Faille de sécurité -> conséquence?

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Avatar de l’utilisateur
Cyborg
Messages : 689
Inscription : 17 avr. 2008 15:46

Faille de sécurité -> conséquence?

par Cyborg »

Salut les gens!! PDT_011

Encore une question de théorie, parmi celles que vous aimez pas : PDT_037
Que se passe-t-il lorsque l'on tombe sur un programme profitant d'une faille de sécurité ?

Est-ce que l'infection est limitée par les droits du logiciel en question ? PDT_033
Ou les attaques de type "Débordement de tampons" permettent-elles d'attaquer directement le système, quels que soient les droits du programme attaqué ?

Si je pose ces questions, c'est que j'aimerai bien comprendre le fonctionnement de ces attaques PDT_042 , et des défenses qui peuvent ou non l'arrêter.
"La peur mène à la colère. La colère mène à la haine. Et la haine ... mène à la souffrance." - Yoda
"Ainsi s'éteint la liberté, sous une pluie d'applaudissements." - Amidala
"Aurez-vous le courage de m'affronter?" - Moi
Avatar de l’utilisateur
Cyborg
Messages : 689
Inscription : 17 avr. 2008 15:46

Re: Faille de sécurité -> conséquence?

par Cyborg »

Y'a personne qui sache me répondre?!? PDT_030

Si ni Sacles, ni Malekal, ni les autres désinfecteurs pro ne peuvent me répondre, c'est peut-être pas la peine que j'insiste. PDT_043

Ou pensez-vous que je puisse trouver ce genre de réponse dans ce cas?
"La peur mène à la colère. La colère mène à la haine. Et la haine ... mène à la souffrance." - Yoda
"Ainsi s'éteint la liberté, sous une pluie d'applaudissements." - Amidala
"Aurez-vous le courage de m'affronter?" - Moi
Sacles

Re: Faille de sécurité -> conséquence?

par Sacles »

Bonsoir,

Il peut arriver ce qui est arrivé à des millions de PC en 2004: http://www.secuser.com/alertes/2004/sasser.htm

C'est suite à cela que Microsoft a sorti son pare-feu activé par défaut avec le SP2 (... si ma mémoire est bonne, le pare-feu existait déjà mais n'était pas activé, laissant ainsi les machines à la merci du virus Sasser).

Il y a d'autres exemples.

Salut.
Malekal_morte
Messages : 110337
Inscription : 10 sept. 2005 13:57

Re: Faille de sécurité -> conséquence?

par Malekal_morte »

Cyborg a écrit :Encore une question de théorie, parmi celles que vous aimez pas : PDT_037
Que se passe-t-il lorsque l'on tombe sur un programme profitant d'une faille de sécurité ?
Tout dépend ce que la faille permet bien sûr...
Tu as des failles qui permettent d'exécuter du code, d'autres élever les privilèges, d'autres effectuer un DoS.
Après tu as des failles locales et distances...

Pour l'exécution du code, tu récupères les droits de l'utilisateur avec lequel le programme est lancé d'où le fait qu'il ne faut pas tourner administrateur/root.
Après tu as des failles qui permettent l'élévation de privilèges.

Un coup de Google et tu auras la réponse à tes questions... il y assez d'explications là dessus, je pense.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
Cyborg
Messages : 689
Inscription : 17 avr. 2008 15:46

Re: Faille de sécurité -> conséquence?

par Cyborg »

