Académique Documents
Professionnel Documents
Culture Documents
S OM M AIR E
L e s m eilleures confrences des der nires semaines la lo u p e :
B lack H a t A m s t e rd a m /U SA e t SSTIC 2009.
Tests d'intrusion
Mise l'preuve de vos rseaux, systmes et applications web par nos experts en intrusion
OWASP, OSSTMM, CCWAPSS
Audit de scurit
Audit technique et organisationnel de la scurit de votre Systme d'Information
Best Practices ISO 27001, PCI DSS, Sarbanes-Oxley
Veille en vulnrabilits
Suivi personnalis des vulnrabilits et des correctifs affectant votre Systme d'Information
Rponse intrusion
Dtection et diagnostic d'intrusion, collecte des preuves, tude des logs, autopsie de malware
Vo u s t e s c o n c e r n p a r l a s c u r i t i n f o r m a t i q u e d e v o t r e e n t r e p r i s e ?
Xmco Partners est un cabinet de conseil dont le mtier est l'audit en scurit informatique.
Fond en 2002 par des experts en scurit, dirig par ses fondateurs, nous n'intervenons que sous forme de projets
forfaitaires avec engagement de rsultats.
Les tests d'intrusion, les audits de scurit, la veille en vulnrabilit constituent les axes majeurs de dveloppement
de notre cabinet.
Paralllement, nous intervenons auprs de Directions Gnrales dans le cadre de missions daccompagnement de
RSSI, dlaboration de schma directeur ou encore de sminaires de sensibilisation auprs de plusieurs grands
comptes franais.
ZERO POINTE!!
Zro point ! Telle est la note l'argent, que par la scurisation des systmes. Notre scurit dpend
accorde Dan Kaminsky et systmes informatiques. L'un des aussi fortement de celle de notre
encore une fois Kevin Mitnick... principaux symptmes est que les FAI, de notre hbergeur, de notre
Celui qui donne cette mauvaise diteurs divisent la problmatique webmail, de la scurit du code de
note, c'est le groupe de hackers scurit en parts de march. Cette nos logiciels CMS, etc. Tout est li :
anonymes Zero For Owned division augmente videmment le si une carte s'croule, le chteau
(littralement : zro pour ceux qui chiffre d'affaires, mais n'est pas tombe. C'est vident, mais certains
se sont faits pirater leurs forcment bnfique pour la l'oublient du fait de leur approche
systmes). Quelques jours trop "primtrise". Qui n'a
avant le coup d'envoi de la jamais entendu, "non, ce
grand-messe BlackHat Las problme est un problme
Vegas, ce groupe a publi rseau, cela ne nous
une srie d'articles dans le regarde pas ici aux
pur style "hacking". Ces tudes".
articles dmontrent que le
groupe a pu s'introduire Pour complter cet t
dans les systmes de Kevin meurtrier, je vous invite
Mitnick, de Dan Kaminsky et lire notre article sur le
de plusieurs autres groupe Anti-Sec qui a
personnes comme un pirat la socit
chercheur franais dont on spcialise en scurit
taira le nom par patriotisme. informatique Matasano
scurit relle. Or il sagit d un seul
Tout le monde en prend pour son avec un 0-day SSH....
ensemble, tel un chteau de cartes.
grade dans les commentaires.
Un botier DLP (Data Leakage
Nous vous souhaitons tous une
Prevention) ne protgera que le
Au-del de l'intrusion au sein des excellente rentre.
chiffre d'affaires des intgrateurs.
emails perso des protagonistes,
Le groupe fait galement
Zero For Owned fait remarquer que
remarquer que notre scurit ne
l'industrie de la scurit est malade, " Frdric Charpentier
dpend pas que de nous et de nos
car elle est plus intresse par " Directeur technique XMCO
efforts de scurisation des
P. X P. 29
LActualit scurit du mois........................33
Analyse des vulnrabilits et des tendances du
moment
P. 33 XMCO | Partners
Adrien GUINAULT
Yannick HAMON
XMCO | Partners
Trois confrences importantes ont eu lieu entre le mois Blackhat Europe Asmterdam
d'avril et le mois daot 2009.
SAP Penetration Testing - Mariano Nunez Di
Deux dentre elles, internationales ne sont plus Croce
prsenter : la Blackhat. Elles se sont droules en avril
Amsterdam (Blackhat Europe) et en aot dans un lieu Aprs un rapide passage la prsentation "Fun and
incontournable : Las Vegas (Blackhat US). Games with Mac OS X and iPhone Payloads" trop
ennuyeuse, nous avons pu assister la confrence de
La troisime, nationale, n'a pourtant rien envier aux Mariano Nunez Di Croce, expert SAP. Il y a prsent les
premires : le SSTIC (Symposium sur la Scurit des bases de la scurit du progiciel le plus connu du
Technologies de l'Information et des Communications) march.
est une confrence franaise qui devient au fil des Il faut reconnatre que ce type de progiciel, coeur de
annes une rfrence incontournable. mtier de nombreuses entreprises, n'est jamais une
cible de choix pour nos collgues consultants. En effet,
Petit aperu des confrences qui nous ont marques. la peur de l'arrt ponctuel de SAP rend les RSSI
WWW.XMCOPARTNERS.COM
Tout au long d'un speech dynamique et agrment de Lorsque la premire page dune webmail est en HTTP
dmonstrations, M.Nunez prsente la dcouverte des avec un formulaire dauthentification qui soumet le login
cibles SAP, l'audit de vulnrabilit et l'exploitation des et le mot de passe vers un lien en HTTPS, le pirate
failles SAP. ralise une attaque Man In The Middle au tout dbut
M.Nunez dtaille les plug-ins de son outil jusqu'au de la transaction et modifie la rponse du serveur en
patch pour John The Ripper pour cracker les mots de remplaant ce lien par un lien HTTP. Ce procd a
passe des tables Oracle USR02 (utilisateurs SAP). pour but de supprimer la phase d'authentification du
serveur web par la couche SSL. Ainsi, le navigateur
On a regrett cependant que cette confrence ne soit n'affiche pas d' alerte qui prcise que le certificat est
quune volution de sa prsentation de 2007 invalide.
comportant des amliorations (certes notables) de loutil
SAPYTO.
