BadTunnel : une faille dans Windows de 20 ans d'âge

Le par  |  25 commentaire(s)
Windows-95

Affectant toutes les versions de Windows allant de Windows 95 à Windows 10, une vulnérabilité de sécurité offrait une large surface d'attaque pour des assauts sur le réseau local venus d'Internet.

À l'occasion de son Patch Tuesday de juin, Microsoft a corrigé une vulnérabilité de sécurité touchant toutes les versions de Windows en cours de support. Dans le cadre du bulletin de sécurité MS16-077, cette faille n'a pas été jugée critique et de type élévation de privilèges.

Selon Microsoft, le problème résidait dans la manière dont Windows gère la découverte d'un proxy avec le protocole WPAD (Web Proxy Auto-Discovery Protocol) qui est utilisé pour localiser l'URL d'un fichier de configuration via DHCP ou DNS.

Il s'avère que cette faille touche des versions de Windows qui ne bénéficient plus d'un support de Microsoft et végétait depuis plus de deux décennies. Un problème présent depuis Windows 95 et jusqu'à Windows 10 qui ne paraît pas si anodin.

tunnelFondateur du Xuanwu Lab de Tencent, Yang Yu - alias @tombkeeper - a reçu la somme de 50 000 $ de Microsoft pour cette trouvaille qu'il a baptisée BadTunnel. Il est loin d'être un inconnu pour Microsoft puisqu'il figurait déjà dans son tableau d'honneur des chercheurs ayant rapporté des problèmes de sécurité.

Il explique que BadTunnel est un nouveau modèle d'attaque permettant une usurpation d'identité sur les réseaux où les sessions entre les différents ordinateurs sont établies avec NetBIOS (qui est principalement utilisé par Microsoft). Cette technique d'attaque peut contourner le pare-feu et la fonction NAT de translation d'adresse IP.

Naked Security (Sophos) résume la situation ainsi : " BadTunnel peut vous exposer à des attaquants qui ne sont pas sur votre réseau, et vos pare-feux ne vous sauveront pas, à moins de bloquer UDP sur le port 137 (ndlr : utilisé pour NetBIOS) entre votre réseau et l'Internet ". Faute de patch, ce blocage paraît donc être le seul rempart pour d'anciennes versions de Windows qui sont hors du cadre du support de Microsoft.

À Forbes, Yang Yu déclare que " c'est probablement la première fois dans l'histoire qu'il est possible de créer un tunnel pour passer à travers les dispositifs de pare-feu et NAT, et attaquer des appareils sur l'Intranet directement depuis l'Internet. "

Yang Yu assure que pour une exploitation, il suffit que la victime consulte une page Web malveillante avec Internet Explorer ou Microsoft Edge, ou ouvre un document spécialement conçu. L'attaquant peut alors détourner la demande de nom NetBIOS pour se faire passer pour un serveur d'impression ou de fichiers dans le réseau local.

Le chercheur en sécurité présentera BadTunnel début août prochain à l'occasion de la conférence Black Hat 2016 de Las Vegas.

Complément d'information

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1906150
Quand j'ai vu le splash screen de windows 95, mon cerveau a entendu l'arpège de démarrage de ce système !
Le #1906152
"Yang Yu assure que pour une exploitation, il suffit que la victime consulte une page Web malveillante avec Internet Explorer ou Microsoft Edge, ou ouvre un document spécialement conçu."

Il suffit juste d'aller sur un site douteux, puis sur ce site douteux d'ouvrir un autre document douteux...

Il suffit d'être con surtout...
Le #1906155
CodeKiller a écrit :

"Yang Yu assure que pour une exploitation, il suffit que la victime consulte une page Web malveillante avec Internet Explorer ou Microsoft Edge, ou ouvre un document spécialement conçu."

Il suffit juste d'aller sur un site douteux, puis sur ce site douteux d'ouvrir un autre document douteux...

Il suffit d'être con surtout...


PTDR !

Oui, c'est clair ou malchanceux

Enfin, c'est une faille en moins dans Windows, c'est toujours ça de pris
Le #1906156
CodeKiller a écrit :

"Yang Yu assure que pour une exploitation, il suffit que la victime consulte une page Web malveillante avec Internet Explorer ou Microsoft Edge, ou ouvre un document spécialement conçu."

