Journal BadBunny : lapin crétin ou le retour du virus d'openoffice

Posté par  .
Étiquettes :
0
13
juin
2007
Qui n'a jamais rêvé de voir un homme habillé en lapin dans les bois en train de faire des choses sexuellement explicite ?

Si ce genre d'aventure vous intéresse, alors le virus contenu dans le fichier badbunny.odg est fait pour vous. En effet, le virus badbunny est multiplateforme (Windows, Linux, MacOS) et utilise donc openoffice et xchat et mirc pour se propager.

Ce virus qualifié de « moyennement dangereux » se contente de télécharger une image de lapin et lance des requêtes ICMP sur les sites d'antivirus.

Au-delà de l'aspect « preuve du concept » d'un virus multiplateforme, il est évident que qu'il faut se poser la question sur la sécurité de nos OS

L'utilisation de dbus, la standardisation et la précense de nombreux languages de scripts sur nos desktops ainsi que l'arrivé de massives de personnes pas forcément très aguerris à la sécurité laissent une place intéressante pour la propagation de virus.

http://www.sophos.com/security/analyses/sbbadbunnya.html
http://www.generation-nt.com/open-office-star-office-ver-vir(...)
http://fr.mcafee.com/virusInfo/default.asp?id=description&am(...)

  • # système ?

    Posté par  (site web personnel) . Évalué à 1.

    Qui lancerait OpenOffice.org en root ?

    Mais effectivement, cela peut-être la porte ouverte à l'utilisation d'exploit local pour escalader ses privilèges (d'où l'importance d'un système à jour des correctifs de sécurité) et puis bon, ce n'est jamais la joie d'avoir tout son $HOME qui disparaît (oui oui ya les sauvegardes).

    • [^] # Re: système ?

      Posté par  (site web personnel) . Évalué à 5.

      qui ? tout plein de geeks, newbies et autres kiddies kikoo lol msn ...

    • [^] # Re: système ?

      Posté par  (site web personnel) . Évalué à 10.

      > Qui lancerait OpenOffice.org en root ?

      Il faut effectivement être root pour faire des ping, télécharger une image sur internet et envoyer un fichier avec xchat.

      Effectivement.

      Bref, je ne vois pas le rapport entre ce vers et "qui lancerait OpenOffice.org en root ?" ou "utilisation d'exploit local" ...

      • [^] # Re: système ?

        Posté par  (site web personnel) . Évalué à 3.

        Désolé de ne pas te contredire, mais il faut être (un peu) root pour faire des pings : http://jp.barralis.com/linux-man/man8/ping.8.php#lbAM

        • [^] # Re: système ?

          Posté par  (site web personnel) . Évalué à 2.

          Sur ma Debian :

          e-t172@zyklos:~$ ls -l /bin/ping
          -rwsr-xr-x 1 root root 31K 2007-04-12 21:11 /bin/ping

          Donc sur une Debian, ping est SUID root par défaut. J'imagine que sur la quasi-totalité des autres distros aussi.

          Donc non, en général on a pas besoin d'être root pour faire un ping.

          • [^] # Re: système ?

            Posté par  (site web personnel) . Évalué à 2.

            Comme dit au dessus, ping est généralement suid :

            $ time ping -f -i 0.2 -c 50 xxx.xxx.xxx.xxx && id
            PING xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx) 56(84) bytes of data.

            --- xxx.xxx.xxx.xxx ping statistics ---
            50 packets transmitted, 50 received, 0% packet loss, time 9962ms
            rtt min/avg/max/mdev = 0.107/0.174/0.260/0.038 ms, ipg/ewma 203.325/0.177 ms

            real 0m9.965s
            user 0m0.000s
            sys 0m0.004s
            uid=1000(xxx) gid=1000(xxx)


            Au pire, il est possible d'avoir des pouvoir de nuisance avec telnet ou autre logiciel de ce type.

    • [^] # Re: système ?

      Posté par  . Évalué à 10.

      Perso, mon $HOME est plus important que mon /sbin.
      Et puis savoir que ma machine pourrait servir de vecteurs de propagation de virus, ca n'est pas intellectuellement satisfaisant.

      je trouve aussi que par défaut, une distrib user friendly n'est pas assez sur la défensive.
      par exemple, Quid des firewalls applicatifs par défaut ? ca ne serait pas dur à créer ( http://olivieraj.free.fr/fr/linux/information/firewall/fw-03(...) )

      Pourquoi les macros Openoffice ne devrait pas demander avant d'accéder à des ressources tels que le réseau ou le système de fichier ? Pour être user friendly, non merci. MS a déjà essayer et ils ont eu des problèmes.

