpenSSH sous Debian/Ubuntu. Aussi bien du cote des developpeurs, que du cote des journalistes (With the Quickness: HD Moore sets new land speed record with exploitation of Debian/Ubuntu OpenSSL flaw).

Pour "l'exploit" (grincement de dents), il suffit de generer 32768 cles pour les differents algorithmes possibles et longueurs de cles. Trop dur. Tres 2000 comme technique. Et le sieur HDM, il ne s'est pas fait suer a reimplementer la generation de la cle, il s'est just contente d'une bibliotheque falsifiant le pid et de 31 xeons. Et le plus deprimant, c'est que ca marchera mieux que tous les overflows imaginables, car totalement independant de l'architecture, de la version, etc (modulo la presence de la vulnerabilite).

Le talent et la reflexion, c'est tres surfait au final.

Wednesday, May 7, 2008

La vie d'un hackeur dans Le Monde

http://www.lemonde.fr/technologies/article/2008/05/07/marc-maifret-la-drole-de-vie-d-un-hacker-ethique_1041848_651865.html#ens_id=1025210

"LEMONDE.FR | 07.05.08 | 11h49 • Mis à jour le 07.05.08 | 13h37"

Le lecteur attentif remarquera l'heure de mise a jour.

Wednesday, April 30, 2008

Les AV, c'est a chier

Et non amis WoW-iens anglophones, je ne parle pas d'Alterac Valley ce coup-ci. Mais des antivirus. A Defcon cette annee aura lieu le 'Race to Zero', je n'ai pas trop suivi mais Dave a tente de m'expliquer ca rapidement: il s'agirait de contourner des batteries d'AV en modifiant des virus connus tout en les conservant executables. Les equipes gagnent des points par virus passant les detections, tout ca. Libre a vous de verifier, la maintenant j'ai la flemme.

En soi, ca ne m'a pas l'air trop complique, et la presse va sans doute faire tout un battage mediatique sur l'inutilite des antivirus une fois les 42 premiers virus modifies avec succes. Genre. Je me ficherai bien de tout cela si ca n'avait provoque une reaction en chaine dans le milieu de la protection ("LoL") anti-virale. Tous les editeurs savent pertinemment qu'ils vont se faire exploser joyeusement, a plusieurs reprises pendant quelques jours, et ca les inquiete un peu.

Et c'est dans ces moments la qu'on peut voir a quel point ces gens la sont pathetiques:
  • Entree dans le blog de McAfee Avert Labs
  • Article de geek.com avec des citations a se faire dessus de Trend Micro et AVG
  • et probablement beaucoup d'autres prochainement
Un bel exemple de "fail" encore une fois. Messieurs les editeurs d'AV, il vous reste 3 mois pour ameliorer vos produits, ou vous mettre a genou et pleurer en disant que c'est vraiment trop injuste calimero-style.

Cretins.

Thursday, April 17, 2008

Detecter l'escroc

Quand on lit le papier de Dowd (cf. entree precedente), et que l'on est technique, on pense comprendre ce qui se passe. Certains y arrivent tres bien, d'autres comprennent les choses a moitie et surfent sur la vague pour essayer d'en tirer un soupcon de renommee, mais en racontant des conneries.

J'ai en tete un post de monsieur Ptacek sur le blog de Matasano, a la fin de ce dernier on peut lire:
First, even though IE and Firefox use different Flash builds, the addressing inside them is compatible. The exploit works in both places.
Bon certes le monsieur a des connaissances techniques (ou pas), mais clairement son post est une escroquerie. Je vais me concentrer uniquement sur cette phrase la, les lecteurs avises pourront noter d'autres anneries tout au long de l'article.

J'ai fini l'exploit sous IE, ca marche impec, XP SP2, SP3rc2, Vista, cool. Maintenant je regarde Firefox. On est plus sous flash9[d,e].ocx mais dans npswf32.dll. "Compatible addressing"? Ca semble louche. Et effectivement le tableau AS3_argmask n'est pas du tout au meme endroit. On peut voir dans le commentaire de Mark au sujer de ce post:

1. Address you need to overwrite (location of AS3_argmask)
...

Issue #1 could possibly cause problems, but hey - exploiting both browsers at once worked out alright by doing multiple overwrites, so you could probably do multiple overwrites to address different versions of Flash also. But, I have never confirmed this, so I can’t be sure.