Whitepaper :
http://www.blackhat.com/presentations/bh-europe-09/
DiCroce/BlackHat-Europe-2009-DiCroce-CYBSEC-
Publication-SAP-Penetration-Testing.pdf
L'auteur
d'ailleurs profit de la Blackhat pour utiliser son outil : la
a d'ailleurs profit de la dizaine de mots de passe subtiliss le jour mme et
affich l'cran faon wall of sheeps dans les
Blackhat pour utiliser son outil : la dizaine derniers slides de sa prsentation ont d en effrayer
de mots de passe subtiliss le jour mme et plus dun...
affich l'cran faon wall of sheeps
dans les derniers slides de sa prsentation Les dtails de cette prsentation sont disponibles
ladresse suivante :
ont d effrayer quelques auditeurs...
Slides : http://www.blackhat.com/presentations/bh-
Lorsquun site web implmente une partie HTTP et une europe-09/Marlinspike/blackhat-europe-2009-
partie HTTPS, le pirate intercepte chaque requte marlinspike-sslstrip-slides.pdf
envoye par la victime et remplace, la vole, tous
les liens contenant HTTPS par HTTP.
Adva nced SQL Injection exploitation to Taming the Beast : Assess Kerberos-Protected
Operating System Full Control - Bernardo Networks - Emmanuel Bouillon
Damele Assumpcao
Le premier franais passe le grand oral ! Cette anne, 4
Les confrences sur les attaques d'injection SQL ont Franais taient confrenciers la Blackhat. Emmanuel
t vues et revues. Cependant, chaque anne, les Bouillon, expert au CEA (French Atomic Energy
organisateurs continuent d'imposer ce sujet. Cette Commission), a prsent les faiblesses
anne, rien de nouveau, Bernardio Damele d'implmentation de l'authentification Kerberos.
Assumpcao, dveloppeur de l'outil SQLMap, nous a
prsent la nouvelle version de son logiciel. Ce dernier Ce sujet qui n'a pas fait l'actualit avait pourtant de quoi
a t nettement amlior. Les injections SQL sur des plaire. En effet, peu de chercheurs se sont rellement
bases de donnes supportant les "batches queries" intresss Kerberos. Ce dernier est un protocole
en sont un bon exemple. d'authentification et d'autorisation rseau utilisant un
systme de tickets qui repose sur un chiffrement par
Ce nom barbare correspond aux requtes SQL clefs symtriques.
spares par des points virgules, par exemple : Emmanuel Bouillon a men des recherches sur les
diffrentes implmentations du march, sous Unix et
Ex : SELECT name from table1 where sous Windows, afin prsenter les diffrentes attaques
id=9; drop table2; lies ce protocole peu utilis.
Slides :
http://www.blackhat.com/presentations/bh-europe-09/
Guimaraes/Blackhat-europe-09-Damele-SQLInjection-
slides.pdf
Whitepaper :
http://www.blackhat.com/presentations/bh-europe-09/
Guimaraes/Blackhat-europe-09-Damele-SQLInjection-
whitepaper.pdf
Whitepaper :
http://www.blackhat.com/presentations/bh-europe-09/
Gassira_Piccirillo/BlackHat-Europe-2009-Gassira-
Piccirillo-Hijacking-Mobile-Data-Connections-
whitepaper.pdf
Slides :
http://www.blackhat.com/presentations/bh-europe-09/
Gassira_Piccirillo/BlackHat-Europe-2009-Gassira-
Piccirillo-Hijacking-Mobile-Data-Connections-slides.pdf
http://www.blackhat.com/presentations/bh-europe-09/
Caillat/BlackHat-Europe-09-Caillat-Wishmaster-
whitepaper.pdf
Slides :
http://www.blackhat.com/presentations/bh-europe-09/
Caillat/BlackHat-Europe-09-Caillat-Wishmaster-
slides.pdf
Whitepaper :
Whitepaper :
http://www.blackhat.com/presentations/bh-europe-09/
http://www.blackhat.com/presentations/bh-europe-09/
Alonso_Rando/Blackhat-Europe-09-Alonso-Rando-
Filiol_Fizaine/BlackHat-Europe-09-Filiol-Fizaine-
Fingerprinting-networks-metadata-whitepaper.pdf
OpenOffice-Weaknesses-whitepaper.pdf
WWW.XMCOPARTNERS.COM
Slides :
Slides :
http://www.blackhat.com/presentations/bh-europe-09/
http://www.blackhat.com/presentations/bh-europe-09/
Alonso_Rando/Blackhat-Europe-09-Alonso-Rando-
Filiol_Fizaine/BlackHat-Europe-09-Filiol-Fizaine-
Fingerprinting-networks-metadata-slides.pdf
OpenOffice-Weaknesses-slides.pdf
Une des confrences les plus attendues tait bien Ces modules peuvent galement contourner les
entendu celle de Dan Kaminsky, devenu clbre la dtections de l'IDS Snort en encodant les donnes
suite de la publication d'une faille critique du protocole envoyes.
DNS en 2008. Cette fois-ci, Dan s'est intress aux
certificats x509 et la manire dont le Common Name Vido :
des certificats est gr par les diffrents navigateurs du http://it.toolbox.com/blogs/managing-infosec/hacking-
march. Il a prsent une attaque sur les certificats oracle-with-metasploit-29936
signs en MD2. Il serait alors possible de faire croire
aux librairies des navigateurs (notamment NSS de
Mozilla) quun certificat est valide.
