21
déc.
'09

Bypassing SEHOP

Publié le 21 décembre 2009

Intro

La protection SEHOP (qui signifie “Structured Exception Handling Overwrite Protection”) est implémentée dans les versions Windows 7, Vista SP1 et Windows 2008. Elle empêche théoriquement l'exploitation de “buffer overflow” par écrasement de gestionnaire d'exception.

En théorie.

Il existe toutefois une manière de contourner cette seule protection SEHOP, moyennant quelques conditions et un peu d'astuce, comme le montre le papier suivant, Bypassing SEHOP.

Principe

Le principe du contournement de SEHOP est trivial: Windows vérifiant si l'enchaînement des structures SEH (gestionnaires d'exception) est valide, il s'agit de créer une fausse chaîne de gestionnaires d'exception en prenant soin de mettre des adresses valides sur la pile, tout en maquillant du code exécutable en adresse de pile valide.

L'ensemble est décrit dans le papier, avec une preuve de concept qui exploite une vulnérabilité (un buffer overflow) locale. L'exploit n'a été testé que sous Windows 7, mais devrait a priori fonctionner sous Windows Vista avec un shellcode approprié.

Outro

L'exploitation via le contournement de SEHOP est tout de même à nuancer, la protection SEHOP ne se présentant généralement pas seule, mais couplée au DEP ou à l'espace d'adressage aléatoire (“Adress Space Layout Randomization”). La protection reste donc efficace, principalement contre les attaques distantes. A noter que cet ensemble de nouvelles protections intégrées à Microsoft Windows n'empêchent pas les dénis de service.

01
déc.
'09

Le Pakistanese To People ou le P2P version 1337

Publié le 01 décembre 2009

En sortant du métro ligne 13 à la gare St Lazare, je suis tombé sur un petit coin bien sympa ... Un pakistanais avait posé à même le sol un drap blanc, et avait mis sur ce drap un petit magot: des dizaines de DivX honteusement copiés de films récents (Twilight Temptation, 2012, etc ...) à prix modiques. Les pochettes sont plutôt rustiques: de simples pochettes transparentes agrémentées d'affiche de films réimprimés sur du papier de piètre qualité.

J'ai hésité à prendre une photo, me doutant que l'individu n'aimerait pas cela (et puis je voulais pas taper un sprint, crevé après une journée de boulot harassant), mais bon, j'ai indiqué l'adresse, suffit d'y aller (et vlan, l'OCLCTIC va lui tomber dessus, bien fait, na). Voici donc l'avenir du "Pétoupé" (cf. "le pétoupé tue !", jaimelesautistes.fr): le Pakistanese To People ! Un système de distribution massif (si si, ceux qui prennent la ligne 13 savent de quoi je parle), peu couteux, et à prix défiant toute concurrence (même celle de Fnac.com). Bon question qualité, faut pas être très pointilleux, AMHA. Je n'en ai pas acheté, mais au vu de la qualité de la pochette, c'est la simple déduction que j'en fais (et aussi parce qu'il n'existe que des screeners au son tout pourri des films présentés). Ah, et je ne peux pas confirmer qu'il s'agit bien des films réels et pas de remakes made in Bollywood.

Ce qui est merveilleux avec ce procédé (identique à celui employé à la braderie de Lille, la brigade de répression des fraudes en moins) est qu'il est très efficace. Les pakistanais vendeurs à la sauvette ont d'ailleurs une technique de fuite infaillible: ce n'est pas pour rien qu'ils posent leur objets sur un drap, c'est plus facile à plier quand le danger guette. Et il y a certainement des filières d'approvisionnement pour ce marché parallèle, mais je n'ai pas trop cherché dans cette direction ...

Mais que fait HADOPI !?! Rien ? Ah, ben tant pis. (On le savait que ca allait servir à rien l'HADOPI ...)

08
nov.
'09

Domaines & Meet

Publié le 08 novembre 2009

Ah, satanés domaines et serveurs DNS. Faut toujours les renouveler, quelle misère ! Mais cela offre quand même quelques exemples cocasses, comme les deux que je vais présenter ici.

Le premier est assez symbolique, car correspondant au site lancé par Mme Albanel, ancienne Ministre de la Culture, je veux bien sûr parler du domaine jaimelesartistes.fr, dont le coût fut estimé à 85 000 euros. Ce domaine vient de se faire cyber-squatter par les gars de jaimelesartistes.info, et redirige désormais sur leur site, qui affiche le texte suivant: "JAIMELESARTISTES.FR mais j'aime toujours pas les majors", avec sur cette page un grand nombre de liens pointant sur des sites divers et variés, comme celui de la quadrature du net, ou encore la pétition de SVM. Une promotion des systèmes de diffusion libres est aussi réalisée, avec un lien vers le site Jamendo.

Autre victime de ces non-renouvèlements, frHack.org. frHack.org est le site officiel de la frHack, évènement français dans le domaine de la sécurité informatique, et est géré par Jérôme Athias ... qui apparemment a malencontreusement oublié de le renouveler. Le site affiche pour le moment un très joli "Oops, this site is currently unavailable", d'un très beau style.

Nous avons pu admirer ces jolis exemples durant le meet HZV d'hier, autour de quelques bières et de bons trolls. Je tiens à remercier tout particulièrement christophe, et faudrait d'ailleurs que je m'excuse car on a pas eu beaucoup le temps de papotter. Pas grave, ca sera pour une prochaine fois dans un pub ! (Et c'est moi qui paye).

Les contenus disponibles sur ce blog sont publiés sous licence Creative Commons BY-NC-SA.

Vous pouvez réutiliser tout ou partie de ces contenus à condition de citer l'auteur et l'origine, vous ne pouvez en faire une utilisation commerciale, et enfin vous devez partager tout travail ou œuvre dérivée sous les mêmes conditions — c'est-à-dire avec la même licence d'utilisation Creative Commons.