Et voila la solution. Il suffit de faire plusieurs overwrite differents, histoire de remplacer le mask de l'opcode marker pour IE et Firefox, le reste des constantes utilisees etant des offsets relatifs, donc pas de soucis pour cela. Plusieurs SWF sans bytecode ne crasheront pas le browser si vous faites suffisamment attention, puis un final avec le bytecode non-verifie permettra d'executer votre shellcode.

Escroc.

Groovy Week End

Ca y est, j'ai recu mes tickets pour le Bacardi B-Live'08. La meteo s'annonce clemente (comprendre 27degC et ciel relativement bleu). Le concert sera streame en live sur myspace.com/blivemiami si l'on en croit le site officiel de l'evenement http://www.bacardi.com/#/us/en-us/blive_miami_08/. Au programme, Dave Navarro (un habitue), Cedric Gervais, Deep Dish, et Groove Armada! Et surtout des Mojitos a ne plus savoir qu'en faire.

Wednesday, April 16, 2008

Le Duke *

S'emerveiller devant une faille et un exploit se fait rare de nos jours. Il n'y a pas grand chose de nouveau, et on finit toujours avec les memes primitives de bugs et des exploits dont le principe est toujours le meme. Alors quand je dois ecrire l'exploit pour une faille comme celle recemment publiee pour Flash par ISS, je suis heureux.

Le papier de Mark "Duke" Dowd est une perle. Un contenu exact de A a Z, une approche novatrice pour une primitive de bug pas necessairement evidente a exploiter (ecrire 4 octets pas entierement controlables a une addresse multiple de 12 pour simplifier). Ecrire son bytecode AS3 non verifie pour prendre le controle de EIP, c'est marrant. "Exciting and Dynamic" comme dirait Runara.

Bien que le papier soit hyper detaille (ca change des merdes usuelles), il reste pas mal de boulot a un neophite de Flash pour ecrire l'exploit. Quelques heures passees sur les formats SWF et les blobs ABC auront suffit pour satisfaire les exigences de Flash et de sa VM.

Au final, pas la meilleure faille du monde (DEP OptOut introduit une complexite non couverte par le papier de Duke), mais probablement l'exploitation la plus interessante sur laquelle j'ai pu travailler.

* Reference a The Big Lebowski meme si en VO il s'agit du 'Dude' et non du Duc ou Duke, et meme si le sieur Dowd n'a rien a voir avec.

Sunday, April 13, 2008

De retour de SF

Et voila, RSA 2008 c'est fini. C'est le genre de conference dans laquelle il ne serait pas bon de lacher un Ruff, je pense qu'il y avait plus de goodies qu'un etre humain puisse gerer. Ma performance de ce cote a ete relativement decevante, je me suis contente de devaliser le stand de la NSA, cela fait toujours bien de laisser trainer un bloc note de la dite agence dans son appartement. Quelques photos ont ete ajoutees sur le Picasaweb.

Cote personnes, j'ai pu trainer avec les suspects usuels (cf. Photos). San Francisco est decidement une ville tres appreciable.

Tuesday, April 8, 2008

If you're going to San Francisco

Helas non, je n'ai pas de fleurs de les cheveux. Je ne sais pas si c'est faute de fleurs, ou de cheveux. Enfin voila, San Francisco est mon etape de la semaine. La conference RSA 2008 s'y deroule, et Immunity, Inc. y sera represente par Justine, Sinan et moi meme. Si vous etes dans le coin passez me dire bonjour! Vous aurez le droit a une demonstration de Silica :)

A defaut de fleurs, un gros coeur (promis je remets des tetes de mort des que j'en trouve):

Les habitues reconnaitront le dos d'Halvar a droite!

D'apres les News, la flamme olympique devrait passer dans le coin sous peu une fois qu'elle aura quitte Paris ... A suivre.

