BadTunnel : une faille dans Windows de 20 ans d'âge

Le par Jérôme G.  |  25 commentaire(s)
Windows-95

Affectant toutes les versions de Windows allant de Windows 95 à Windows 10, une vulnérabilité de sécurité offrait une large surface d'attaque pour des assauts sur le réseau local venus d'Internet.

À l'occasion de son Patch Tuesday de juin, Microsoft a corrigé une vulnérabilité de sécurité touchant toutes les versions de Windows en cours de support. Dans le cadre du bulletin de sécurité MS16-077, cette faille n'a pas été jugée critique et de type élévation de privilèges.

Selon Microsoft, le problème résidait dans la manière dont Windows gère la découverte d'un proxy avec le protocole WPAD (Web Proxy Auto-Discovery Protocol) qui est utilisé pour localiser l'URL d'un fichier de configuration via DHCP ou DNS.

Il s'avère que cette faille touche des versions de Windows qui ne bénéficient plus d'un support de Microsoft et végétait depuis plus de deux décennies. Un problème présent depuis Windows 95 et jusqu'à Windows 10 qui ne paraît pas si anodin.

tunnelFondateur du Xuanwu Lab de Tencent, Yang Yu - alias @tombkeeper - a reçu la somme de 50 000 $ de Microsoft pour cette trouvaille qu'il a baptisée BadTunnel. Il est loin d'être un inconnu pour Microsoft puisqu'il figurait déjà dans son tableau d'honneur des chercheurs ayant rapporté des problèmes de sécurité.

Il explique que BadTunnel est un nouveau modèle d'attaque permettant une usurpation d'identité sur les réseaux où les sessions entre les différents ordinateurs sont établies avec NetBIOS (qui est principalement utilisé par Microsoft). Cette technique d'attaque peut contourner le pare-feu et la fonction NAT de translation d'adresse IP.

Naked Security (Sophos) résume la situation ainsi : " BadTunnel peut vous exposer à des attaquants qui ne sont pas sur votre réseau, et vos pare-feux ne vous sauveront pas, à moins de bloquer UDP sur le port 137 (ndlr : utilisé pour NetBIOS) entre votre réseau et l'Internet ". Faute de patch, ce blocage paraît donc être le seul rempart pour d'anciennes versions de Windows qui sont hors du cadre du support de Microsoft.

À Forbes, Yang Yu déclare que " c'est probablement la première fois dans l'histoire qu'il est possible de créer un tunnel pour passer à travers les dispositifs de pare-feu et NAT, et attaquer des appareils sur l'Intranet directement depuis l'Internet. "

Yang Yu assure que pour une exploitation, il suffit que la victime consulte une page Web malveillante avec Internet Explorer ou Microsoft Edge, ou ouvre un document spécialement conçu. L'attaquant peut alors détourner la demande de nom NetBIOS pour se faire passer pour un serveur d'impression ou de fichiers dans le réseau local.

Le chercheur en sécurité présentera BadTunnel début août prochain à l'occasion de la conférence Black Hat 2016 de Las Vegas.

  • Partager ce contenu :
Complément d'information

Vos commentaires Page 1 / 3

Trier par : date / pertinence
kerlutinoec offline Hors ligne VIP icone 13502 points
Le #1906150
Quand j'ai vu le splash screen de windows 95, mon cerveau a entendu l'arpège de démarrage de ce système !
CodeKiller offline Hors ligne VIP avatar 8235 points
Le #1906152
"Yang Yu assure que pour une exploitation, il suffit que la victime consulte une page Web malveillante avec Internet Explorer ou Microsoft Edge, ou ouvre un document spécialement conçu."

Il suffit juste d'aller sur un site douteux, puis sur ce site douteux d'ouvrir un autre document douteux...

Il suffit d'être con surtout...
Safirion offline Hors ligne VIP icone 40374 points
Le #1906155
CodeKiller a écrit :

"Yang Yu assure que pour une exploitation, il suffit que la victime consulte une page Web malveillante avec Internet Explorer ou Microsoft Edge, ou ouvre un document spécialement conçu."

Il suffit juste d'aller sur un site douteux, puis sur ce site douteux d'ouvrir un autre document douteux...

Il suffit d'être con surtout...


PTDR !

Oui, c'est clair ou malchanceux

Enfin, c'est une faille en moins dans Windows, c'est toujours ça de pris
FRANCKYIV offline Hors ligne VIP icone 52590 points
Premium
Le #1906156
CodeKiller a écrit :

"Yang Yu assure que pour une exploitation, il suffit que la victime consulte une page Web malveillante avec Internet Explorer ou Microsoft Edge, ou ouvre un document spécialement conçu."

