Un bulletin Microsoft se penche sur la sécurité des applications tierces

Dans un bulletin de recommandation de sécurité IT en date du 23 août, Microsoft émettait un signal d’alerte sur une faille susceptibles des centaines d’applications tierces.

Mi-août, des chercheurs ont révélé que de nombreuses applications fonctionnant sous Windows sont affectés par une série de vulnérabilités baptisées « remote binary planting » par Acros Security.

Microsoft a pris position dans le débat. Cette faille sous Windows provient des applications basées sur des « chemins insuffisamment qualifiés à travers des bibliothèques d’applications externes ».

Selon Mitja Kolsek, P-DG d’Acros Security (laboratoire de sécurité IT de Slovénie), on recense plus de 200 applications vulnérables émanant d’une centaine d’éditeurs différents avec 520 problèmes de type « binary planting » identifiés.

70% des bugs sont liés au chargement des fichiers .DLL (dynamic link library, bibliothèque de liens dynamiques), le reste étant lié à des fichiers exécutables en .exe et .com.

« C’est vraiment facile d’exploiter ces bugs – vous avez juste besoin de prendre un fichier spécifique en vue d’un partager à distance puis accompagner le tout d’un fichier DLL qui sert d’agent malveillant », considère Mitja Kolsek dans un message transmis à eWeek.co.uk par e-mail.
« Ensuite, vous n’avez plus qu’à donner envie d’ouvrir le fichier via une dose de social engineering. Dans le cadre d’un réseau entreprise, il suffit d’attendre que les utilisateurs procèdent à son ouverture. »

Dans son bulletin de recommandation, Microsoft tente d’éclaircir le chemin. « Quand l’application potentiellement vulnérable charge la librairie requise ou celle proposée en option, elle est susceptible de le faire à travers un point du réseau à distance. »

L’éditeur poursuit : « Si l’assaillant fournit une librairie infectée à ce point précise, il peut parvenir à générer du code arbitraire de manière arbitraire sur la machine de l’utilisateur. »

Les bugs de type « remote binary planting » pourraient être exploités à travers des systèmes de serveurs de fichiers réseau comme … WebDAV et SMB.

Pour éviter ce genre d’attaques, Microsoft a émis plusieurs recommandations aux développeurs qui manipulent les fichiers .DLL.

L’éditeur a livré un outil optionnel de médiation permettant à ses clients de limiter les risques d’attaques en provenance d’un tiers.

Les paramètres peuvent être réglées de manière globale ou en fonction d’une application spécifique.

Ce type de vulnérabilité est connu depuis des années. « Bien que Microsoft fournisse des fonctions SetDllDirectory aux développeurs depuis longtemps, nos recherches montrent que la quasi-totalité des applications n’y ont pas recours pour retirer le répertoire courant du searchpath [chemin utilisé pour rechercher, sur l’ordinateur de développement, les assemblys, fichiers ou modules de fusion] », explique Mitja Kolsekne.

« Nous prenons nos responsabilités par les développeurs n’ont pas conscience des risques et ne voient pas l’intérêt d’avoir recours à cette fonction », poursuit-il. « Gardez bien cela en tête, cette fonction peut aussi causer des soucis avec les applications basées sur du code tiers et cela ne résout que le volet .DLL du problème global (…) ».

Dans une contribution blog, HD Moore, directeur de la sécurité pour le compte de Rapid7, « les vulnérabilités affectent les applications sous Microsoft mais, en fait, les soucis rencontrés concernent tous les éditeurs d’applications. »

En attendant, les entreprises peuvent trouver une voie intermédiaire en bloquant les connexions de serveurs de fichiers SMB et WebDAV en fonction du périmètre et en déconnectant le serveur et client Web de tous les postes en établissant des politiques de groupe.

Adaptation en français d’un article eWeek UK en date du 24/08/10 : Microsoft Issues Application Security Warning