Je mettrais les photos au fur et a mesure ici:
http://picasaweb.google.com/kostya.kortchinsky/SanFrancisco/

Tuesday, April 1, 2008

Ultra Music Festival, day 2

Et voila, Samedi c'etait le deuxieme et dernier jour de l'Ultra Music Festival. Ma foi, j'ai ete encore surpris. La scene Carl Cox & Friends blindee pour Fedde Legrand et David Guetta. J'ai passe 2h tout devant pour le mix de David Guetta, avec Carl Cox qui a fait la transition quand Moby a commence... Ca fait bizzare le grand black baraque a cote du freluquet pale a lunettes :) Avec Guetta et sa coupe beau gosse blond au milieu. Enur etait de la partie, Ferry Corsten, Sander Van Doom. Bref le bonheur pour un amateur de house et autres musiques electroniques.

Les photos:
http://picasaweb.google.com/kostya.kortchinsky/Ultra08Day2

Friday, March 28, 2008

Ultra Music Festival, day 1


Un an et demi que je suis a Miami, et j'ai deja rate les deux editions precedents pour cause de voyages professionnels ou autre. Cette fois-ci j'avais tout prevu pour etre la, et ma foi je suis relativement surpris de mon premier Ultra. Les musiques electroniques ne representent qu'une part de marche ridicule aux USA, et pourtant Ultra regroupait beaucoup de monde pour un Vendredi, et pas mal de connaisseurs. Sur la scene Amnesia, le public acclamait Robbie avant qu'il ne se mette a mixer... je ne le pensais pas connu de ce cote de l'Atlantique.

J'ai commence la journee vers 17h, j'ai pu voir entre autres The Crystal Method, Eric Prydz, Robbie Rivera, Tiesto (je ne suis pas reste jusqu'au bout).

Photos et videos du premier jour:
http://picasaweb.google.com/kostya.kortchinsky/Ultra08Day1

Ca continue demain!

Monday, March 24, 2008

The Guild (attention: WoW inside)

Comme tout le monde doit la savoir maintenant, je joue a WoW. J'etais a temps complet dessus a la sortie de Burning Crusade histoire d'arriver niveau 70, j'ai raide comme un tare 5 jours par semaine, 6h par soir, pendant 3 mois, jusqu'a atteindre Black Temple et Hyjal Summit en Juin (classe dans les 100 premieres guildes mondiales), puis j'ai tout lache parceque c'etait vraiment trop prenant.

J'ai recommence en Novembre avec un rythme plus leger, et finalement j'y trouve mon compte. Beaucoup moins de raids, beaucoup moins de temps passe, une guilde cool avec des gens pour qui WoW ne represente pas 80% de leur journee, et qui savent jouer. Certains ont meme un vrai boulot! J'ai recommence tout SSC et TK depuis le debut, et apres quelques mois, me revoici enfin au niveau de progression ou j'avais laisse le jeu, et j'ai pu voir Archimonde pour la premiere fois hier soir.

Kill de Azgalor, leade par K!

Bon le jeu c'est de me trouver sur le precedent screenshot!

The Guild, c'est une petite serie qui conte les aventures IRL de quelques joueurs de WoW, c'est drole, d'autant plus lorsque vous realisez a quel point c'est proche de la realite:
http://www.watchtheguild.com/episodes/

Wednesday, March 19, 2008

New-York, New-York

Et voila, mes deux semaines de consulting dans la Grand Pomme touchent a leur fin. Ce fut ma foi fort interessant, en particulier puisque j'ai pu vivre l'affaire Bear Sterns depuis l'interieur d'un des acteurs. Et ce genre de choses, ca ne s'imagine que difficilement. Je mettrai quelques photos de la ville en ligne une fois rentre ce week-end, mais pas trop eu le temps de faire du tourisme cette fois ci.

