Fin octobre 2016, la faille Dirty Cow (CVE-2016-5195) touchant le noyau Linux a ébranlé la communauté du Logiciel Libre. Retour sur cette faille de sécurité informatique, qui est toujours activement exploitée à l’heure où cet article est rédigé.

Dirty CowDirty Cow : rappel des faits

La faille Dirty Cow permet à un attaquant d’effectuer une élévation de privilèges. En la combinant à d’autres exploits, un pirate pourrait donc exécuter du code en root sur la machine ciblée. La vulnérabilité touche le noyau Linux à partir de la version 2.6.22 et par extension, les technologies basées sur ce noyau sont donc également compromises, comme Android. C’est notamment pour cela que la faille a été autant médiatisée.

Dirty Cow exploite les fonctionnalités Copy-On-Write (COW) du noyau, d’où son nom. C’est par ce biais que le pirate peut atteindre et écrire sur des espaces mémoire qui, normalement, ne sont qu’en lecture seule. Pour plus de détails techniques sur l’exploitation de cette faille, consultez la vidéo « Explaining Dirty COW local root exploit » de LiveOverflow (en anglais – 12 minutes). Cette exploitation est, selon le chercheur ayant découvert la vulnérabilité, « triviale à exécuter ». L’exploitation ne laisse par ailleurs aucune trace dans les logs du système.

Pour résumer : la faille Dirty COW, permettant à un attaquant la prise de contrôle totale d’une machine ou d’un serveur, est critique. La sécurisation rapide des systèmes d’information vulnérables est donc obligatoire, et ce malgré les couches de protection supplémentaires dont vous pourriez bénéficier ! Les clients de NBS System, par exemple, disposent d’un noyau grsecurity, contenant une couche de sécurité supplémentaire par rapport aux noyaux standard. Cela rend l’exploitation de la faille plus complexe, mais ne permet pas d’assurer la sécurité du site sur le long terme.

Pourquoi des machines sont-elles toujours vulnérables ?

Contrairement aux failles plus « habituelles », Dirty Cow touche le noyau Linux, et donc le cœur de la solution. Des correctifs adaptés à chaque distribution de Linux (Red Hat, Debian, Ubuntu, SUSE), mais également aux terminaux Android, ont été développés.

Cependant, la mise à jour d’une machine, et d’un parc de machines dans le cadre de systèmes d’information complexes, peut prendre du temps ! C’est pourquoi de nombreuses machines sont encore vulnérables. NBS System a commencé l’installation du correctif sur ses infrastructure, et monitore l’exploitation de la faille sur les machines de son parc en attente de ce dernier. Ainsi, en cas d’exposition, nos équipes peuvent réagir rapidement afin d’éviter que le pirate puisse en profiter. Renseignez-vous auprès de votre hébergeur, et mettez à jour vos machines personnelles !

Lucie Saunois
 

Aucun commentaire