      • [^] # Re: système ?

        Posté par  (site web personnel) . Évalué à 5.

        par exemple, Quid des firewalls applicatifs par défaut ? ca ne serait pas dur à créer ( http://olivieraj.free.fr/fr/linux/information/firewall/fw-03(...) )

        La situation a pas mal évolué depuis que j'ai écris cette documentation sur Netfilter (2003) (*). Ainsi, divers solutions sont actuellement utilisables :
        - http://www.nufw.org/ . C'est un peu "bourrin" pour une utilisation personnelle, mais cela permet le FW applicatif :
        Filtrer les paquets avec des critères tels que l’application ou l’OS utilisés par les utilisateurs.

        - Le module "owner" d'iptables permet de créer des règles sur l'utilisateur qui établie, ou qui reçoit une connexion. Ainsi, on peut interdire à un utilisateur de surfer (port 80), mais d'envoyer des "ping" (icmp).

        - Autre usage du module "owner" J'ai travaillé récemment sur le problème de Wine, afin d'interdire à une application Windows tournant sous Wine de se connecter à Internet. Il suffit de créer un utilisateur particulier (par exemple "wine-user"), qui sera chargé de lancer wine et son application Windows. Puis, d'interdire, toujours avec le module "owner", cet utilisateur de se connecter à Internet. Enfin, via les commandes de partages de session X ("xhost + local:wine-user" et "export DISPLAY=:0.0"), on peut faire afficher l'application lancé par "wine-user" sur sa session principale.

        - Enfin, des applications comme le "ifw" (Interactive FireWall : http://wiki.mandriva.com/en/Projects/Interactive_Firewall ) de Mandriva devrait permettre de faire du firewall applicatif.

        - Etc ...

        (*): J'ai pas mal de mise à jours à apporter à cette documentation, mais je manque un peu de temps pour le faire. 4 ans sans modifications, cela commence à faire beaucoup... Mais apparemment, elle est toujours pas mal lue.

    • [^] # Re: système ?

      Posté par  (site web personnel) . Évalué à 8.

      L'histoire root/non root au niveau desktop c'est du flanc... le système n'est pas la chose important, mais bien les données utilisateur, ce n'est pas que c'est pas la joie de voir son $HOME disparaitre, c'est qu'un virus desktop c'est fait pour te faire chier, donc en premier lieu, détruire tes données.

      Maintenant pour la propagation de celui-ci, pas besoin de nouveau d'être root, les droits du user sont suffisants pour envoyer des mails, effacer/infecté ses fichiers, etc.

      Le root/non root est une distinction importante pour un serveur oui, pour un ordi desktop pas vraiment (bien sûr les dégats seront pire en root, mais si le résultat est quand même d'éffacer les fichiers utilisateurs, pas besoin de se faire chier à chercher une escalade local de privilèges.)

    • [^] # Re: système ?

      Posté par  . Évalué à 10.

      Qui lancerait OpenOffice.org en root ?

      Un acces root n'est pas necessaire pour faire une machine zombie...

    • [^] # Re: système ?

      Posté par  . Évalué à 5.

      Un utilisateur sous Windows ?

  • # Un problème qui ne se réglera jamais.

    Posté par  (site web personnel) . Évalué à 10.

    Les virus arrêterons de se propager le jour où tout les utilisateurs prendront le minimum de précaution possible pour les éviter, comme ne pas télécharger les fichiers joints d'un diaporama plein de chatons, c'est à dire jamais.

  • # La photo

    Posté par  (site web personnel) . Évalué à 10.

    Il manque l'information la plus importante : où est-ce qu'on peut trouver la photo du lapin sans se faire infecter ? :-)

    • [^] # Re: La photo

      Posté par  . Évalué à 7.

      D'après le site de mcafee, c'est www.gratisweb.com/badbunny/badbunny.jpg

      (en tout cas, l'image était encore au moment du com')

      EXPLICIT SEXUAL BUNNY donc PAS CLIQUAI

  • # Le code ?

    Posté par  (site web personnel) . Évalué à 1.

    Hello,

    où peut-on trouver le code ou un fichier infecté ? Je me demande comment ça fonctionne: est-ce-que ça exploite une faille d'OpenOffice ou bien ça utilise une Feature (genre le langage de script pour faire tout un tas de choses pas bien) ?

    A mon avis, ça peut-être intéressant de voir si la correction doit se faire dans le code d'Ooo ou s'il faut aller plus loin (Antivirus, Filtre applicatif, etc...).