Sacles a écrit :Il peut arriver ce qui est arrivé à des millions de PC en 2004: http://www.secuser.com/alertes/2004/sasser.htm
Oki.
Dans ce cas-là, on a une faille du système exploitée. Néanmoins, cela nécessite qu'il n'y ait pas de parefeu fermant le port en question, que l'AV ne le détecte pas, et que l'on soit avec une session administrateur. Comme il n'y a pas d'élévation de privilèges dans ce cas là, le virus est limité s'il n'a pas les droits admins.
Malekal_morte a écrit :Tout dépend ce que la faille permet bien sûr...
Allons-y : PDT_011
Malekal_morte a écrit :Tu as des failles qui permettent d'exécuter du code
Dans ce cas, on est limité pas les droits de l'application. Mais par contre, on peut exécuter le code que l'on désire donc attaquer n'importe quelle partie accessible du système.
Malekal_morte a écrit :d'autres élever les privilèges
Ca, c'est pour pas être emmerdé par des droits restreints. Une fois les droits admins acquis, on peut faie ce qu'on veut.
Mais il faut une faille du système pour faire ça, non? Une faille logiciel ne permet pas d'aboutir à ce résultat. Si?
de plus, comment peut-on profiter d'une faille système? Pour y accéder depuis l'extérieur, il faut pour cela que la menace virale passe le Firewall dans un premier temps, c'est bien ça?
Malekal_morte a écrit :d'autres effectuer un DoS.
Euh... Effectuer un DoS sur une machine perso sert-il à quelque chose? Y'a moyen de rentrer dans un système d'un particulier par DoS? D'autant que là, on rentre dans le cadre d'une attaque, plus d'une contamination virale.
Malekal_morte a écrit :Après tu as des failles locales et distances...
Euh... Failles locales, je vois. Un logiciel, ou simplement le système qui a une faille et donc le virus en profite. Faille distante... C'est quand le virus atteint un serveur par lequel on accède à Internet, par exemple?
Malekal_morte a écrit :Un coup de Google et tu auras la réponse à tes questions... il y assez d'explications là dessus, je pense.
Ben quand je tappe virus informatique sur Google, je trouve pas ce que je cherche, c'est à dire le détail du fonctionnement des virus. Comme cela a été fait dans l'article dont Sacles m'a passé le lien.
"La peur mène à la colère. La colère mène à la haine. Et la haine ... mène à la souffrance." - Yoda
"Ainsi s'éteint la liberté, sous une pluie d'applaudissements." - Amidala
"Aurez-vous le courage de m'affronter?" - Moi
Malekal_morte
Messages : 110337
Inscription : 10 sept. 2005 13:57

Re: Faille de sécurité -> conséquence?

par Malekal_morte »

Cyborg a écrit :
Sacles a écrit :Il peut arriver ce qui est arrivé à des millions de PC en 2004: http://www.secuser.com/alertes/2004/sasser.htm
Oki.
Dans ce cas-là, on a une faille du système exploitée. Néanmoins, cela nécessite qu'il n'y ait pas de parefeu fermant le port en question, que l'AV ne le détecte pas, et que l'on soit avec une session administrateur. Comme il n'y a pas d'élévation de privilèges dans ce cas là, le virus est limité s'il n'a pas les droits admins.
Non pour la session, on s'en fout.
Sasser exploite uen faille distance sur un service Windows, le service est lancé avec le compte system locale (SYSTEM) qui a des droits élevés.
En résumé, il faut une machine non à jour (donc avec la faille présente) avec effectivement le port accessible (et donc le service) depuis internet, donc pas de filtre pare-feu, routeur etc.

L'état de la machine on s'en fiche, c'est un service, donc loggué, pas loggué, tant que le service est démarré et internet fonctionne, c'est l'infection.

Pour ce qui est de l'antivirus, oui peut-être que certaines bloquaient sauf ... vu le nombre de machines infectées, ça fait bcp de tentatives par minutes.
L'AV il risque d'hurler souvent, voire selon comment planter ou utiliser toutes les ressources systèmes.
Malekal_morte a écrit :Tu as des failles qui permettent d'exécuter du code
Dans ce cas, on est limité pas les droits de l'application. Mais par contre, on peut exécuter le code que l'on désire donc attaquer n'importe quelle partie accessible du système.
Sous Windows, ce sont des exploits qui installent l'infection. Comme tout le monde tourne en admin, y a rien de particulier à faire, si l'exploit passe, l'infection en général passe (sauf si les AV etc. etc. tu connais la musique).

Mais par exemple pour les serveur WEB qui ont des bases de données, un SQL injection, ça peut te permettre de récupérer des informations de la base... selon certaines bases ça peut être grave.
Si le mot de passe est en clair dans la base ou cryptage faible, tu peux récupérer des identifiants d'un compte avec des droits plus élevés etc.. etc..

