.---+-=[ Notes sur windows XP SP2 ]=------+---------------------------=[08]=----. | i| \__________________ ___ __ _ | | I| \ | | I| '-=[Lastcall_ ]=-| | // | | L\:-=[Ak : C'est ça mais c'est pas ça ]=--------------[~~~~~~~~~~~~]-----| | \ / | '________________________________________________________________________.I[MK-110]I.______' Note sur les notes : J'ai écrit ces notes dès que le SP2 a sorti, en fait, j'avais même installé le SP2 sur un ordi dans le temps que y'était BETA pis que ça la toute chier un moment donné a cause du Windows update (dsl encore mio :-P). Bref, cet article était supposer être releasé en août, donc est pu trop trop "actuel hot". Le voici donc en version "fini sous le rush 4 mois plus tard". Par contre, je vous garanti que même si vous avez (et sacrer après) le SP2 depuis qq mois, vous allez apprendre quelques facts intéressants à propos de cette fameuse patch de la mort qui tue. Chose que SP2 fait in a nutshell ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ - New firewall qui marche par application (comme tiny personal firewall et zone alarm) - Le new firewall BLOCK ALL par defaut et permet des applications/ports exceptions, et peut etre mis en nazi-mode (aka On with no exceptions) - L'ancien firewall est encore la, en faite il sert de "ouvreur de ports par interface" (aka exactement cki fesait avant le SP2). C'est la seule chose qui a été laisser "laide" pour pas nous gosser.. ou yon faite ça parce que le nouveau firewall est pas a la même place sua stack (genre l'ancien serait direct sur l'interface, le nouveau un layer plus haut.. *suppositions ici voir sections suppositions*) - Un "Security Center" vous gosse d'installer un anti-virus, de mettre le firewall et les auto-updates a on - Un popup blocker dans IE - Un service qui scan pour les bad attachements dans Outlook pis MSN/Windows Messager. Il start aussi l'anti-virus automatiquement. - Un équivalent de "Hijackthis" pour IE + liste des a alloué. Chose que SP2 fait pas in a nutshell ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ - Rendre votre ordinateur plus sécure qu'avant si vous aviez déjà un A/V pis un firewall block all par defaut - Vous sacré la paix avec le Security Center (malgres que ya moyen de disabler les alerts ou de dire "arrête de me gosser avec le A/V") - Vous permette de rouler votre machine comme avant - Empecher de rouler un programme qui disable toute les feats. de sécurité - Rouler le service messenger (tsé les popup avec net send la?) par defaut. - Afficher les images externes dans un HTML email. Runner des dans un HTML email. - Rouler du javascript dans un .jpg (sorry funky :-P) Les détails leets ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ - Le firewall permet d'allouer des subnets pour certain service (pis y le fait avec le réseau local par défaut je crois) - Le firewall est full-keep-state (pkoi c fun ca? pensez zy, si une apps allouer par le firewall ouvre un port, seul les donnés de ce flow spécifique la passe par ce port la, DONC pour hijacker une connexion/spoofer un packet, ça va etre ben plus toffe) - Boot-time policy; tlm se rapelle que on pouvait se faire owner PENDANT l'installation de Windows XP, ou pire pendant le boot-time (Si genre le service du firewall est pas encore starter). Well maintenant ya un boot-time policy (en francais tant que le vrai service de firewall est pas starté) qui block toute sauf DNS/DHCP/domain controller.. clever. - RPC refuse toute les requests qui sont pas "clean", genre dune source anonyme et non autotifier. - Les port RPC (well les shits de Windows? je suppose) sont accessible seulement pour un service. Donc, les trojans qui roulent pas en service et qui utilisait ces ports la (cé drole jen connais pas..p-e des rootkits alors?). Solution? Rouler vos trojans en service Local System ou Network Service ou Local Service. - DCOM marche juste si le user disant est authentifier (c dla marde pour un usage légitime, j'ai tjrs détester gosser pour syncroniser des users entre 2 Windoze) - MEMORY PROTECTION*! OMG! Yep, SP2 supporte l'exécution protection pis le sandboxing. En clair pas clair, ça supporte le NX sur les CPUs 64 bits intel/amd, surl es bon vieux 32bits la