Automatisation
Un logiciel automatise l'utilisation de la dernière grosse faille à pirate visant Windows. Ce programme créé par des White Hat, des hackers blanc, n'aurait normalement pas du sortir du pré-carré des professionnels de la sécurité informatique. Malheureusement voilà qui est fait. En 52 kilos ce programme permet de trouver et permettre l'exploitation de Webdav.

"Le fait qu'on se soit fait spolier notre découverte par Rafa et des journalistes peu scrupuleux de connaître la vérité avant de sortir un article (cf. cnet), inconsciemment ca nous a donné l'envie de nous venger et de sortir des programmes encore plus Féroces " Dixit l'un des membres de la team C(or)omputer qui a sorti l'exploit. "et puis faut pas oublier que c'est un jeu aussi - David contre Goliath :)".

Une découverte qui attire les défaceurs de sites web, et dans le pire des cas risque d'attirer les trashers, ceux qui aiment créer des codes malveillants par exemple. Des viri qui pourraient faire de gros, très gros dégâts, comme ont pu le faire Code red, Nimda ou encore le ver SQL.

Webdav, kesako

La faille WebDAV fait parler d'elle depuis mars dernier. Les pirates l'ont utilisé pour frapper d'importants sites, comme des gouvernements, ...

Elle tourne sur des Serveurs iis 5.0 sous Windows 2000. Une vulnérabilité critique dans un composant de Windows 2000 utilisé par le protocole WebDAV (World Wide Web Distributed Authoring and Versioning) peut permettre à une personne malveillante de planter ou d'exécuter le code de son choix sur un serveur IIS 5.0 utilisant ce système d'exploitation, en envoyant une requête HTTP spécifiquement malformée. Cette faille est spécifique à Windows 2000 et ne concerne pas IIS 5.0 sous NT 4.0 ou XP. Pour exploiter cette faille, les pirates ont plusieurs possibilités. Beaucoup utilisent " superscan " qui permet de scanner la machine cible sur le port 80. Cela permet aux pirates d'avoir le type de serveur présent. Ils n'ont plus qu'à démarrer netcat sur le port 54 et utiliser l'exploit ntdll.dll/WEBDAV créé par un white hat nommé Kralor, sur le port 54.

Si la faille est présente, le pirate aura un accès administrateur sur le serveur cible. Il va pouvoir ensuite se balader sur les différents disques durs de sa cible, y copier des fichiers, en télécharger, modifier ... Cette faille exerce un débordement de tampon sur le fichier ntdll.dll et permet avec un offset précis de donner l'accès comme administrateur.

Kiddies tool

Un autre programme encore plus dangereux a vu aussi le jour sous le nom de KaHT. Le pirate, aT4r@3, propose un programme sous dos qui a la particularité de scanner plusieurs ip en même temps, de générer un rapport en html des ip piratables, il permet aussi d'uploader des scripts, de brute forcer et de créer des comptes admins.

Bref, un couteau "suisse" du pirate qui risque de faire pas mal de dégat. (Ndlr : Vu que certains "pros" se posent des questions sur la véracité de l'existence de ce programme, voici deux captures écran de ce dernier 1 et 2)

Dans la série des outils dangereux, les chinois du CNhonker, nous vous parlions d'eux en janvier dernier avec le virus SQL, ont sorti, eux aussi, un scanner Webdav. Il scanne des ranges d'ip afin de récolter les bannières http afin de trouver des serveurs IIS 5.0 et testé la faille Webdav sur ces derniers.