    D'après ce que je comprends, si tu n'as pas xchat ni mIrc, pas trop de problème...

    • [^] # Re: Le code ?

      Posté par  (Mastodon) . Évalué à 2.

      Je ne sais pas où trouver le code. Mais ça n'exploite pas de faille oo.org, mais c'est une macro malveillante. Tu reçois un document, quand tu l'ouvres on te demande si tu veux exécuter une macro, et c'est le drame...
      J'ai cru comprendre que c'était un 'bête' script python ou perl.

      Si tu veux l'avis de la sécurité d'oo.org:

      http://blogs.sun.com/malte/entry/sb_badbunny_a_harmless_litt(...)

      "Un lapin inoffensif... jusqu'à ce que vous l'activiez!
      Sophos m'a confirmé que SB/BadBunny-A ne passe pas outre les contrôles de sécurité de oo.org, et que l'utilisateur se voit proposé d'activer les macros au chargement du document.
      Donc rien ne peux vous arriver si vous n'activez pas les macros..."

      En gros si l'utilisateur est trop bête pour faire confiance à des gens inconnus ou à des gens connus mais infesté... tant pis!

      C'est dommage, j'aurais préféré une réaction plus constructive, style 'pour l'instant ce n'est pas trop grave, mais on va prendre le temps de réfléchir à ce problème...'
      Un commentaire propose d'avoir une liste blanche de macros, comme je disais plus haut on pourrait imaginer de coupler oo.org à clamav avant d'éxécuter une macro...
      Mais là c'est à l'utilisateur de bien se comporter. C'est comme ça qu'on risque d'avoir des machines zombies, surtout que grâce à freedesktop on a des standards pour lancer automatiquement des programmes au démarrage de session...

      Nicolas

      • [^] # Re: Le code ?

        Posté par  . Évalué à 5.

        Perso, je pense qu'il devrait y avoir plusieurs droits d'accès pour des macros.

        1 niveau: Droit d'exécution du script
        2 niveau: Avoir accès au NET
        3 niveau: Avoir accès aux systèmes de fichiers.

        Lors de l'ouverture d'une macros, on aurait jusqu'à 3 avertissements. (ou on peut imaginer interdire l'un des niveaux par les admins)

        Après un système de signature de macros devrait aussi exister.

        • [^] # Re: Le code ?

          Posté par  (Mastodon) . Évalué à 0.

          ouais supaire 15 popups ! quelle avancée !

          Alors qu'il suffit de ne pas l'exécuter du tout...

          • [^] # Re: Le code ?

            Posté par  . Évalué à 8.

            c'est trop demander d'avoir un popup de ce style ?

            http://renardjb.free.fr/test/capture5.png (sans les fautes)

            Il n'y a pour moi qu'en faisant ce genre de travail qu'il sera possible de conserver un langage de macro accessible pour le commun des mortels.

            Ne pas exécuter les macros n'est pas une solution. C'est des fois nécessaire.

            PS: Pour info, .Net permet nativement la création d'appli ou il est possible de l'exécuter mais pas l'autoriser à toucher aux fichiers locaux...

  • # Vilain Lapin

    Posté par  . Évalué à 5.

    Si j'en crois le titre en anglais du dernier Rayman, Lapin Crétin se dit en anglais Raving Rabbit. J'aurais donc plutôt traduit Bad Bunny par Vilain Lapin, tel la chanson de Michel :

    http://michelnet.free.fr/afficher_clip.php?id=11

  • # Bof.

    Posté par  . Évalué à 3.

    Tout les vrai Ha><ordz savent qu'il faut aller sur Internet avec un compte séparé ayant des droits minimaux. En plus, ça peut-être scripté de manière + ou moins tranparente pour l'utilisateur.

    Alors pourquoi ne pas généraliser ?

    X programmes critiques sur X utilisateurs différents n'ayant accés qu'au strict minimum, comme leur propre programme et un dossier ciblé de fichier. Ça enléve tout risque de virus ne se basant pas sur l'exploitation de failles, et ça pourrait être scripté/réalisé de manière plutôt transparente (a la manière de sudo). Non ?

    • [^] # Re: Bof.

      Posté par  . Évalué à 6.

      Ouaip, ca s'appelle "protected mode", c'est dans IE7 sous Vista /o\ et il n'y a meme pas besoin de compte separe

      Je -->[] avant que les -1 me tombent dessus

      • [^] # Re: Bof.