stack pis la heap sont protégé respectivement par un security check des buffers pis un "cookie" placer a la fin des buffers. En concret, va falloir TOUTE RECOMPILER les exes pour que ca soye compatible avec ca. Voila, on a maintenant l'Explication de 2 choses 1) pkoi que SP2 est si incompatible avec plein d'affaires et 2) pkoi que c aussi gros que ça a downloader. *: ne pas confondre avec la feat quon a depuis les 386. hehe - AES (Attachement Execution Service). Interfacer en COM avec les autres apps, cte service la va carrément scanner les MIME ext en fonction des file ext (fini les javascript dans les jpegs??? je rêve?) - La local zone dans IE est maintenant une zone sécurisé par default (avant toute ce qui était LOCAL était full trusted).Donc en gros, IE block des affaires même si vous accessder à C:\bleh.html (remarquer ça dans IE6 c'était déjà la, mais ca dlair que SP2 l'extend au component et autre bidule, chu tu en train de dire que y va avoir dla sécurité dans les windows help en html? ça dlair que oui, p-e même que c bloquer par default comme outlook...) Ça pas rapport mais ya un lien ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ - Windows update v5 était loader par default dans le beta release du SP2... - L'base line analyser est updater pour le SP2.. si vous savez pas c'est quoi le BSA, aller voir, vous êtes pas si bien patcher que vous le penser... http://www.microsoft.com/mbsa - Avis aux webmasters qui avait faite un site pour "IE": tant pis pour vous ya pu grand bébelles qui vont marcher avec le SP2! J'espère que vous êtes payer a l'heure. http://msdn.microsoft.com/security/productinfo/xpsp2/default.aspx?pull=/library/en-us/dnwxp/html/xpsp2web.asp Suppositions et psychohistoire ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ - Le nouveau firewall: si yé effectivement un layer plus haut, ça voudrait dire qu'un programme qui gosse direct avec une interface au lieu de "global" ne serait pas affecter par le firewall? ctun non-sense paske ca dlair que même les RPC sont gérer par le nouveau firewall.. well si ya qqn d'assé leet en windows y pourrait essayer ça, bidouiller un driver de network card pour qui serve de direct pipe (ou encore accéder direct au driver existants avec un prog low-level). Par contre toute la beauté d'exploiter ça facilement revient au niveau de "est-ce que le 'specific network connections firewall' est a block-all-on-par-default. Dans SP1 cétait la coche firewall dans les advanced params de la connexion, alors que dans le nouveau c une liste des connections dans le advanced tab du Windows Firewall. Nyways, ya moyen d'ouvrir un port en runnant une application via le vieux firewall de SP1, donc ca se fait très certainement avec le vieux firewall de SP2 (la beauté de la chose agian c que ça bypass le nouveau firewall, et le user qui a peur du tab "advanced" verra jamais rien. - L'impact du block all par défaut: LE futur pour le support technique va être génial. Imaginé au monde ou tout est block all par défault, un monde ou tlm sont routés entre Internet et leurs maisons (avec un routeur entre les 2). Ben ce monde la va être encourager par le SP2. C'est déjà faite pour la plupart des gens, asteure les routeurs se retrouvent dans les boites de céréales. MAis la le SP2, va rendre ça presque obligatoire pour toute les noobs (parce que c'est PAR DEFAULT). Donc, fini les applications qui utilise des socket qui listen.. a moins que (voir le point suivant). - Me semble que c'est facile s'ajouter dans la "OK LIST" (en faite c'est de même depuis SP1) : Ouais, il est possible pour un programme de s'ajouter dans la OK list du firewall. En gros, le exe est une "exception" toute ski bind et ski sort est pas filtrer par le firewall.. pratique. Tellement que je me rappelle un jour (sous SP1) Internet Explorer a décider d'ouvrir quelques ports pour Windows Media Player.. je me suis fâché, et je lui ai foutu une volée.. je me rappelle pu trop ce que je lui ai fait mais depuis, WMP plante systématiquement sur ma machine.. haha M'enfin, toute ça pour dire que, finalement, dans le futur les différents "malwares" vont finir par se débrouiller comme ils veulent pour runner firewall ou pas, puisque après