Publié le 26-02-2004 dans le thème PLUS VALIDE

Pays : Europe - Auteur : Damien Bancal

Pub : CA Personal Firewall 2007 - Contrecarrez les intrus!

Le groupe Coromputer a fait parler de lui au mois de mars dernier en codant un exploit pour IIS 5.0. Une faille de sécurité qui vise Windows 2000 nommée Webdav qui permet de prendre la main sur un serveur faillible. Nous avons rencontré " l'inventeur " de cet exploit, Iván Rodriguez Almuiña aka, Kralor un chasseur de bits pas comme les autres.

Qui est Coromputer ?

Coromputer a été fondé fin 1998 si je me souviens bien. Je venais juste d'avoir mon premier PC. Après la découverte de l'IRC j'ai rencontré Happy-j. Nous étions deux gros newbies mais nous avions le même but : apprendre le " hacking ". Nous avons commencé à lire les vieux e-zines classiques, puis nous nous sommes mis à chercher du monde aussi nuls que nous avec la même passion. Nous avons ramassé quelques gens au passage dont Quintana et notre mascotte québécoise aka SpyD.

Faille Webdav, kesako ? Elle tourne sur des Serveurs iis 5.0 sous Windows 2000. Une vulnérabilité critique dans un composant de Windows 2000 utilisé par le protocole WebDAV (World Wide Web Distributed Authoring and Versioning) peut permettre à une personne malveillante de planter ou d'exécuter le code de son choix sur un serveur IIS 5.0 utilisant ce système d'exploitation, en envoyant une requête HTTP spécifiquement malformée. Cette faille est spécifique à Windows 2000 et ne concerne pas IIS 5.0 sous NT 4.0 ou XP. Pour exploiter cette faille, les pirates ont plusieurs possibilités. Beaucoup utilisent " superscan " qui permet de scanner la machine cible sur le port 80. Cela permet aux pirates d'avoir le type de serveur présent. Ils n'ont plus qu'à démarrer netcat sur le port 54 et utiliser l'exploit ntdll.dll/WEBDAV. Si la faille est présente, le pirate aura un accès administrateur sur le serveur cible. Il va pouvoir ensuite se balader sur les différents disques durs de sa cible, y copier des fichiers, en télécharger, modifier ... Cette faille exerce un débordement de tampon sur le fichier ntdll.dll et permet avec un offset précis de donner l'accès comme administrateur. Plusieurs logiciels sont sortis pour utiliser cette faille (1) (2) ou pour la combattre (3). L'alerte de Microsoft (4).

Au fil du temps moi j'ai continué ma passion : le coding et les autres membres ont plutôt repris une vie active dans le monde " réel ". Quintana est devenu alors administrateur linux et maintenant il gère notre propre réseau. Des années ont passé et d'autres gens nous ont rejoint, dont Scurt, Decryptus, et quelques autres gens qui sont plutôt des amis mais qui ne font pas partie officiellement de Coromputer.

Ca faisait des mois que nous n'étions plus que Spyd et moi sur IRC à raconter des conneries et l'advisory sur ntdll.dll through webdav est sorti. J'ai tout de suite sauté sur l'occasion. Je venais de finir quelques shellcodes hardcoded offsets free, utilisant les techniques de SEH+ScanMem et PEB [private] dont le reverse remote shell que j'ai utilisé pour coder l'exploit Webdav. J'ai alors réalisé l'exploit et là tout a commencé à bouger, à un point que cela m'a donné mal à la tête à force de lancer ma boite de courriers électroniques.

Votre "découverte" a été volée, cela ne vous gêne pas ?

Et comment que ça me gêne. Imaginez, passer des journées de 16h, deux nuits blanches afin de réussir à trouver un bon moyen pour coder l'exploit. Je le code et un gars que je ne connaissais pas du tout, RaFa, le prend, rajoute son mel et poste mon exploit sur la mailing list de sécurité informatique la plus connue, celle de Security focus. Bien évidemment beaucoup de gens ont cru que c'était lui Kralor à un point tel que j'ai même reçu une proposition d'emploi qui a était envoyée sur mon e-mail ainsi que sur le mel de Rafael Nunez, le voleur en question.

Et depuis ?

Depuis le premier e-mail je n'ai plus jamais eu de nouvelle. J'en déduis donc qu'il m'a piqué le boulot. C'est dans ces cas là que je suis énervé. Rester dans l'obscurité ne me gêne pas, mais là ... Est-ce cela l'ambiance de la communauté underground, se faire voler ses découvertes ?

Alors pour que cela soit bien clair Rafael Nunez n'a rien à voir avec la communauté underground. C'est un pseudo professionnel de la sécurité, c'est d'ailleurs comme cela qu'il se décrit. Tous les " hackers " que je connais ont valeur du respect. On s'échange des infos, on apprend sans cesse mais il y a un acte qu'on ne pourra jamais faire, voler une découverte ou une technique. Sans morale on ne va nul part. Dans tous les cas je ne fréquente jamais ce genre de " gars " capables de s'approprier une découverte.

Que pensez-vous du full-disclosure ?

Je pense que c'est assez clair vu que j'ai réalisé cet exploit.

Diffuser une info comme Webdav et la voir utilisée par des pirates ne vous gene pas ?

Personnellement je ne vois pas pourquoi je serais gêné. C'est plutôt les administrateurs des serveurs qui se font pirater… et Microsoft qui devraient être gênés.

Quel avenir aura le web d'ici quelques années ?

Je pense que le web va continuer à perdre son utilité, qui est l'information, au profit de l'argent...

La sécurité informatique est-elle possible à 100 %

Simplement non, parce que la perfection n'existe pas. Je vais laisser la métaphysique de la perfection aux philosophes ça vaudra mieux.

Que craindre le plus sur le réseau aujourd'hui ?

Les popups de publicité quand on visite des sites, les spywares dans les softwares, la diffusion et l'utilisation de notre vie 'privée' et les multinationales qui tentent d'avoir le monopole.

P.S. : kralor recherche un emploi dans la sécurité informatique avec des compétences allant du debugage d'applications à l'audit de sécurité réseaux. Pour le contacter, écrivez au journal qui transmettra.