Whitepaper :
WWW.XMCOPARTNERS.COM
http://www.blackhat.com/presentations/bh-usa-09/
DATAGRAM/BHUSA09-Datagram-LockpickForensics- Photos des goupilles (mcanisme constituant certaines
PAPER.pdf serrures) aprs effraction
Slides :
http://www.blackhat.com/presentations/bh-usa-09/ Whitepaper :
DATAGRAM/BHUSA09-Datagram-LockpickForensics- http://www.blackhat.com/presentations/bh-usa-09/
SLIDES.pdf DATAGRAM/BHUSA09-Datagram-LockpickForensics-
PAPER.pdf
Slides :
http://www.blackhat.com/presentations/bh-usa-09/
DATAGRAM/BHUSA09-Datagram-LockpickForensics-
SLIDES.pdf
Slides :
http://www.blackhat.com/presentations/bh-usa-09/
KORTCHINSKY/BHUSA09-Kortchinsky-Cloudburst-
SLIDES.pdf
vista.html
http://immunityinc.com/documentation/cloudburst-
ubuntu.html
CVE de la vulnrabilit :
http://cve.mitre.org/cgi-bin/cvename.cgi?
name=CVE-2009-1244
http://lists.vmware.com/pipermail/security-announce/
2009/000055.html
Blog de Kostya :
http://expertmiami.blogspot.com/
Voici un bref aperu des confrences qui nous ont le Florent MARCEAU a prsent une plateforme
plus marqus au SSTIC 2009 (www.sstic.org). d'analyse de malwares qui repose sur le suivi de la
propagation des donnes sur un systme (mmoire,
Les lecteurs les plus curieux pourront dcouvrir les priphriques rseau...) : le "data-tainting". Ce procd
articles complets, ainsi qu'une description " chaud / semble plutt efficace et permet d'analyser plusieurs
live" de toutes confrences sur les liens fournis la fin centaines de malwares par jour.
de cet article.
Le point de vue d'un WOMBAT sur les attaques Compromission physique par le bus PCI -
Internet - Marc Dacier (Symantec) Christophe DEVINE et Guillaume VISSIAN
(Thals)
Marc DACIER est venu prsenter le projet WOMBAT.
Ce projet financ par la Cour Europenne permet Comment prendre le contrle d'un systme en insrant
tous les internautes de rejoindre un Honeypot gant. une carte PCMCIA ? A linstar des vulnrabilits lies
Ce projet a pour but de recueillir, au niveau mondial, aux ports FireWire, les ports PCI permettent d'injecter
des informations sur les attaques et sur la propagation du code au sein du noyau. Christophe Devine, auteur
des vers. Ces informations publies permettent de du clbre aircrack, a ralis une "preuve de concept"
dterminer quelles attaques semblent cibles, ainsi que prenant la forme d'une carte PCMCIA. L'insertion de
l'volution de certaines attaques (exemple cette carte au sein d'un systme Windows a permis de
exploitation faille RPC DCOM sur le port 139 puis 135). modifier la fonction qui gre l'authentification. Il a
suffit de saisir n'importe quel mot de passe pour se
connecter sur la machine ! Comme pour la
Cinq questions sur la vraie utilit de l'ISO 27001 dmonstration de Loic Duflot, cette animation a cr
- Alexandre Fernandez-Toro (HSC) un effet certain...
* Fuzzing : le pass, le prsent et le futur - Ari Takanen - Cette journe s'est termine par l'invitable Rump
Cod Sessions : des sances durant lesquelles des speakers
* Fuzzgrind : un outil de fuzzing automatique - Gabriel disposent de 4 minutes pour prsenter un sujet. Au
CAMPANA - SOGETI ESEC total, plus d'une vingtaine de prsentations de qualit,
* Scurit des architectures de Convergence Fixe- toutes disponibles sur le Web. Les diffrents sujets
Mobile - Laurent BUTTI traitaient du forensic, du CredSSP, de linjection XPath,
de la mise disposition d'une image VMWARE du
Les trois premires prsentations du second jour challenge Securitech, des attaques sur Windows Mobile
portaient sur le fuzzing, technique de recherche de 6, des prcisions sur le vocabulaire RFC ne pas
vulnrabilits par stress des entres. Les diffrents utiliser ou viter, de la scurit du gnrateur de
interlocuteurs ont pu prsenter des outils/framework passphrases alatoires WPA/WPA2 de certaines box
pour de raliser ce type d'analyse sur des programmes ADSL, etc.
ou des services rseau. Les prsentations les plus marquantes ne concernaient
pas directement la scurit mais plutt l'alcotest USB
de Denis Bodor et Sebastien Tricaud (Linux Mag), ou
Pourquoi la scurit est un chec (et comment y comment prouver l'efficacit des bonbons "arlequins".
remdier ?) - Nicolas RUFF (EADS) Une des premires applications proposes tait le
couplage l'authentification des dveloppeurs pour
Comme son habitude, Nicolas Ruff a fait dun sujet limiter certaines erreurs de dveloppement... Une autre
non technique une des meilleures confrences de la dmonstration, prsente par Nicolas Collignon (HSC)
SSTIC. Avec son aisance habituelle et son humour, concernait le concept de "Shell Over DTMF". Il a
Nicolas Ruff a dress un constat sur le monde de la dmontr la possibilit de contrler une backdoor sur
scurit informatique. Malgr le commerce et la un IPBX Asterisk depuis un tlphone par l'envoi de
recrudescence d'quipements ddis la scurit squences DTMF (touches du clavier tlphonique)
informatique, il est toujours aussi trivial d'exploiter tout en obtenant le rsultat de la commande
des failles de scurit au sein des entreprises. L'auteur vocalement.
a fini sa dmonstration en donnant des pistes de
solutions simples : avant tout, il faut du courage et des Rejoignant les ides exposes par Nicolas Ruff et
comptences. Ne serait-il donc pas plus efficace indign de constater qu'une mauvaise gestion des
dallouer de plus gros budgets pour des employs habilitations pouvait engendrer de lourdes
comptents plutt que pour des solutions scurit consquences (par exemple: un compte de test associ
inefficaces? un mot de passe trivial inclut un groupe
INFO
Facebook (http://theharmonyguy.com/).