Il suffit juste d'aller sur un site douteux, puis sur ce site douteux d'ouvrir un autre document douteux...

Il suffit d'être con surtout...


Pas besoin d'être con ...

Certains sites sont malin et ruses.

Genre :

Votre navigateur Internet n'est pas à jour ...
Adobe Flash n'est pas à jour, veuillez le mettre à jour en cliquant sur ce lien (infecté).

La personne qui n'y connait rien en informatique va suivre les instructions ...
skynet offline Hors ligne VIP icone 81033 points
Le #1906164
"Certains sites sont malin et ruses."

Sur le coup j'ai lu : Certains sites sont malin et russes.
Anonyme offline Hors ligne VIP avatar 5760 points
Le #1906166
CodeKiller a écrit :

"Yang Yu assure que pour une exploitation, il suffit que la victime consulte une page Web malveillante avec Internet Explorer ou Microsoft Edge, ou ouvre un document spécialement conçu."

Il suffit juste d'aller sur un site douteux, puis sur ce site douteux d'ouvrir un autre document douteux...

Il suffit d'être con surtout...


Arriver sur une page malveillante à l'aide de IE ou Edge suffit (il y a un "ou" pas un "et" ensuite). Si l'URL est bien foutue ça peut arriver à tout le monde.

Ouvrir un document "douteux" peut aussi arriver à n'importe qui vu que certains documents "douteux" ne sont détectés comme "douteux" que par une toute partie de la population. Un " .doc " semble tellement inoffensif a priori.
FRANCKYIV offline Hors ligne VIP icone 52590 points
Premium
Le #1906170
skynet a écrit :

"Certains sites sont malin et ruses."

Sur le coup j'ai lu : Certains sites sont malin et russes.


C'est pas faux non plus ça !!!
Safirion offline Hors ligne VIP icone 40374 points
Le #1906171
FRANCKYIV a écrit :

CodeKiller a écrit :

"Yang Yu assure que pour une exploitation, il suffit que la victime consulte une page Web malveillante avec Internet Explorer ou Microsoft Edge, ou ouvre un document spécialement conçu."

Il suffit juste d'aller sur un site douteux, puis sur ce site douteux d'ouvrir un autre document douteux...

Il suffit d'être con surtout...


Pas besoin d'être con ...

Certains sites sont malin et ruses.

Genre :

Votre navigateur Internet n'est pas à jour ...
Adobe Flash n'est pas à jour, veuillez le mettre à jour en cliquant sur ce lien (infecté).

La personne qui n'y connait rien en informatique va suivre les instructions ...


La triste réalité oui...
iFlo59 offline Hors ligne VIP icone 30972 points
Premium
Le #1906174
FRANCKYIV a écrit :

CodeKiller a écrit :

"Yang Yu assure que pour une exploitation, il suffit que la victime consulte une page Web malveillante avec Internet Explorer ou Microsoft Edge, ou ouvre un document spécialement conçu."

Il suffit juste d'aller sur un site douteux, puis sur ce site douteux d'ouvrir un autre document douteux...

Il suffit d'être con surtout...


Pas besoin d'être con ...

Certains sites sont malin et ruses.

Genre :

Votre navigateur Internet n'est pas à jour ...
Adobe Flash n'est pas à jour, veuillez le mettre à jour en cliquant sur ce lien (infecté).

La personne qui n'y connait rien en informatique va suivre les instructions ...


J'ai même ce type de message sur mon Android Marshmallow ou sur ma console 3DS x)
Safirion offline Hors ligne VIP icone 40374 points
Le #1906177
iFlo59 a écrit :

FRANCKYIV a écrit :

CodeKiller a écrit :

"Yang Yu assure que pour une exploitation, il suffit que la victime consulte une page Web malveillante avec Internet Explorer ou Microsoft Edge, ou ouvre un document spécialement conçu."

Il suffit juste d'aller sur un site douteux, puis sur ce site douteux d'ouvrir un autre document douteux...

Il suffit d'être con surtout...


Pas besoin d'être con ...

Certains sites sont malin et ruses.

Genre :

Votre navigateur Internet n'est pas à jour ...
Adobe Flash n'est pas à jour, veuillez le mettre à jour en cliquant sur ce lien (infecté).

La personne qui n'y connait rien en informatique va suivre les instructions ...


J'ai même ce type de message sur mon Android Marshmallow ou sur ma console 3DS x)


MDR, au moins sur 3DS, y a pas de risque :')
icone Suivre les commentaires
Poster un commentaire