Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Dirty Cow VS Atom Bombing : l’architecture des systèmes d’exploitation remise en cause !

21 nov. 2016 - 10:36,
Tribune - Charles Blanc-Rolin
Le mois d’octobre a été porteur de mauvaises nouvelles pour tous les RSSI en quête de sécurisation de leur SI avec la découverte de deux importantes failles de sécurité remettant en cause l’architecture de très nombreux systèmes d’exploitation !

#DIRTYCOW

dirty cow

La première, Dirty Cow, aussi connue sous le numéro de vulnérabilité CVE-2016-5195, rendue publique par le chercheur Phil Oester, impacte tous les systèmes basés sur le noyau Linux version 2.6.22 (publiée en 2007) et supérieures. Autant dire énormément de systèmes d’exploitation !

Cette faille permet à un attaquant disposant d’un accès utilisateur sans privilèges, de passer « root » [1] sur un système Linux et donc d’élever ses privilèges au plus haut niveau, afin d’effectuer toutes les tâches qu’il souhaite sans aucune limite sur la machine.

Linus Torvalds avoue avoir tenté une correction de cette vulnérabilité il y a 11 ans, considérée comme théorique à l’époque, mais celle-ci avait été abandonnée pour des raisons de compatibilité avec le matériel Intel.

Si celle-ci a été corrigée le 18 octobre dans les systèmes d’exploitation les plus connus comme Debian, Ubuntu, Redhat ou Centos (et d’autres), que je vous conseille d’ailleurs de « patcher » rapidement, combien vont rester vulnérables ? Notamment dans le monde des équipements réseau ou encore de l’IOT et par conséquent des dispositifs médicaux !

#ATOMBOMBING

Côté Windows, cette vulnérabilité affectant toutes les versions du système de Microsoft, découverte par les chercheurs de la société américaine Ensilo est encore plus inquiétante ! Elle utilise la fonctionnalité Atom Tables de Windows pour injecter du code malveillant à un processus connu, bien souvent un navigateur web, qui est un processus « légitime » accédant à Internet pour lui faire exfiltrer des données sans qu’un antivirus ne puisse le voir. L’éditeur Roumain Bitdefender annonce sur son blog « Enterprise » pouvoir parer ce type d’attaque dans un environnement virtualisé en utilisant l’introspection de la mémoire depuis l’hyperviseur [2]. De plus en plus d’éditeurs de solutions de sécurité proposent aux professionnels ce type de protection des environnements virtuels, pour résumer, l’antivirus de l’hyperviseur protège l’ensemble des machines qu’il héberge, ce qui évite l’installation d’un antivirus sur chaque machine virtuelle. Tout ça c’est bien beau, mais sur les machines physiques, comme les postes utilisateurs, comment faire ?

L’éditeur, Microsoft préconise à ces utilisateurs d’être vigilants car cette vulnérabilité remettant en cause les fondations du système n’est pas prête d’être corrigée.

Une réponse insatisfaisante à mon sens qui vient encore noircir le tableau du géant américain.


[1] Le compte utilisateur root est le compte administrateur disposant du plus haut niveau de privilèges sur un système Linux.

[2] Système permettant de virtualiser des machines.


Pour plus d’informations sur Dirty Cow :

http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ACT-043/index.html

https://dirtycow.ninja/

https://www.youtube.com/watch?v=kEsshExn7aE

https://github.com/dirtycow/dirtycow.github.io/wiki/VulnerabilityDetails

https://github.com/dirtycow/dirtycow.github.io/wiki/Patched-Kernel-Versions

Pour plus d’informations sur Atom Bombing : 

https://breakingmalware.com/injection-techniques/atombombing-brand-new-code-injection-for-windows/ 

http://www.zdnet.fr/actualites/atombombing-une-inquietante-vulnerabilite-dans-windows-39844144.htm

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Cybersécurité, simuler pour protéger : la force des formations immersives

Cybersécurité, simuler pour protéger : la force des formations immersives

19 mai 2025 - 23:41,

Tribune

-
Christine HEULIN

Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

Illustration La cyber, les rillettes et les puces en 5 minutes

La cyber, les rillettes et les puces en 5 minutes

19 mai 2025 - 23:24,

Tribune

-
Cédric Cartau

C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Illustration Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

09 mai 2025 - 16:39,

Actualité

- DSIH

Le programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Illustration Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

05 mai 2025 - 23:11,

Tribune

-
Cédric Cartau

Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.