Au cas ou vous n'auriez pas suivi l'histoire, il suffit de regarder le cours de l'action NYSE:BSC sur une semaine autour du 17 Mars 2008:
http://finance.google.com/finance?q=NYSE%3ABSC

Dans la serie LoL:
http://securitywatch.eweek.com/disaster_planning/hannaford_data_breach_the_security_vendor_conundrum.html

Friday, March 7, 2008

Il y a vraiment des cretins sur cette planete

CANVAS des fois, ca ne marche pas. Il y a une merde, un module qui crashe, quelque chose qui ne va pas. Lorsque cela arrive, on envoie un mail a 'support a immunityinc.com', et on attend que quelqu'un fixe le merdier. 80% des requetes recues proviennent de personnes qui ne comprennent pas qu'il faut Gtk Et pyGtk pour que cela marche. Passe encore. Et des fois on a des requetes avec un Crash.log qui contient des trucs du style:
module 'MOSDEF.atandtparse' from 'C:\Documents and Settings\OrphousV\桌面\Immunity.Canvas.v5.0.RETAIL-UNiQUE\Immunity.Canvas.v5.0.RETAIL-UNiQUE\UNiQUE\Imunity canvas\MOSDEF\atandtparse.py'
module MOSDEF.atandtscan:
module 'MOSDEF.atandtscan' from 'C:\Documents and Settings\OrphousV\桌面\Immunity.Canvas.v5.0.RETAIL-UNiQUE\Immunity.Canvas.v5.0.RETAIL-UNiQUE\UNiQUE\Imunity canvas\MOSDEF\atandtscan.py'
Des fois je m'emerveille des niveaux de stupidite atteints par les habitants de cette planete.

Friday, February 29, 2008

Bacardi B-Live 2008!

Et voila, nouvelle edition du Bacardi B-Live a Miami, l'annee derniere on avait eu droit a Paul Oakenfold accompagne de l'orchestre philharmonique de Miami, entrees gratuites, Bacardi Mojitos a gogo (payants par contre). Cette annee meme recette, avec Groove Armada au Bayfront Park!


I see you baby, shakin' that ass!

Wednesday, February 27, 2008

Tuesday, February 26, 2008

Electro

Miami est une reference pour la musique electronique aux USA. Tous les ans se deroule le Ultra Music Festival sur deux jours, avec une liste d'invites assez impressionante. J'y serai cette annee, au programme:
  • Tiesto
  • Moby
  • Underworld
  • Eric Prydz
  • Paul Van Dyk
  • Carl Cox
  • David Guetta
  • Robbie Rivera
  • et beaucoup d'autres!
Tres tres bon tout ca!

The World Needs More Canada

Je reviens de 10 jours a Ottawa, et j'adore toujours le Canada.

Entre Vancouver, Montreal, Toronto et Ottawa, je n'ai jamais ete decu. Au niveau climat, j'ai eu le droit a un bon -10degC, certains jours sous un ciel bleu exceptionnel, d'autres dans des tempetes de neige redoutables. Lorsqu'un manteau neigeux immacule couvre les rues et les toits, qu'aucun nuage ne vient perturber la monochromie celeste, tout est beau. Peut-etre parceque cela me change des palmiers. Les canadiens sont courtois, sympathiques, se deplacent en patins a glace sur le canal gele; les canadiennes ont nettement plus de classe que les americaines (toujours moins que les francaises cependant); et la vie y semble relativement facile.

Quelques photos.

Sunday, February 10, 2008

Whoop Whoop

Ce matin, j'avais oublie d'eteindre le reveil. Je me suis donc fait reveiller par Y100, Elvis Duran laissant la place a de la musique le dimanche. La musique qui tournait a cet instant precis etait Calabria 2007 par Enur feat. Natasja. Certains d'entre vous connaissent peut etre la version de Alex Gaudino feat. Crystal Waters. Je vous mets les deux clips et vous laisse jouer au jeu des 10 differences. Et oui, la version de Enur c'est de l'Anglais... et meme apres 1an++ aux USA, je capte pas grand chose.

Enur feat. Natasja

Alex Gaudino feat. Crystal Waters

Friday, February 8, 2008

Pourquoi Adobe se taisait?

