Suite à mon article sur Duqu, j’ai reçu plusieurs messages me demandant de poursuivre sur ce type d’article.

Microsoft a annoncé cette semaine un gros bug de sécurité (MS11-083) qui pourrait permettre l’exécution d’un code à distance sur une machine équipée de Windows 7, Windows Server 2008 ou Windows Vista. J’ai décidé de faire un POC (Proof of Concept) afin de vérifier la faisabilité et surtout le risque que nous (utilisateurs) pourrions courir. Je vous propose de simuler cette attaque en vous donnant l’explication en texte ainsi qu’en vidéo. Comme vous l’avez remarqué sur le site, je ne me contente jamais de mettre un dossier de presse ou un texte que j’ai lu… Je préfère toujours mettre un avis concret que je partage avec vous.

Attention ce n’est pas un hacking réel ! C’est un test de faille de sécurité testé en local sur mes machines afin de vérifier si ce hack peut être dangereux ! Ne le reproduisez pas !

Pour la mise en place du POC sur le bug de sécurité MS11-083,  j’ai préparé quatre machines avec un OS linux ainsi que deux machines sous windows 7. Au niveau du firewall j’ai utilisé celui de Microsoft. L’une des machines sous windows a été installée avec les dernières mises à jour de sécurité disponibles chez Microsoft tandis que l’autre n’a pas eu ces patchs. Bien entendu, ces tests se sont déroulés sur un réseau en local.

Pour réaliser ce test, j’ai pris la source d’un programme en C sous linux écrit par prdelka (winnuke2011) qui est disponible depuis quelques jours sur Internet et qui permettrait d’exploiter la faille de sécurité (enfin surtout de la tester en POC). Ce logiciel essaie de faire un overflow dans la couche TCP/IP en envoyant pleins de paquets UDP.

Au départ, j’utilise une machine sous linux contre une machine non patchée sous Windows 7. Je fais tout d’abord un simple netstat -a sur ma machine windows avant la simulation de l’attaque afin de voir les ports ouverts.

Je regarde le pourcentage de mémoire et de processeur utilisé avant la simulation.

Je vérifié aussi le réseau …

Je lance l’attaque depuis ma machine Linux. La je le fais sur le port 21 mais j’ai aussi utilisé plusieurs autres ports.

On peut voir que le processeur est utilisé de manière plus conséquente

Le réseau est aussi sollicité

 

Pour la machine sous windows disposant de la dernière mise à jour de sécurité de Microsoft, j’obtiens exactement le même résultat

 

Ensuite j’ai décidé d’utiliser 4 machines linux et là j’ai aussi eu les mêmes résultats entre les 2 PC sous windows 7.  Par contre, l’impact a été plus conséquent car les PC ne répondaient plus pendant tous le temps de l’attaque.

 

Une de mes machines linux :

Comme j’ai pu vous le démontrer en bloquant mes machines sous windows, cela ressemble à une attaque classique DOS (denial of service attack ou attaque par déni de service) ou DDOS. Il faut voir si en laissant le protocole de test pendant plusieurs jours voir semaine, si cela  engendrerait le bug de sécurité MS11-083 qui permettrait ensuite de lancer un code arbitraire une fois l’exploit effectué.

Mes tests ont été effectués sur plusieurs ports différents (même si dans les screenshots je ne n’indique que 1 port). Les résultats ont été les mêmes (blocage du PC et impossibilité de l’utiliser).

Personnellement, même si cela n’a pas marché (mon protocole de test n’était peut être pas correct même si j’y ai passé de nombreuses heures), je n’avais jamais vu une vraie attaque DOS en étant des deux côtés même si j’avais déjà été victime d’attaques sur mes différents serveurs il y a quelques années de cela. De plus, cela faisait plus de 10 ans que je n’avais pas passé une nuit blanche à travailler sur mon pc ;-).

Maintenant avec ces explications vous pouvez imaginer ce que cela donne à très grande échelle et vous pouvez ainsi faire le rapprochement avec ce que vous entendez à la TV ou lisez sur Internet (par exemple lorsque le groupe d’activiste Anonymous avait bloqué des  sites suite à l’affaire WikiLeaks).

N’hésitez pas à regarder sur le site de Microsoft la définition the Vulnerability in TCP/IP Could Allow Remote Code Execution (2588516), si vous avez besoin de plus d’informations. Dans tous les cas, l’auteur du script pense qu’il faudrait 52 jours pour que cela fonctionne …

 

Je vous propose la vidéo du POC sur le bug de sécurité MS11-083 (winnuke2011) :