        Posté par  . Évalué à 3.

        exact,

        d'ailleurs on sait très bien que MS fait son maximum pour la sécurité. non pas pour les utilisateurs, mais pour protéger les DRM des différents vassaux. :)

        PS: Ferme pas la porte

      • [^] # Re: Bof.

        Posté par  . Évalué à 2.

        peux-tu détailler pour les gens qui n'ont pas ça s'il te plaît ?

        • [^] # Re: Bof.

          Posté par  . Évalué à 4.

          C'est assez simple en theorie, legerement plus complique a implementer par contre :)

          En gros, lorsque Internet Explorer se lance, le processus abandonne une grande partie de ses droits sur le systeme et ne garde qu'un acces limite :

          - Il ne peut pas acceder aux fenetres des autres processus
          - Il ne peut lire/ecrire que dans qqe repertoires tres cibles : cache HTML, cookies, favoris, ...
          - Il ne peut acceder qu'a qqe parties tres ciblees de la registry

          La partie corsee, c'est faire en sorte que l'installation/lancement de plugins soit sure et aisee, il y a un systeme assez complique pour gerer ca.

          Pour de plus amples details : http://blogs.msdn.com/ie/archive/2006/02/09/528963.aspx

          • [^] # Re: Bof.

            Posté par  . Évalué à 3.

            Donc ça existe déjà sous linux : SELinux.
            Par contre ok, ça n'est pas encore beaucoup utilisé (il est présent partout mais n'est quasiment jamais activé)

            • [^] # Re: Bof.

              Posté par  . Évalué à 2.

              Pas vraiment.

              Il n'y a rien dans SELinux a ma connaissance qui autorise Mozilla/Firefox a :
              a) tourner en droits reduits

              ET

              b) installer des plugins (donc pouvoir acceder a d'autres repertoires que le cache, favoris, ... temporairement) qui tourneront avec droits limites eux aussi, tout en bloquant des softs qui voudraient se lancer.

              Faire un des deux(le premier) c'est bien, mais pas suffisant, sans le deuxieme, ton browser est pas vraiment utilisable.

              • [^] # Re: Bof.

                Posté par  . Évalué à 2.

                D'accord mais alors comment tu fais la différence entre un plugin qui veut s'installer et une application "malicieuse" ? (qui va donc éventuellement se faire passer pour un plugin). Tu va me dire que c'est là que MS a trouvé une méthode secrète super géniale, mais ça m'intéresse de connaître le principe, en gros ... ?!

                • [^] # Re: Bof.

                  Posté par  . Évalué à 2.

                  Attends, bien comprendre :

                  IE7 n'essaie pas de deviner quel soft a installer est inoffensif ou pas, il va demander a l'utilisateur de choisir.

                  Ce dont je parles, c'est du fait que IE PEUT installer le soft si l'utilisateur choisit de le faire, tout en etant incapable d'acceder au reste du systeme le reste du temps, et qui permet aux anciens plugins(ceux qui s'amusent a essayer d'acceder a des fichiers a droite a gauche) de continuer a fonctionner en leur donnant une representation virtuelle du systeme de fichier(ils accedent a une copie des fichiers dans un repertoire special, pas aux fichiers originaux).

                  C'est ca le truc complique.

                  • [^] # Re: Bof.

                    Posté par  . Évalué à 1.

                    Ouai, donc le système est pas mal dans le sens ou IE peut passer en mode un peu plus "permissif" le temps d'installer le plugin : je ne sais pas si SELinux sait le faire.

                    Mais le truc c'est que ça ne change pas vraiment le problème dans le sens où le système qui permet de demander l'autorisation à l'utilisateur peut être buggé, et une page/URL/manip pourrait toujours l'exploiter afin de gagner ces droits supplémentaires et se faufiler en douce dans le système, sans que l'utilisateur ait à cliquer sur "Oui" ou "Non". Bon, c'est vrai que ça limite un peu plus la zone d'attaque (enfin, si ce sous-système d'autorisation est assez bien délimité), mais ça va aussi attirer les méchants pirate sur cette partie ...

                    • [^] # Re: Bof.

                      Posté par  . Évalué à 4.

                      Mais le truc c'est que ça ne change pas vraiment le problème dans le sens où le système qui permet de demander l'autorisation à l'utilisateur peut être buggé, et une page/URL/manip pourrait toujours l'exploiter afin de gagner ces droits supplémentaires et se faufiler en douce dans le système, sans que l'utilisateur ait à cliquer sur "Oui"

                      Ben c'est clair que si il y a des bugs dans le systeme de securite lui-meme c'est un probleme. L'idee c'est qu'il suffit que ce code la soit correct pour proteger le reste, plutot qu'esperer que tous le code du browser est 100% sur (ce qui est impossible a garantir quel que soit le browser)

                      Bon, c'est vrai que ça limite un peu plus la zone d'attaque (enfin, si ce sous-système d'autorisation est assez bien délimité), mais ça va aussi attirer les méchants pirate sur cette partie ...