J'avais la reponse a cette question mais je n'ai rien dit. Maintenant c'est public:

http://www.adobe.com/support/security/advisories/apsa08-01.html

"Acrobat and Adobe Reader 7.0.9 and earlier versions are also affected by these vulnerabilities. Adobe will provide further information as to the nature of the vulnerabilities via the company's Security Bulletins and Advisories page (http://www.adobe.com/support/security/) once updates are available for all affected versions of Acrobat and Adobe Reader. "

En gros la branche 7 etait pas patchee mais vulnerable... Elle ne l'est toujours pas puisque leur solution est de passer a la 8.1.2. C'est stupide. En 2008, si vous sortez un patch, vous aurez suffisamment de personnes qui le decortiqueront dans le monde pour que tout ce que vous fixez soit trouve. Et ca ne sera pas necessairement public. Surtout un stack overflow dans un parametre de fonction, tres 1992AD. Ca merite un award!

Le CERTA a mis a jour son bulletin:
http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-053/index.html

"1 Risque
Exécution de code arbitraire à distance ;
contournement de la politique de sécurité."

Ca meriterait meme une alerte concernant la branche 7.

Thursday, February 7, 2008

C'est pour des raisons comme ca ...

... que je suis passe de l'autre cote:

http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-053/index.html

"1. Risques
Contournement de la politique de securite"

Certes, on pourrait voir l'execution de code distante comme un contournement de politique de securite (LoL comme dirait *). En l'occurence je trouve ca ridicule. Bon le CERTA n'est pas a blamer, il y a 4200 patches par jour, personne n'a les moyen de les analyser tous et d'en deduire ce qui se passe. Donc si l'editeur ne dit pas: "vous allez vous faire rooter", tout le monde se tait. Mais au final, c'est que la reference gouvernementale francaise en matiere de SSI qui se vautre lamentablement. Et entraine sans doute avec elle le reste du pays. Quand vous vivez ca de l'interieur, ca vous degoute un peu.

Ca serait marrant d'envoyer CERTA-2008-AVI-053.pdf un peu modifie a tous les RSSI gouvernementaux. Mais ne vous inquietez pas, je ne me permettrais pas de le faire ...

Putain d'USA

http://www.miamiherald.com/news/miami_dade/story/409527.html

Donc voila. Ce CVS c'est la ou je vais faire mes courses. C'est a deux blocks du boulot, deux blocks de chez moi. Un peu de geographie:
South Beach c'est relativement sur, probablement parceque c'est touristique, blinde de riches et de celebrites, mais ca n'empeche visiblement personne de s'entretuer. Merci le second amendement. Sur ce, je vais tacher des faire un peu plus attention aux balles perdues.

Wednesday, February 6, 2008

Notification de brulure

J'aime bien les traductions litterales a la con. "Burn Notice" c'est une serie TV dont je n'ai pas encore parle ici. On y retrouve Jeffrey Donovan, l'acteur qui fait le frere du Chameleon dans la serie du meme nom, Bruce Campbell (Evil Dead, Brisco County, etc), et Gabrielle Anwar, avec un accent irlandais que j'adore (en fait je craque completement sur l'accent). Burn Notice, c'est une sorte de tutorial desabuse sur les ficelles de l'espionnage, et ca se passe a Miami. Un peu comme dans Dexter, c'est le "vrai" Miami, pas celui au ciel orange des experts. J'aime bien le second degre, l'espion a la mere trop envahissante, la copine ex-devaliseuse de banque pour l'IRA, le vieil espion a la retraite alcoolique. L'ambiance en general.

Bon sinon coup de gueule du matin, puisque j'en ai souvent. Hier soir, sur mon PC a la maison, XP MCE 2005 a jour de chez jour, DEP OptOut, je me ballade sur un site "safe" pour recuperer des informations sur un truc de Warcraft. Et la, fenetre DEP "L'application Acrobat Reader va etre fermee parcequ'elle a tente de faire un truc pas normal". Et merde. Acrobat 8.1.1, pourtant je me rappelle l'avoir mis a jour recemment. Je sauve le dump memoire, vais verifier le site d'Adobe, et bam, 8.1.2. Apres verification elle etait sortie dans la journee en silence. Analyze du bousin, PDF embarque dans un iframe servi par un site de pubs avec bon stack overflow des familles. IE 7 a meme pas bronche. Dangereux. C'est quoi ce monde ou je ne peux meme plus surfer mes sites de WoW tranquille. Bordel.