Il suffit juste d'aller sur un site douteux, puis sur ce site douteux d'ouvrir un autre document douteux...

Il suffit d'être con surtout...


Pas besoin d'être con ...

Certains sites sont malin et ruses.

Genre :

Votre navigateur Internet n'est pas à jour ...
Adobe Flash n'est pas à jour, veuillez le mettre à jour en cliquant sur ce lien (infecté).

La personne qui n'y connait rien en informatique va suivre les instructions ...
Le #1906164
"Certains sites sont malin et ruses."

Sur le coup j'ai lu : Certains sites sont malin et russes.
Le #1906166
CodeKiller a écrit :

"Yang Yu assure que pour une exploitation, il suffit que la victime consulte une page Web malveillante avec Internet Explorer ou Microsoft Edge, ou ouvre un document spécialement conçu."

Il suffit juste d'aller sur un site douteux, puis sur ce site douteux d'ouvrir un autre document douteux...

Il suffit d'être con surtout...


Arriver sur une page malveillante à l'aide de IE ou Edge suffit (il y a un "ou" pas un "et" ensuite). Si l'URL est bien foutue ça peut arriver à tout le monde.

Ouvrir un document "douteux" peut aussi arriver à n'importe qui vu que certains documents "douteux" ne sont détectés comme "douteux" que par une toute partie de la population. Un " .doc " semble tellement inoffensif a priori.
Le #1906170
skynet a écrit :

"Certains sites sont malin et ruses."

Sur le coup j'ai lu : Certains sites sont malin et russes.


C'est pas faux non plus ça !!!
Le #1906171
FRANCKYIV a écrit :

CodeKiller a écrit :

"Yang Yu assure que pour une exploitation, il suffit que la victime consulte une page Web malveillante avec Internet Explorer ou Microsoft Edge, ou ouvre un document spécialement conçu."

Il suffit juste d'aller sur un site douteux, puis sur ce site douteux d'ouvrir un autre document douteux...

Il suffit d'être con surtout...


Pas besoin d'être con ...

Certains sites sont malin et ruses.

Genre :

Votre navigateur Internet n'est pas à jour ...
Adobe Flash n'est pas à jour, veuillez le mettre à jour en cliquant sur ce lien (infecté).

La personne qui n'y connait rien en informatique va suivre les instructions ...


La triste réalité oui...
Le #1906174
FRANCKYIV a écrit :

CodeKiller a écrit :

"Yang Yu assure que pour une exploitation, il suffit que la victime consulte une page Web malveillante avec Internet Explorer ou Microsoft Edge, ou ouvre un document spécialement conçu."

Il suffit juste d'aller sur un site douteux, puis sur ce site douteux d'ouvrir un autre document douteux...

Il suffit d'être con surtout...


Pas besoin d'être con ...

Certains sites sont malin et ruses.

Genre :

Votre navigateur Internet n'est pas à jour ...
Adobe Flash n'est pas à jour, veuillez le mettre à jour en cliquant sur ce lien (infecté).

La personne qui n'y connait rien en informatique va suivre les instructions ...


J'ai même ce type de message sur mon Android Marshmallow ou sur ma console 3DS x)
Le #1906177
iFlo59 a écrit :

FRANCKYIV a écrit :

CodeKiller a écrit :

"Yang Yu assure que pour une exploitation, il suffit que la victime consulte une page Web malveillante avec Internet Explorer ou Microsoft Edge, ou ouvre un document spécialement conçu."

Il suffit juste d'aller sur un site douteux, puis sur ce site douteux d'ouvrir un autre document douteux...

Il suffit d'être con surtout...


Pas besoin d'être con ...

Certains sites sont malin et ruses.

Genre :

Votre navigateur Internet n'est pas à jour ...
Adobe Flash n'est pas à jour, veuillez le mettre à jour en cliquant sur ce lien (infecté).

La personne qui n'y connait rien en informatique va suivre les instructions ...


J'ai même ce type de message sur mon Android Marshmallow ou sur ma console 3DS x)


MDR, au moins sur 3DS, y a pas de risque :')
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]