Webographie SSTIC
[1] Actes
http://actes.sstic.org/SSTIC09/
http://sid.rstack.org/blog/index.php/347-sstic-2009-en-
direct-ou-presque
[2] Rump
http://actes.sstic.org/SSTIC09/Rump2009/
Adrien GUINAULT
XMCO | Partners
web lgitimes. Ce code a un unique but : rediriger les fameux gumblar.cn qui deviendra ensuite
visiteurs vers des sites web contrls par des pirates. martuz.cn.
Ceux-ci tentent dexploiter des vulnrabilits dAcrobat
Reader, Flash/Shockwave ou dinciter tlcharger un Prs de 1500 sites web auraient t compromis de la
excutable vrol. sorte, toujours dans le mme but : insrer un code
m a l i c i e u x . Te n n i s . c o m , v a r i e t y. c o m ,
Ce type dattaque, baptis drive by download svit Coldwellbanker.com ou encore des sites franais
depuis quelques annes, avec notamment, la fameuse comme pronopsg.com ou psgteam.net font partie des
injection dIframe en avril 2008. sites victimes.
La premire hypothse repose sur une attaque massive Analyse du code javascript malicieux insr
dinjection SQL (comme lors des dernires attaques
dinjection dIframes). Il est probable que les pirates Aprs cette brve prsentation, rentrons maintenant
soient donc parvenus exploiter en masse ce type de dans le vif du sujet avec des dtails plus techniques.
faille afin de modifier le code source de certaines pages
web. lheure o nous crivons cet article, de nombreux
sites sont encore infects. Aprs quelques recherches
sur Google, nous tombons justement sur un site
contenant un code javascript trange.
Enfin, des tudes ont dmontr que la plupart des sites Ce site, lapparence lgitime, contient en fait le code
infects taient dvelopps en PHP (dont des forums en question.
phpbb, SMF, vBulletin et Wordpress 2.7.1, etc.). Des
failles propres ces logiciels seraient une des voies
dinfection, mais trs peu dinformations sont
Selon Websense, le 6 Mai, prs de 22
disponibles ce suje 000 sites taient infects par Gumblar, et
prs de quatre fois plus deux semaines
Selon Websense, le 6 mai, prs de 22000 sites taient
plus tard...
infects par Gumblar et prs de quatre fois plus deux
semaines plus tard, soient 80000 sites web touchs par En regardant de plus prs le code source, nous
cette attaque (le graphique suivant est issu du blog de obtenons le code suivant:
WebSense).
WWW.XMCOPARTNERS.COM
src=//gumblar.cn/rss/?id=2 :
le serveur contrl par les pirates renvoie:
REPONSE HTTP :
Ce code javascript permet deffectuer un contrle sur le Content-Disposition: inline; filename=XXXX.pdf
type de navigateur (userAgent) utilis par des visiteurs. Content-Transfer-Encoding: binary
Dans le cas dun systme Windows, un autre code Connection: close
javascript issu du site gumblar.cn est excut Content-Type: application/pdf
silencieusement. Ce script possde en paramtre un ID
qui permettra aux pirates dutiliser diffrents payloads
prsents dans le prochain paragraphe. Fichier PDF
Il faut noter que la premire version du code javascript src=//gumblar.cn/rss/?id=3 (fichier flash SWF):
ntait pas masque. Mais les pirates ont vite compris le serveur contrl par les pirates renvoie:
lintrt de cacher une partie du code pour viter
certains outils de scurit. On peut quand mme douter
du professionnalisme de ces pirates, car les mthodes
de dissimulation mises en place sont simples et REPONSE HTTP :
vraiment faciles dcoder.
Content-Disposition: inline; filename=XXXX.swf
Lorsqu'un utilisateur visite un site Content-Transfer-Encoding:binary
Connection: close
infect, des fichiers PDF, Flash et EXE sont Content-Type: application/x-shockwave-flash
alors proposs l'utilisateur et tentent
d'exploiter les vulnrabilits connues...
Fichier Flash SWF
En ce qui concerne les domaines utiliss, seuls les
src=//gumblar.cn/rss/?id=11(fichier EXE) :
sites gumblar.cn et martuz.cn taient utiliss par les
le serveur contrl par les pirates renvoie:
pirates au dbut. Au fur et mesure de la fermeture de
WWW.XMCOPARTNERS.COM
Conclusion
Webographie
http://securitylabs.websense.com/content/Blogs/
3401.aspx
http://www.australianwebmaster.com/showthread.php?
t=2633
http://mad.internetpol.fr//archives/44-Daonol-Gumblar-
Miekiemoes-is-a-superstar.html
WWW.XMCOPARTNERS.COM
http://www.martinsecurity.net/2009/05/20/inside-the-
massive-gumblar-attacka-dentro-del-enorme-ataque-
gumblar/
KOOBFACE, LE MALWARE
manire plus que russie, les
avantages de ces plates-formes
communautaires.
Koobface, Kezako ? "Wow ! C'est vraiment toi dans cette vido ?"