UPDATE

LoLPoC @ CANVAS Early Updates
Non seulement je hais Vista, mais je hais Adobe. Cretins.

Tuesday, February 5, 2008

IPv6 lulz

MS08-001 MLDv2 BugCheck sur Vista Ultimate

Rien que pour avoir le bugcheck, c'est l'enfer. Je pense qu'il va me falloir une autre vie pour faire un exploit.

Hacked par la femme de menage

Imaginez que vous ayez sur votre lieu de travail un PC sous Windows en 'Free for All' que tout le monde utilise a des fins de test. Imaginez que vous decouvriez un matin tout un historique de navigation impliquant des MySpace, Yahoo! Mail, et tout un tas de trucs qui pourraient tout aussi bien distribuer des malwares. Imaginez que vous decouvriez que la femme de menage se pense dans un cyber cafe quand le bureau est vide. Imaginez que votre tolerance a ce genre de comportement est nulle et que vous remplaciez l'OS en question par une VM plein ecran avec keylogger et tout le reste. Imaginez que vous recuperiez tout un tas de credentials. Imaginez le potentiel de nuisance que cela vous confererait.

Bon sinon, dans la vraie vie cette fois-ci, Vista, ca s'annonce tendu, je me suis tape l'implementation des queries MLDv2. A cette occasion je me suis rappele Arnaud qui pestait sur les checksums des paquets IPv6 et effectivement j'ai pu avoir un apercu du merdier pour ICMPv6. Le probleme c'est que Vista dans une VMware avec une forte charge CPU ca droppe des paquets comme personne. Champion du monde toutes categories. Je hais Vista. Et cette fois-ci, avec 738 paquets minimum a envoyer, c'est pas gagne.

Ah ouais j'ai 31 ans aujourd'hui, et j'ai l'impression que je n'ai plus ni conscience, ni scrupules.

Friday, February 1, 2008

Et Vista dans tout ca?

Dans le bulletin original, Microsoft nous annonce que MS08-001 touche aussi sous Vista. Sauf que sous Vista, ce n'est pas IGMPv3 qui declenche le debordement, mais MLDv2. La difference? Alors que l'on devait envoyer des paquets contenant des sources IPv4 (4 octets) distinctes pour IGMPv3, il va falloir envoyer des sources IPv6 distinctes (16 octets). Au final, le MTU restant le meme, ca fait grosso modo 4 fois plus de paquets a envoyer. Le probleme c'est que chaque fois que la pile TcpIp de Windows veut rajouter une IP a la liste chainee, elle parcourt toute la liste pour verifier si l'IP n'y est pas deja. Et quant on veut ajouter 65000+ IP, ca a tendance a peser sur le CPU. Et quand quelque chose pese sur le CPU, la probabilite que des paquets soient droppes augmente.

Pour XP, on envoie environ 180 paquets de 1500 octets. Le CPU monte a 100% (ou 50 si Dual Core) le temps de traiter les paquets (une quinzaine de secondes), et generalement quand le CPU retombe a 0, vous avez le ConnectBack (ou le BugCheck). Et ca, ca veut dire que pour Vista, le nombre d'elements de la liste reste le meme, mais le nombre de paquets va influer sur le taux de succes. Malheureusement je ne peux pas passer mes journees a coder des exploits, il faut aussi faire du "consulting" et autres activites professionnelles hautement remuneratrices, donc l'exploit Vista ne sera pas pret avant un moment. D'autant plus que je ne supporte pas Vista. Mais c'est faisable, sauf suprise de derniere minute.

