Houla, c'est un bon jour!

http://securitywatch.eweek.com/microsoft_windows/microsoft_adds_new_antiexploit_apis_into_windows.html

"* If you support DEP but want to allow customers to disable DEP if there are serious compatibility issues, then this is the API to use because the argument can be a configuration option."

Prediction pour 2008: SetProcessDEPPolicy() adresse de reference pour les ret2libc sous Windows.

Lien original d'un blog de MS:
http://blogs.msdn.com/michael_howard/archive/2008/01/29/new-nx-apis-added-to-windows-vista-sp1-windows-xp-sp3-and-windows-server-2008.aspx

Merci Microsoft, depuis le temps que je demandais cette 'feature'.

Allez, essaie encore

http://www.silicon.fr/fr/news/2008/01/30/microsoft_a_t_il_sous_evalue_le_risque_lie_a_une_vulnerabilite__

Je cite:
"Symantec a découvert qu'une vulnérabilité jugée moyenne par Microsoft était en réalité bien plus dangereuse..."

"Des ingénieurs américains ont d'ailleurs publié une démonstration en flash afin de procéder à l'exploitation du bug. La POC publiée par les chercheurs n'est pas fiable à 100% mais fonctionne. La rédaction de silicon.fr ne souhaite pas communiquer le lien vers la démo pour des raisons de sécurité."

Ca me fait rire. Symantec n'a pas acces a l'exploit publie, donc le seul moyen pour eux de dire quelque chose est de se baser sur notre film flash. Je pense que c'est la tout le coeur du business de la securite: un patch sort, on cree un exploit, et Symantec monte le tout en sauce histoire de vendre plus. Tout le monde y trouve son compte? Sans doute. Y compris l'auteur de l'article (et nous).

Ensuite je ne suis pas americain (encore). Juste expatrie parceque tout le monde en France se fout d'avoir un exploit pour un kernel pool overflow remote defaut (sauf s'il est gratuit). Remarquez, dit comme ca c'est pas super sexy. Enfin, eviter de donner un lien vers une demo Flash, c'est cretin, j'envoie pas mes paquets IGMP depuis un SWF.

"Cette faille peut être exploitée à distance" précise le groupe dans une note. "L'exploit fonctionne même contre Windows XP SP2 et il est capable d'éteindre un pare-feu." CHAUD!

C'etait pas gagne...

Et voila, MS08-001 c'est du passe. J'y ai passe des heures, mais au final l'exploit rend bien, comme le montre le SWF sur le site d'Immunity, Inc. L'ensemble est curieusement fiable, on va dire de l'ordre de 90% de reussite si tous les paquets sont arrives, et dans l'ordre. Il se peut que le Pool soit un peu bordelique, ce qui peut mener a un BugCheck 0x19 (Pool Corruption).

L'exploit marche sur un XP SP2 defaut firewalle (DEP OptIn), il me reste a porter les offsets pour differentes autres versions que je pourrais trouver, et bosser un peu sur Vista.

Finalement l'encodeur s'est revele trivial (merci Dave), le write4 pas tres complique. La difficulte residait dans la decouverte d'un moyen fiable de localiser le shellcode en memoire, et surtout dans l'assainissement du Kernel Pool. Ca m'a bien fait chier.

Mais bon comme le montre la video, on obtient autant de ConnectBack que de machines vulnerables sur la meme branche reseau :) Elite! Et bon, d'apres les tests ca passe meme avec des adresses IP unicast, modulo le fait que les routeurs ne droppent pas les paquets.

Au passage c'etait mon premier exploit remote kernel! Je suis bien content...

UPDATE

Un peu de media whoring (c) Dave:
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9060118&intsrc=hm_list
http://blogs.zdnet.com/security/?p=840
http://securitywatch.eweek.com/microsoft_windows/exploit_released_for_unexploitable_windows_worm_hole_1.html

UPDATE

Nouvelle version de la capture Flash:
http://www.immunityinc.com/documentation/ms08_001.html
Cette fois-ci avec Screengrab, ca root un XP Pro SP2 US defaut et un XP Home SP2 FR defaut avec la meme attaque ( et ca passe meme le Firewall (c) Je ne sais plus). Trop bon!

Premier remote defaut XP SP2 (et ca passe meme le Firewall)

Putain j'y ai passe du temps:

TRAP_FRAME: XXXXXXXX -- (.trap 0xffffffffXXXXXXXX)
ErrCode = 00000002
eax=41414141 ebx=42424242 ecx=XXXXXXXX edx=XXXXXXXX esi=XXXXXXXX edi=XXXXXXXX
eip=XXXXXXXX esp=XXXXXXXX ebp=XXXXXXXX iopl=0 nv up ei pl nz na po nc
cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010202
nt!ExFreePoolWithTag+0x520:
80543f06 8903 mov dword ptr [ebx],eax ds:0023:42424242=????????
Resetting default scope

C'est relativement fiable (pas 100% evidemment, mais suffisamment proche pourvu qu'aucune des trames ne soit droppee), et je prefere masquer tous les registres histoire de ne pas etre accuse d'etre a l'origine du prochain ver Windows. Prochaine etape, et non des moindre, encoder le shellcode sous forme de DWORDs uniques (requis pour l'overflow). Je pense que la semaine prochaine, on va prouver que SWI n'est pas des plus fiables sur ses analyses!

Et la je danse (merci a Fabrice, la discussion m'a permis d'eclaircir un peu le merdier).
Bravo aux mecs d'ISS, ils sont forts ces gens la.


FUCK YEAH!

Touche-t-on le fond?

Suite a lecture du commentaire du sieur Matthieu, je suis alle regarder quelques videos de Tecktonic. Quand il m'avait montre ca au Japon, je ne pouvais reprimer une sensation de familiarite avec le mouvement en question, et en cherchant un peu, j'ai compris pourquoi: j'ai ete a ces fameuses soirees Tecktonik au Metropolis en 2002/2003 a mon epoque clubbing (salut briceb si tu lis ca!).

Bon sinon pourquoi toucherait-on le fond? Quelques commentaires pris sur les pages des videos en question:

• "tend plus té bras, et sa ira déja un peu mieu, mé c vrai ke tu té glander sur cet video mé c une premiére, va voir la mienne stp et mé un petit com's ^^ mici"
• " sa pe alleez"
• " franchement tu te gave mé franchement t tro belle belle aussii je ve te voir en vrait loooll t tro belle jtm t super"

Vous ne pouvez pas me voir, mais la je me tape la tete sur le bureau, et Bas me demande si tout va bien.

2008, c'est parti ...

Et voila, n+1, 12° a Miami Beach, je suis en jean et pull ca ne m'etait pas arrive en Floride depuis un moment. Meilleurs voeux pour cette nouvelle annee, en esperant enfin assister a quelques progres marquants dans le petit monde de la securite informatique. Mon petit doigt me dit que c'est mal parti, mais je ne pense pas que cela surprenne qui que ce soit. Un rapide tour sur Full-Disclosure et ca se confirme: grand cru en perspective.

Si seulement tout le monde pouvait prendre la resolution d'arreter d'etre con pour 2008.

Ce que l'on attend toujours pour 2008:

• le cyber jihad, du cyber terrorisme (depuis le temps que tout le monde se masturbe sur le sujet, ca ne devrait plus tarder);
• des CISSP competents (sauf Eric hein, on l'a force);
• une evolution de l'offensif en France?

Ca devrait attendre 2009++ en fait.