tout, dès qu'un user logger administrateur (btw, le SP2 encourage t-il le "be a user instead of an admin/poweruser?", non je crois pas, DUH) run un .exe, c'est fini napu. Boutte pseudo-leet de l'article : test de process injection ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Pour ceux qui lise phrack assidûment, vous vous rappelez sûrement de l'article de rattle dans le #62 "Using Process Infection to Bypass Windows Software Firewalls". Pour les autres, cet article démontre des moyens de bypasser les stupides firewall qui check pour les outbound connexions des process, du genre "Voulez vous laisser aolshit.exe aller sur le port 80 de www.perdu.com?". Sa première technique (se servir d'un exe sur le disque pour injecter le code dedans et starter son propre code) défonce toute les firewall qu'il a tester sauf TinyPersonalFirewall, et sa deuxième défonce même TinyPF. Mais bon, on sen fou dans cet article si ça défonce Zone Alarm 4, Sygate 5.5, blackIce 3.6 et même Tiny 5.0, ce qui nous intéresse c'est le firewall de Windoze XP! Je vais donc faire des tests, primo, sans le SP2, avec TinyPF. J'ai effectivement réussi a runner les 2 source codes, les résultats ont fonctionné tel que prévu. N'a un qui a marcher, l'autre qui a pas marcher. J'ai pas envie d'inventer des results, donc vous devez me croire (pis croire l'article dans phrack ça marche/shit comme c'est supposé. TinyPF détecte qui a qqchose de louche qui se passe avec un, mais l'autre rien du tout. Deuxio, avec le SP2, pis le super-mega-firewall de Windows. La toute se passe comme dans du beurre. Au moins TinyPF détectais le louche avec la première version, mais la j'ai un injection successful pour les 2.. M'enfin, sommes toutes WinXP fait pas grand chose.. en faite ya meme quelque chose de louche. Metton que je lunch une application moche, metton "TCP Port Listener v1.0 by oollee". Bien SP2 me popup une jolie fenêtre de "Open File, Security Warning: The publisher cannot be verified". Et me demande si je veux vraiment l'ouvrir.. fou fou! Mais par contre, si je lunch le binary compiler direct de phrack.. rien, y le run comme du beurre. C'est plutôt louche a mon avis. De plus, des fois, le FireWall de SP2 me gosse a propos des outbounds dans mIRC, quand ça lui tente.. LOUCHE. En tout cas y'a pas de grosses conclusions a tirer de t'ça, à part que ça pourrait pas sucker, mais ça suck par boute pareil.. hehe Lectures en détails ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnwxp/html/securityinxpsp2.asp http://download.microsoft.com/download/6/6/c/66c20c86-dcbe-4dde-bbf2-ab1fe9130a97/windows%20xp%20sp%202%20white%20paper.doc http://www.phrack.org/show.php?p=62&a=13 Bonus link ¯¯¯¯¯¯¯¯¯¯ http://www.microsoft.com/technet/Security/tools/default.mspx La fin de l'article ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Si vous avez lu l'article, vous comprenez maintenant pourquoi le titre était "Notes sur Windows XP SP2" et non "Article innovateur élite super 2004". Mais bon, ces notes pourrait p-e vous êtres utile, ou du moins peuvent vous sauver la lecture longue et fastidieuse (et bullshitteuse) du site de M$ sur le sujet. De plus, ces notes pourrait vous menez vers des idées de projets.. tel que de quoi qui se "process inject", ou encore un plugin de malware qui scrap le firewall du monde.. mais bon, soyez pas trop evil, parce que après tout, la journée qu'on va avoir fini de scrapper Windows et que toute va être patcher, va falloir se rabattre sur la bonne vieille faille universelle : l'être humain. D'ici la ça risque de prendre bcp de temps, mais soyons visionnaire, et disons nous que dans ~100 ans, ça devrait être faite, et même temps, les gens vont être plus sensible à la sécurité, à l'informatique elle-même. Donc, (psychohistoire again), ya qua espérer qui va avoir un véritable avancement dans les OS tel que Windows, tellement grand, que le cycle naturel du hacking puisse continuer et que nos tête dans des bocals puissent continuer de hacker teh yold way. 3h26 am, c fini. time to get balws .-._.-._.-._.-._.-._.-._.-._ :" ------. ``, } |_.l._l '=---=1| { `--.__ |1 } <-'`'` |1 { <-`,., |1 } ,----- =---=1|| : L__/``| ,` "._.-._.-._.-._.-._.-._.-._.-' ready to continue ?