Tout ca m'amene donc a IPv6. Depuis 2001 et RENATER, on m'a saoule avec IPv6. On est maintenant en 2008 et qu'est-ce qui a change? Rien. Premier remote Vista: IPv6. Je ne peux que m'emerveiller que ce "nouveau " protocole suppose resoudre toutes les problematiques securitaires d'IPv4 soit a l'origine d'une majeure partie des failles des piles et applicatifs reseaux de ces dernieres annees. Personne n'apprend des erreurs passees. Et en tant qu'"utilisateur final", tout ce que je vois d'IPv6 aujourd'hui, c'est plus de facons de me faire rooter. C'est beau le progres.

Wednesday, January 30, 2008

Houla, c'est un bon jour!

http://securitywatch.eweek.com/microsoft_windows/microsoft_adds_new_antiexploit_apis_into_windows.html

"* If you support DEP but want to allow customers to disable DEP if there are serious compatibility issues, then this is the API to use because the argument can be a configuration option."

Prediction pour 2008: SetProcessDEPPolicy() adresse de reference pour les ret2libc sous Windows.

Lien original d'un blog de MS:
http://blogs.msdn.com/michael_howard/archive/2008/01/29/new-nx-apis-added-to-windows-vista-sp1-windows-xp-sp3-and-windows-server-2008.aspx

Merci Microsoft, depuis le temps que je demandais cette 'feature'.

Allez, essaie encore

http://www.silicon.fr/fr/news/2008/01/30/microsoft_a_t_il_sous_evalue_le_risque_lie_a_une_vulnerabilite__

Je cite:
"Symantec a découvert qu'une vulnérabilité jugée moyenne par Microsoft était en réalité bien plus dangereuse..."

"Des ingénieurs américains ont d'ailleurs publié une démonstration en flash afin de procéder à l'exploitation du bug. La POC publiée par les chercheurs n'est pas fiable à 100% mais fonctionne. La rédaction de silicon.fr ne souhaite pas communiquer le lien vers la démo pour des raisons de sécurité."

Ca me fait rire. Symantec n'a pas acces a l'exploit publie, donc le seul moyen pour eux de dire quelque chose est de se baser sur notre film flash. Je pense que c'est la tout le coeur du business de la securite: un patch sort, on cree un exploit, et Symantec monte le tout en sauce histoire de vendre plus. Tout le monde y trouve son compte? Sans doute. Y compris l'auteur de l'article (et nous).

Ensuite je ne suis pas americain (encore). Juste expatrie parceque tout le monde en France se fout d'avoir un exploit pour un kernel pool overflow remote defaut (sauf s'il est gratuit). Remarquez, dit comme ca c'est pas super sexy. Enfin, eviter de donner un lien vers une demo Flash, c'est cretin, j'envoie pas mes paquets IGMP depuis un SWF.

"Cette faille peut être exploitée à distance" précise le groupe dans une note. "L'exploit fonctionne même contre Windows XP SP2 et il est capable d'éteindre un pare-feu." CHAUD!

Tuesday, January 29, 2008

C'etait pas gagne...

Et voila, MS08-001 c'est du passe. J'y ai passe des heures, mais au final l'exploit rend bien, comme le montre le SWF sur le site d'Immunity, Inc. L'ensemble est curieusement fiable, on va dire de l'ordre de 90% de reussite si tous les paquets sont arrives, et dans l'ordre. Il se peut que le Pool soit un peu bordelique, ce qui peut mener a un BugCheck 0x19 (Pool Corruption).

L'exploit marche sur un XP SP2 defaut firewalle (DEP OptIn), il me reste a porter les offsets pour differentes autres versions que je pourrais trouver, et bosser un peu sur Vista.

Finalement l'encodeur s'est revele trivial (merci Dave), le write4 pas tres complique. La difficulte residait dans la decouverte d'un moyen fiable de localiser le shellcode en memoire, et surtout dans l'assainissement du Kernel Pool. Ca m'a bien fait chier.

Mais bon comme le montre la video, on obtient autant de ConnectBack que de machines vulnerables sur la meme branche reseau :) Elite! Et bon, d'apres les tests ca passe meme avec des adresses IP unicast, modulo le fait que les routeurs ne droppent pas les paquets.

Au passage c'etait mon premier exploit remote kernel! Je suis bien content...