                      Ca je n'en doutes pas, reste a voir si ils trouvent qqe chose. Je prefere n'avoir a m'inquieter que pour ce petit bout de code que pour tout IE.

              • [^] # Re: Bof.

                Posté par  (site web personnel) . Évalué à 2.

                Juste pour clarifier:
                quand tu dis "installer des plugins" tu parles de l'utilisateur qui installe un plugin Firefox dans son répertoire perso ?

                "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

              • [^] # Re: Bof.

                Posté par  (site web personnel) . Évalué à 3.

                Lire là http://secunia.com/product/12366/?task=statistics_2007
                Puis là : http://secunia.com/product/12434/?task=statistics_2007

                On peut noter que Secunia ne pointe pas de failles extrèmements critiques dans Firefox alors qu'il y en a dans IE7.

                En lisant ces données, je ne vois pas l'efficacité du mode protégé de IE7.

                De plus lorsqu'on parle de firefox, on parle d'une application multiplateforme, qui est protégée par les mécanismes internes des systèmes qui l'éxécutent et qui ne participe pas au fonctionnement intime de ces systèmes.
                Alors que IE n'est pas multiplateforme et, il me semble (il faut me le dire si je me trompe), participe activement au fonctionnement du système Windows...c'est donc, si c'est bien là le profil de fonctionnement de IE, une appli bien plus critique, au niveau de la sécurité qu'un innocent Firefox.

                Question sécurité, je pense que MS à bien fait de (tenter) de mettre le paquet sur IE7.

                Me trompe je ?

                • [^] # Re: Bof.

                  Posté par  . Évalué à 1.

                  On peut noter que Secunia ne pointe pas de failles extrèmements critiques dans Firefox alors qu'il y en a dans IE7.

                  En lisant ces données, je ne vois pas l'efficacité du mode protégé de IE7.

                  euh... la seule extremement critique c'est http://secunia.com/advisories/23677/ , et si tu vois la liste, il n'y pas Windows Vista...

                  De plus lorsqu'on parle de firefox, on parle d'une application multiplateforme, qui est protégée par les mécanismes internes des systèmes qui l'éxécutent et qui ne participe pas au fonctionnement intime de ces systèmes.
                  Alors que IE n'est pas multiplateforme et, il me semble (il faut me le dire si je me trompe), participe activement au fonctionnement du système Windows...c'est donc, si c'est bien là le profil de fonctionnement de IE, une appli bien plus critique, au niveau de la sécurité qu'un innocent Firefox.

                  Il n'y a rien qui soit "intime", n'importe quel soft peut tirer parti de ce genre de mechanisme(du moins sous Windows), suffit d'ajouter le code.

                  Question sécurité, je pense que MS à bien fait de (tenter) de mettre le paquet sur IE7.

                  Me trompe je ?

                  Ca je crois qu'on est tous d'accord la dessus :)

                  • [^] # Re: Bof.

                    Posté par  (site web personnel) . Évalué à 1.

                    Daccord...donc je peux demander à Vista de désinstaller IE7 ?
                    Cela ne risque pas de rendre le système inutilisable ?

                    • [^] # Re: Bof.

                      Posté par  . Évalué à 1.

                      IE est pas plus integre au systeme sous Vista que sous XP.

                      Je crois que tu ne realises pas, mais il n'y a aucun code de IE dans le kernel, dans les libs centrales de l'OS, simplement IE est utilise par d'autres composants genre Explorer, Help, ... tout comme Konqeror est utilise en tant que KPart dans KDE

                      • [^] # Re: Bof.

                        Posté par  (site web personnel) . Évalué à 2.

                        Je crois que tu ne realises pas, mais il n'y a aucun code de IE dans le kernel, dans les libs centrales de l'OS, simplement IE est utilise par d'autres composants genre Explorer, Help, ... tout comme Konqeror est utilise en tant que KPart dans KDE


                        Ouaip. En tout cas, sous XP, avec des utilitaires comme nLite on peut retirer Internet Explorer du système. Et entièrement hein, moteur de rendu compris. Ce n'est cependant pas recommandé étant donné le nombre de composants de Windows qui dépendent du moteur de rendu d'IE.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.