Faille de sécurité dans plusieurs gardes-barrière personnels
Date : 17 Juin 2005
Une méthode de contournement des contrôles de sécurité de nombreux gardes-barrière personnels a été analysée ce mois-ci dans la liste de diffusion "Bugtraq".
Principe
Cette méthode concerne les gardes-barrière personnels qui, lors du contrôle d'actions sensibles telle que :
- se mettre à l'écoute de ports de communications,
- exécuter un autre programme,
- se connecter à un autre ordinateur,
- …
interagissent avec les utilisateurs via des raccourcis clavier ou une interface autorisant des actions de la souris, sans identification/authentification de ces utilisateurs.
Un cheval de Troie peut contourner les mécanismes de sécurité de ces gardes-barrière en demandant d'accéder à un autre système ou de se comporter comme un serveur, ceci en lançant parallèlement un script qui génère des actions clavier ou souris simulant l'accord de l'utilisateur en réponse aux demandes du garde-barrière.
Remarque : Comme la plupart de ces gardes-barrière ont une option "de mémorisation" ("remember"), si un cheval de Troie parvient à aider un programme à contourner le garde-barrière une première fois pour une certaine action, cette dernière sera mémorisée et la brèche sera dès lors ouverte pour toute action identique ultérieure.
Tests et "Proof-of-concept"
L'auteur du post dans "Bugtraq" propose des programmes de démonstration ("Proof-Of-Concept") pour les gardes-barrière personnels "ZoneAlarm", "Kerio", "Agnitium", "Kaspersky Anti-Hacker", "Look'n' Stop" et "Norton Symantec".
D'autre part, un groupe de travail allemand (le "Chaos Computer Club" d'Ulm) a publié des "Proof-Of-Concept" qui contournent ces gardes-barrière personnels et permettent de :
- communiquer avec un attaquant distant en simulant les interactions nécessaires de l'utilisateur,
- lancer "Internet Explorer" en simulant les actions nécessaires de l'utilisateur,
- écrire et lire les URI dans la fenêtre d'"Internet Explorer",
- simuler des clics souris sur le bouton "Permettre" ("Allow") des fenêtres provenant d'un garde-barrière personnel.
Commentaire du Cert-IST :
Pour exploiter cette faiblesses des garde-barrière personnels il faut d'abord qu'un programme malicieux "cheval de Troie" soit préalablement installé sur le système. Ceci confirme, si nécessaire, l'importance d'avoir des logiciels anti-virus à jour.
Pour plus d'information :
- Post de "Bugtraq" : http://www.securityfocus.com/archive/1/385930
- Article du "Chaos Computer Club" : http://copton.net/vortraege/pfw/index.html (en allemand)