Sur un forum, tu as des exploits qui peuvent te permettre de récupérer un accès administrateur.
Ex ce module PHPbb, c'est pas glob : http://www.frsirt.com/bulletins/3306

ou installer des PHP Shell ou faire rejoindre un botnet pour contrôler la machine etc (donc attaque, spam blah blah etc.)
Scanner d'autres machines sur d'autres réseaux etc.

Tu peux regarder cette page en anglais : http://www.honeynet.org/papers/webapp/
Il y a des parties interressantes (notamment cas contret Appendix A - Examples)

La compromission d'un système GNU/Linux en français : http://underground54.serveurperso.com/s ... .php?id=17

Une première vulnérabilité peut donc effectivement te permettre de rebondir.
Tu as la main sur une première machine dehors (j'entends accessible depuis internet) pour t'attaquer à d'autres machines dans le réseau qui elles ne sont pas accessibles depuis internet etc. etc.

Malekal_morte a écrit :d'autres élever les privilèges
Ca, c'est pour pas être emmerdé par des droits restreints. Une fois les droits admins acquis, on peut faie ce qu'on veut.
Mais il faut une faille du système pour faire ça, non? Une faille logiciel ne permet pas d'aboutir à ce résultat. Si?
de plus, comment peut-on profiter d'une faille système? Pour y accéder depuis l'extérieur, il faut pour cela que la menace virale passe le Firewall dans un premier temps, c'est bien ça?
L'explication d'un buffer overflow en français : http://underground54.serveurperso.com/hacking.php?id=73
Bon c'est dur GNU/Linux, je sais pas si tu as des notions.
Ne t'attache pas au détail mais regarde la vue d'essemble.

Via une vulnérabilité exploitable à distance, il s'est donné un accès shell sur la machine.

C'est comme Blaster, tu as un service ou daemon (sous nux) qui tournent avec les droits root/administration et possedant une vulnérabilité qui permet l'exécution de code.
Donc là on revient à l'explication plus haut, si ce service est accessible depuis internet, l'exploitation est possible (bon après si l'OS a des protections contre les buffer overflow, des verifs blah blah, ça marchera pas, mais faut simplifier).
Malekal_morte a écrit :d'autres effectuer un DoS.
Euh... Effectuer un DoS sur une machine perso sert-il à quelque chose? Y'a moyen de rentrer dans un système d'un particulier par DoS? D'autant que là, on rentre dans le cadre d'une attaque, plus d'une contamination virale.
Normal tu raisonnes en virus & Windows.


Malekal_morte a écrit :Après tu as des failles locales et distances...
Euh... Failles locales, je vois. Un logiciel, ou simplement le système qui a une faille et donc le virus en profite. Faille distante... C'est quand le virus atteint un serveur par lequel on accède à Internet, par exemple?
Quand la faille est exploitable depuis une machine distante oui donc en général, ça touche des services réseaux ou applications réseaux.
Faille locale, c'est quand tu peux l'exploiter que via un compte local sur la machine.
Malekal_morte a écrit :Un coup de Google et tu auras la réponse à tes questions... il y assez d'explications là dessus, je pense.
Ben quand je tappe virus informatique sur Google, je trouve pas ce que je cherche, c'est à dire le détail du fonctionnement des virus. Comme cela a été fait dans l'article dont Sacles m'a passé le lien.
Ben tu tapes virus informatiques... on parle pas de virus informatique là.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
Cyborg
Messages : 689
Inscription : 17 avr. 2008 15:46

Re: Faille de sécurité -> conséquence?

par Cyborg »

Merci des explications. PDT_018

Je vais le relire 3 ou 4 fois, et je reviendrais te demander quelques détails. En tout cas, merci pour tout ton speech. T'es vraiment un chef... PDT_008 enfin si je puis dire. PDT_004
"La peur mène à la colère. La colère mène à la haine. Et la haine ... mène à la souffrance." - Yoda
"Ainsi s'éteint la liberté, sous une pluie d'applaudissements." - Amidala
"Aurez-vous le courage de m'affronter?" - Moi
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Securite informatique »