Koobface, anagramme de Facebook , est apparu il y Hlas, les fameux messages "Eh, une photo de toi" ou
a aujourdhui plus dun an sur les deux sites encore "lol, trop drle la vido de toi" sont - encore et
communautaires les plus populaires, MySpace et toujours - utiliss par les pirates pour infecter leurs
Facebook. Ce malware, quon peut aussi bien qualifier victimes trop curieuses et insouciantes.
de ver que de virus, est toujours actif. Cest cette dure La technique d'infection est simple : un message de
de vie qui impressionne les spcialistes. Au lieu de spam est diffus travers Facebook, Twitter ou autres,
faiblir avec le temps (et avec les actions des diteurs laide de comptes pralablement compromis ou
dantivirus), linfluence de Koobface grandit et il adresse malveillants. Ce message est bien videmment
dsormais 10 rseaux sociaux diffrents (Facebook, accrocheur, ou tente de ltre, et contient un lien vers
MySpace, Twitter, Hi5, etc). une vido.
noter que le message malveillant peut aussi bien tre
diffus sur sa page de profil, quenvoy en message
La dure de vie de Koobface priv.
impressionne les spcialistes. Au lieu de
WWW.XMCOPARTNERS.COM
En cliquant sur le lien malveillant, linternaute est Les internautes attentifs sapercevront cependant que
redirig vers un site usurpant lidentit dun site lgitime l e s i t e n e s a p p e l l e p a s Yo u t u b e , m a i s
tel que Youtube ou Facebook. Ci-dessous, le code Yuotube...classique...
javascript utilis par la page visite par la victime :
WWW.XMCOPARTNERS.COM
que ce dernier va lui indiquer. Le downloader va, entre son tour distribuer les diffrents composants de
autres, tlcharger les composants correspondants aux Koobface. Elle pourra galement hberger les faux
plates-formes dont la victime est adepte. sites (Youtube, Facebook) qui contiennent linstalleur
Koobface.
POST /ld/gen.php HTTP/1.1 Depuis fin juillet 2009, ce mini-serveur web peut
potentiellement transformer la machine en serveur
f=0&a=1812198572&v=08&c=0&s=ld&l=8173& relais pour les ordres donner au botnet. Cette
ck=0&c_fb=0&c_ms=0&c_hi=0&c_be=0&c_fr= nouvelle caractristique est probablement une rponse
-1&c_yb=-1&c_tg=0&c_nl=0&c_fu=-1 aux nombreuses fermetures des noms de domaines
employs par Koobface. Cette modification permet ainsi
Koobface de devenir insensible la fermeture de ses
diffrents noms de domaines grce une architecture
P2P.
Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est
strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![25]
KOOBFACE, LE MALWARE QUI CHERCHAIT DES AMIS LACTU SCU N23
Le module casseur de CAPTCHA permet de rsoudre Le module voleur de donnes est une variante du
les CAPTCHA (tests permettant de diffrencier les malware TROJ_LDPINCH. Ce dernier va rechercher
humains des machines - cf Actu-scu n19) prsents sur la machine infecte les cls des produits Microsoft,
sur de nombreux sites. Ces derniers permettent les identifiants des comptes mails, des messageries
notamment dviter les messages de spam dans les instantanes, des FTP, les profils Internet, etc. Les
commentaires sur des sites web. Ils permettent donnes rcupres sont ensuite chiffres avant dtre
notamment dviter la cration de comptes fictifs par renvoyes au serveur de contrle du malware.
des automates sur diffrents sites communautaires. Chose intressante, lexcutable est souvent dissimul
au sein dune image .JPG qui est stocke sur un
clbre site dhbergement dimages.
10000
De mme, Koobface ne fait pas de relle vrification
sur la rponse de lutilisateur. Koobface implmente
une simple vrification base sur des expressions Nombre de variantes de Koobface
rgulires. Par exemple, si limage se compose de deux dtectes en septembre 2009 selon
mots rsoudre, Koobface va seulement vrifier si Kaspersky.
lutilisateur a bien saisi deux mots. Si ce nest pas le
cas, un message derreur est affich. Sinon la rponse
est renvoye au serveur de contrle. 111337
Nombre de blogs qui redirigent vers une
page contenant le ver.
Finalement, qui peut-on faire confiance ? d'entreprises en possdent un en interne. Partager des
WWW.XMCOPARTNERS.COM
informations est donc devenu chose courante sur les
Comme nous lavons vu prcdemment, Koobface se rseaux sociaux. De plus, les utilisateurs sont habitus
propage laide des rseaux sociaux. Cette tre redirigs vers des sites extrieurs lorsquils
propagation est facilite par les plates-formes cliquent sur les liens.
communautaires, car sur celles-ci, les utilisateurs sont Les utilisateurs les plus viss pour le moment sont les
en relation avec des personnes que quils connaissent anglophones, les messages diffuss par Koobface
majoritairement. Koobface profite ainsi de la tant en anglais. Nanmoins, il est possible que dans
confiance induite pour convaincre plus facilement les un futur proche, les messages soient diffuss dans la
utilisateurs de cliquer sur un lien malveillant. langue de lutilisateur, comme les spams qui sont de
plus en plus cibls (http://blogs.zdnet.com/security/?
Autre fait important, il est noter que les rseaux p=3813).
sociaux tels que Facebook sont devenus des moyens
de communication quasiment aussi utiliss que lemail, Grce sa modularit et sa capacit de mise jour,
ou la messagerie instantane. De plus en plus Koobface na pas fini de faire parler de lui.
