l'exploitation des failles grâce au fuzzing

claire25

La croissance du nombre de failles connues et de leur exploitation s'explique en partie par le recours à des outils d'automatisation des détections. La course aux correctifs s'accélère pour les éditeurs.

Les trois derniers bulletins de sécurité mensuels de Microsoft n'auront pas tardé à être exploités. Dans les trois cas, il n'aura fallu que bien peu de temps, parfois un jour, aux créateurs de virus pour découvrir comment exploiter des failles critiques de la suite bureautique Office.

Si les pirates avaient déjà recours au reverse engineering pour découvrir des failles applicatives, il faut ajouter un autre outil à leur panoplie. Une solution dont l'utilisation remonte déjà à 2 ans au moins. Appelé "fuzzing", cette méthodologie est notamment employée par les experts en sécurité afin de détecter des bugs et failles dans les applications.

Le concept de fuzzing s'est en partie popularisé en raison des recherches de l'expert en sécurité, HD Moore, également à l'origine de la publication du code source d'un moteur de recherche des codes malveillants sur Internet. Moore est principalement connu pour sa contribution au projet Open Source, Metasploit Framework, un environnement dédié au développement d'exploits et aux tests de sécurité.

Les logiciels nommés "fuzzers" ont pour but d'automatiser la recherche des failles. Mais dans le cas de leur utilisation par des pirates, l'objectif n'est alors plus d'en informer les éditeurs… Une fois l'exploit réalisé, ces derniers utiliseront ce type d'application pour connaître les tenants et les aboutissants du mécanisme incriminé.

De multiples fuzzers existent notamment pour détecter des failles dans les navigateurs Web. Certains se spécialisent ainsi dans les tests des failles des objets COM ou des ActiveX. Tandis que d'autres s'attacheront à tester les CSS, le DHTML, ou encore le comportement général du navigateur face à du code HTML mal formé.