Passer entre la rustine et le trou
Cesar Cerrudo signe un papier passionnant sur l'art d'exploiter une faille de sécurité déjà colmatée.. Il prend pour exemple le bug « Client/Server Runtime Server Subsystem » et explique en substance que la rustine MS05-049 n'est en fait qu'un « hook » interceptant les appels illégaux semblant chercher à exploiter ladite faille. C'est un peu comme une mesure de sécurité d'aéroport : on filtre l'entrée mais la faille est laissée en l'état... car entraînant trop de contraintes de réécriture de code. Cerrudo ne dévoile là aucun scoop. Il existe même des logiciels de sécurité qui fonctionnent sur ce même principe d'interception, avec des degrés de sophistication plus ou moins prononcés, prétendant résoudre une vulnérabilité avant même que l'éditeur -Microsoft en l'occurrence- n'ait envisagé de publier le moindre bouchon logiciel. Ce qui est nouveau, en revanche, c'est l'analyse et l'approche du reverse engineering. Elle peut être transposable sur des milliers de problèmes déjà rencontrés et utilisant une méthode de colmatage similaire. Il est, par exemple, certain qu'un nombre non négligeable d'attaques en spoofing est actuellement bloqué non pas par une nouvelle écriture du masque de saisie, mais par un crible énergique éliminant les entrée dangereuses connues. Le jeu consiste alors à tenter de s'immiscer à la place de la « colle », entre rustine et trou, pour retrouver le chemin de la faille originelle ...