Webographie
http://blog.trendmicro.com/the-real-face-of-koobface/
http://www.kaspersky.com/news?id=207575670
http://mad.internetpol.fr/archives/archives/45-
Koobface-La-confiance-accordee-a-vos-relations-doit-
cesser..html
http://blog.fireeye.com/research/2009/06/killing-the-
beastpart-ii.html
http://status.twitter.com/post/138789881/koobface-
malware-attack
http://news.cnet.com/8301-1009_3-10210376-83.html
http://blog.trendmicro.com/new-koobface-upgrade-
makes-it-takedown-proof/
http://blog.trendmicro.com/koobface-ramps-up-its-
twitter-campaign/
WWW.XMCOPARTNERS.COM
LATTAQUE SLOWLORIS...
Depuis plusieurs annes Apache
est connu pour tre vulnrable
des attaques par dni de
service [voir webographie] mais
personne navait encore publi
une preuve de concept
fonctionnelle.
Pierre NOGUES
XMCO | Partners
Fonctionnement dApache Lintrt d'une telle attaque rside dans le fait qu'une
bande passante trs faible est suffisante pour mettre
hors service un serveur Apache disposant de beaucoup
Le coeur du fonctionnement d'Apache repose sur de ressources.
l'attribution d'un thread ou d'un processus par client A titre dexemple, il est possible de mettre hors service
connect (cela dpend de la configuration du serveur). un serveur Apache muni d'une connexion 100 Mo/s
Comme les ressources du serveur ne sont pas partir d'un simple accs ADSL.
illimites, le fichier de configuration d'Apache indique
une directive "MaxClients" qui reprsente le nombre
maximum de connexions simultanes sur le serveur.
Lintrt d'une telle attaque rside dans
le fait qu'une bande passante trs faible est
Un type d'attaque par dni de service consiste saturer suffisante pour mettre hors service un serveur
WWW.XMCOPARTNERS.COM
ce nombre de connexions maximums disponibles sur le Apache disposant de beaucoup de
serveur en ouvrant simultanment plusieurs sockets.
Une fois le nombre maximum de processus ou threads
ressources...
crs atteints, Apache mettra en attente les nouvelles
connexions et ne les servira pas avant qu'une Il ne s'agit aucunement d'une attaque rseau de type
ressource ne se libre. SynFlood, mais bien d'une attaque au niveau applicatif.
Apache clame que cette dernire n'est pas propre
Ce type de dni de service ne met hors service que le l'implmentation de son serveur, mais qu'elle est due
service Apache (HTTP/HTTPS) temporairement et un problme de plus bas niveau, situe sur la couche
n'affecte pas le systme sous-jacent. Ds que l'attaque rseau. Cependant, si cette affirmation tait vraie,
est stoppe, le serveur Apache rpondra de nouveau comment Apache pourrait expliquer que le serveur
aux requtes effectues par les clients. Microsoft IIS ne soit pas vulnrable ce type
d'attaque ?
Or le script SlowLoris n'exploite pas du tout les Limiter ou bloquer les adresses IP source
fonctionnalits KeepAlive d'Apache. Dsactiver cette
fonctionnalit sera donc inutile et pourrait avoir des Une premire solution efficace consiste utiliser un
consquences nfastes sur l'utilisation nominale du module qui limite le nombre de connexions simultanes
serveur. par IP source. Malheureusement, il peut tre impossible
de mettre en place cette solution sur un serveur
recevant de nombreuses connexions d'une mme IP.
Il faut savoir que toutes les directives de
En particulier sur ceux qui reoivent de nombreuses
configuration dApache sont inefficaces connexions via des proxies.
face cette attaque...
On pourrait galement analyser les logs la recherche
d'erreur du type "Request failed: error reading the
- Augmenter la valeur du champ "MaxClients" est headers" puis bloquer les adresses IP via un pare-feu.
inutile, l'attaquant pourra gnralement crer un Le problme provient du fait que ce message d'erreur
nombre de connexions qui sera toujours suprieur est gnr quelques minutes aprs le dbut de
cette valeur. De plus, un MaxClients trop lev peut l'attaque. De plus, un pirate pourra toujours contourner
provoquer des problmes de stabilit trs importants, cette gnration de logs en terminant ses requtes
en particulier pour les applications web utilisant des correctement.
scripts PHP ou CGI gourmand en RAM ou en CPU.
Serveurs affects :
! Apache 1.x
! Apache 2.x
! Dhttpd
!GoAhead WebServer
!Squid (non vrifi)
!WebSense "block pages" (non vrifi)
!Trapeze Wireless Web Portal (non vrifi)
!Verizon's MI424-WR FIOS Cable modem
$$$$$$$$$$$$$$$(non vrifi)
!BeeWare WAF (non vrifi)
WWW.XMCOPARTNERS.COM
Conclusion Webographie
Slowloris est une attaque qui peut avoir des Prsentation de la vulnrabilit par Rsnake :
consquences importantes sur les serveurs http://ha.ckers.org/blog/20090617/slowloris-http-dos/]
Apache. Des pirates ont profit du script dj publi
pour faire quelques dgts. Faille Apache expose sur Security Focus
http://www.securityfocus.com/archive/1/456339/30/0/
Rcemment un script Python baptis "Pyloris" a threaded
permis d'utiliser un proxy SOCKS et par
consquent un rseau d'anonymisation pour mener Apache Security
l'attaque ! http://www.amazon.fr/Apache-Security-Ivan-Ristic/dp/
0596007248
Esprons quune solution efficace soit rapidement
mise en oeuvre pour viter que des virus et botnets
nutilisent prochainement cette attaque (si ce nest
pas dj fait...).
INFO
La vulnrablit dj connue depuis quelques annes....
WWW.XMCOPARTNERS.COM
Lactualit du mois...
Les chercheurs de vulnrabilit ont
t actifs ces deux derniers mois.
En effet, on compte un grand nombre
de failles "0-day" ainsi que des
Du ct des nouveauts et de
lactualit, quelques recherches
sur le cassage GSM, le groupe Anti-
Sec ou encore sur les trojan Skype
nous ont particulirement
intresss.