UPDATE

Un peu de media whoring (c) Dave:
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9060118&intsrc=hm_list
http://blogs.zdnet.com/security/?p=840
http://securitywatch.eweek.com/microsoft_windows/exploit_released_for_unexploitable_windows_worm_hole_1.html

UPDATE

Nouvelle version de la capture Flash:
http://www.immunityinc.com/documentation/ms08_001.html
Cette fois-ci avec Screengrab, ca root un XP Pro SP2 US defaut et un XP Home SP2 FR defaut avec la meme attaque ( et ca passe meme le Firewall (c) Je ne sais plus). Trop bon!

Friday, January 18, 2008

Premier remote defaut XP SP2 (et ca passe meme le Firewall)

Putain j'y ai passe du temps:

TRAP_FRAME: XXXXXXXX -- (.trap 0xffffffffXXXXXXXX)
ErrCode = 00000002
eax=41414141 ebx=42424242 ecx=XXXXXXXX edx=XXXXXXXX esi=XXXXXXXX edi=XXXXXXXX
eip=XXXXXXXX esp=XXXXXXXX ebp=XXXXXXXX iopl=0 nv up ei pl nz na po nc
cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010202
nt!ExFreePoolWithTag+0x520:
80543f06 8903 mov dword ptr [ebx],eax ds:0023:42424242=????????
Resetting default scope

C'est relativement fiable (pas 100% evidemment, mais suffisamment proche pourvu qu'aucune des trames ne soit droppee), et je prefere masquer tous les registres histoire de ne pas etre accuse d'etre a l'origine du prochain ver Windows. Prochaine etape, et non des moindre, encoder le shellcode sous forme de DWORDs uniques (requis pour l'overflow). Je pense que la semaine prochaine, on va prouver que SWI n'est pas des plus fiables sur ses analyses!

Et la je danse (merci a Fabrice, la discussion m'a permis d'eclaircir un peu le merdier).
Bravo aux mecs d'ISS, ils sont forts ces gens la.


FUCK YEAH!

Thursday, January 10, 2008

Touche-t-on le fond?

Suite a lecture du commentaire du sieur Matthieu, je suis alle regarder quelques videos de Tecktonic. Quand il m'avait montre ca au Japon, je ne pouvais reprimer une sensation de familiarite avec le mouvement en question, et en cherchant un peu, j'ai compris pourquoi: j'ai ete a ces fameuses soirees Tecktonik au Metropolis en 2002/2003 a mon epoque clubbing (salut briceb si tu lis ca!).

Bon sinon pourquoi toucherait-on le fond? Quelques commentaires pris sur les pages des videos en question:
  • "tend plus té bras, et sa ira déja un peu mieu, mé c vrai ke tu té glander sur cet video mé c une premiére, va voir la mienne stp et mé un petit com's ^^ mici"
  • " sa pe alleez"
  • " franchement tu te gave mé franchement t tro belle belle aussii je ve te voir en vrait loooll t tro belle jtm t super"
Vous ne pouvez pas me voir, mais la je me tape la tete sur le bureau, et Bas me demande si tout va bien.

Thursday, January 3, 2008

2008, c'est parti ...

Et voila, n+1, 12° a Miami Beach, je suis en jean et pull ca ne m'etait pas arrive en Floride depuis un moment. Meilleurs voeux pour cette nouvelle annee, en esperant enfin assister a quelques progres marquants dans le petit monde de la securite informatique. Mon petit doigt me dit que c'est mal parti, mais je ne pense pas que cela surprenne qui que ce soit. Un rapide tour sur Full-Disclosure et ca se confirme: grand cru en perspective.

Si seulement tout le monde pouvait prendre la resolution d'arreter d'etre con pour 2008.

Ce que l'on attend toujours pour 2008:
  • le cyber jihad, du cyber terrorisme (depuis le temps que tout le monde se masturbe sur le sujet, ca ne devrait plus tarder);
  • des CISSP competents (sauf Eric hein, on l'a force);
  • une evolution de l'offensif en France?
Ca devrait attendre 2009++ en fait.