Adrien GUINAULT
Nicolas KERSHENBAUM
Lin MIANG JIN
Yannick HAMON
XMCO | Partners
PHPMyAdmin, Windows, ColdFusion, Firefox, Safari ont tous t affects par une vulnrabilit 0-day. Les
pirates seraient-ils plus actifs pendant l't ? La crise a-t-elle touche les chercheurs et hackers au point de ne
plus prendre de vacances ?
Revenons en dtails sur l'actualit et sur les vulnrabilits les plus marquantes :
PHPMyAdmin: une nouvelle vulnrabilit qui permet d'injecter des commandes de manire non authentifie
sur une application PHPMyAdmin installe par dfaut
Les failles Microsoft des deux derniers mois : 0-day et correctifs de scurit.
WWW.XMCOPARTNERS.COM
Spoofing d'URL sur Firefox/Safari : une bonne attaque pour les Phishers !
Attaque sur le protocole GSM A5/1 : l'utilisation de Rainbow tables pour casser le protocole A5/1.
... et 0 day
Antisec... OpenSSH
Tous les veilleurs en scurit ont certainement entendu Les moyens d'Anti-Sec, P0wn en srie...
parler du mouvement Anti-Sec qui s'est rcemment fait
remarquer en attaquant plusieurs sites web du Pour se faire entendre, le mouvement sen est pris
monde de la scurit. plusieurs sites au cours des dernires semaines.
Contrairement ce que lon pourrait croire, ce Parmi ces sites figure Astalavista.com, un site li la
mouvement Anti-Sec nest pas n dhier. Il existe scurit informatique. Pour la petite histoire, Anti-Sec
depuis plusieurs annes. Ds le dbut des annes accusait les administrateurs de ce site d'tre des
2000, plusieurs groupes hacktivistes comme ~el8 et personnes incomptentes, et voulait donc tester les
leur pr0j3kt m4yh3m avaient dj fait parler deux. relles capacits de l'quipe de scurit. Anti-Sec
Voici une prsentation de ce groupe qui dclare sest introduit alors sur le serveur dun des
ouvertement la guerre l'industrie de la scurit administrateurs du site : Glafkos Charalambous,
informatique ! connu sous le pseudonyme nowayout. Lors de leur
intrusion, ils dcouvrent de nombreuses informations,
notamment le mot de passe du compte Gmail de
Anti-Sec, qui sont-ils et que veulent-ils ? nowayout. Cet vnement inattendu a eu des
consquences nfastes pour le serveur de la victime.
Anti-Sec reprsente un mouvement de hackers Le mouvement a dcouvert dans un mail que Glafkos
dont lidologie va lencontre de celle des hackers les traitaient de scripts kiddies (Anti-Sec stait
traditionnels. Il nest pas possible de connatre attaqu Astalavista quelques semaines plus tt), et
prcisment leur nombre, ni leur structure interne. ceci a dclench leur colre. Anti-Sec a donc effac
Toutefois, beaucoup de personnes pensent que le lensemble du contenu du serveur ainsi que les
mouvement nest pas ou peu organis, et quil ne sauvegardes correspondantes (rm -rf /* &). Pour plus
regroupe quun faible nombre dindividus. de dtails, tux-planete.fr [2] fournit une analyse assez
intressante de lattaque.
Les revendications du mouvement Anti-Sec sont assez
simples. Ils rclament la fin de la politique du Full-
Disclosure, qui ne serait utile, selon eux, qu aider les
scripts kiddies et les pirates en herbe. En effet, on
pourrait traduire le Full-Disclosure comme la divulgation
des vulnrabilits et des dtails techniques utiles
lexploitation de celles-ci. On peut citer en exemple la
mise disposition publique dexploits cls en main sur
des sites comme milw0rm.com.
Plus rcemment et de manire encore plus visible, Anti- Le mouvement avait annonc quil dvoilerait la faille
Sec a attaqu le clbre site d'hbergement d'images sur la liste de diffusion Full Disclosure.
imageshack.com. Le groupe a ainsi remplac la
majorit des images hberges sur imageshack.com Cependant, il sest avr que lannonce navait pas t
par leur manifeste. faite par un membre dAnti-Sec ayant ralis lune des
attaques. Aucun dtail na t concrtement rvl.
Et la suite ?
[5] http://isc.sans.org/diary.html?storyid=6760
[ 6 ] h t t p : / / w w w. t h e r e g i s t e r. c o . u k / 2 0 0 9 / 0 7 / 2 0 /
anti_sec_spoof/
[7] http://news0ft.blogspot.com/2009/07/la-preuve-que-
la-securite-est-un-echec.html
[8] http://seclists.org/
PHPMyAdmin
Versions vulnrables
Webographie
[1] http://www.gnucitizen.org/blog/cve-2009-1151-
phpmyadmin-remote-code-execution-proof-of-concept/
INFO
insr aprs l'extension d'un fichier non interprt par
ColdFusion (diffrent de l'extension .CFM) permettait
un pirate d'obtenir le code source du fichier en
question. Prs de 80% des internautes utiliseraient une
version d'Adobe Flash/Acrobat Reader
Le caractre NULL correspond la chane %00
lorsqu'il est URL encod. En encodant une nouvelle
vulnrable...
fois %00 on obtient : Restons chez notre ami Adobe.
Spoofing d'URL
Description
WWW.XMCOPARTNERS.COM
Un projet permettrait de casser beaucoup plus dune protection identique celle implmente sur la
rapidement le chiffrement A5/1 utilis pour les 3G. Les constructeurs, oprateurs et utilisateurs
communications GSM. seraient alors sensibiliss au risque rel de cette
technologie.
Une nouvelle attaque concernant le dchiffrement des
A noter qu'un sniffer (logiciel d'coute) dnomm
communications GSM fait parler d'elle. Lors de la
GSM AirProbe permet de raliser une capture et une
confrence "Hacking at Random", le chercheur
analyse du trafic GSM. Ce logiciel a t prsent lors
Karsten Nohl a prsent un projet open-source
d'une seconde confrence.
permettant de casser facilement l'algorithme de
chiffrement A5/1 utilis pour les communications GSM
(2G). En France encore 45 millions de personnes
INFO
utilisent cette technologie soit prs de 78%.
Microsoft, 0-day et
patch de scurit
Microsoft a subi les foudres des pirates durant les mois L'exploit a t ajout au framework Metasploit et est
de Juillet et dAot. Plusieurs vulnrabilit "0-day" ont fonctionnel sur les versions anglaises. XMCO a
t publis. Ces dernires affectaient des logiciels dvelopp la version franaise qui sera disponible ds
varis : DirectShow, Microsoft Office Web ou encore le que Microsoft aura publie le correctif.
serveur IIS/FTP.
Enfin la dernire vulnrabilit affecte le protocole SMB
Pire encore, aprs avoir publis 9 correctifs, Microsoft v2.0.
prvoit une recrudescence d'exploits dans les 40 Cette vulnrabilit dcouverte dans Windows 7 et
prochains jours. Les vulnrabilits seraient trs simples Windows Vista est due une erreur lors du traitement
exploiter... Inquitant ! de requtes "NEGOCIATE PROTOCOL" par le pilote
"SRV2.SYS" dans le protocole SMB2.0, lorsque le
champs en-tte "Process Id High" contient un caractre
"&".
Les vulnrabilits 0-day : OWC, FTP et SMB
La requte "NEGOCIATE PROTOCOL" correspond la
2.0! premire requte SMB envoye par un client un
serveur SMB. Elle est utilise afin d'identifier le dialecte
Au cours de ces derniers mois, trois vulnrabilits 0-day SMB qui sera utilis. Un attaquant peut exploiter cette
ont t dcouvertes au sein de produits Microsoft. vulnrabilit par le biais d'en-ttes SMB malforms au
sein de la requte "NEGOCIATE PROTOCOL"
La premire provenait d'une erreur au sein du contrle
envoye, afin de provoquer un dni de service sur le
ActiveX Office Web Components Spreadsheet (OWC
serveur SMB.
10 et 11). En incitant un utilisateur visiter une page
web malicieuse avec un navigateur Internet acceptant
Kostya Korchinsky, chercheur de vulnrabilits et
les ActiveX (typiquement Internet Explorer), un
spcialiste de l'exploitation de vulnrabilits Windows
attaquant distant tait en mesure de corrompre la
prcise que l'excution de code distance pourrait
mmoire de sorte excuter un code malicieux.
tre possible mais resterait trs difficile... Un nouveau
Conficker en perspective ?
La seconde faille touche encore, l'heure o nous
rdigeons cet article, les serveurs et notamment le
service IIS/FTP. Cette dernire est lie un
dbordement de tampon lors du listing d'un nom de
rpertoire excessivement long.
malicieux [9].
Rfrences :
XMCO | Partners
Au programme de ce mois :
WWW.XMCOPARTNERS.COM
Nicolas Ruff
news0ft.blogspot.com
newsoft-tech.blogspot.com
Description Pour ceux qui s'intressent, ne serait-ce qu'un petit peu la scurit
informatique, il est inutile de prsenter Nicolas Ruff. Chercheur chez
EADS au sein de l'quipe de Cdric Blancher, Nicolas Ruff fait partie
des personnalits incontournables du monde de la scurit
franaise. Depuis quelques annes, il participe activement de
grands rendez-vous de la scurit (SSTIC, OSSIR, INfoSec,
EuroSec...).
Capture dcran
WWW.XMCOPARTNERS.COM
Adresse http://news0ft.blogspot.com
http://newsoft-tech.blogspot.com
Avis XMCO Nicolas Ruff tient jour deux blogs qui se compltent trs bien. Le
premier donne un point de vue sur l'actualit de la scurit avec un
ton propre son auteur. Le second est plus technique et orient
Pentest. Il fournit des astuces souvent trs recherches sur la
scurit Windows. Avis aux amateurs!
Portqry
Scanner de port portable
Capture dcran
URLparams
Visualisation des paramtres HTTP envoys
Description Urlparams est une autre extension Firefox qui permet de visualiser
les paramtres des requtes HTTP (GET et POST) envoyes par
votre navigateur. Cette dernire se compose uniquement d'une
barre latrale qui contient l'ensemble des paramtres envoys. Il est
alors possible d'ajouter, de modifier et de supprimer sa guise le
nom et les valeurs de paramtres.
Capture dcran
http://urlparams.blogwart.com/share/index.php
WWW.XMCOPARTNERS.COM
propos de lActuScu
LActuScu est un magazine numrique rdig et dit par les consultants du cabinet de conseil Xmco Partners.
Elle a pour vocation de fournir des prsentations claires et dtailles sur les diffrents thmes de la scurit
informatique, et ce, en toute indpendance.
Fond en 2002 par des experts en scurit, Xmco est dirig par ses fondateurs. Nous
n'intervenons que sous forme de projets forfaitaires avec engagement de rsultats.
Les tests d'intrusion, les audits de scurit ou encore la veille de vulnrabilits
constituent les axes majeurs de dveloppement de notre cabinet.
Pour obtenir de plus amples informations sur notre mtier et notre cabinet, contactez-nous au 01 47 34 68 61.
Notre site web : http://www.xmcopartners.com/
WWW.XMCOPARTNERS.COM