Académique Documents
Professionnel Documents
Culture Documents
S OM M AIR E
L e v o l didentit sur Inter net : Comment les cybercriminels accd e n t - i l s
vo s d on n e s p e rson n e l l e s?
L a c t u alit du mois : Safari et les flux RSS, Local root sur FreeB S D , l e s
f a i l l e s I E ( M S 08-078 et MS09-002), la pile Bluetooth Windows Mobile e t l e I n -
P h ish i n g . . . .
Tests d'intrusion
Mise l'preuve de vos rseaux, systmes et applications web par nos experts en intrusion
OWASP, OSSTMM, CCWAPSS
Audit de scurit
Audit technique et organisationnel de la scurit de votre Systme d'Information
Best Practices ISO 27001, PCI DSS, Sarbanes-Oxley
Veille en vulnrabilits
Suivi personnalis des vulnrabilits et des correctifs affectant votre Systme d'Information
Rponse intrusion
Dtection et diagnostic d'intrusion, collecte des preuves, tude des logs, autopsie de malware
Vo u s t e s c o n c e r n p a r l a s c u r i t i n f o r m a t i q u e d e v o t r e e n t r e p r i s e ?
Xmco Partners est un cabinet de conseil dont le mtier est l'audit en scurit informatique.
Fond en 2002 par des experts en scurit, dirig par ses fondateurs, nous n'intervenons que sous forme de projets
forfaitaires avec engagement de rsultats.
Les tests d'intrusion, les audits de scurit, la veille en vulnrabilit constituent les axes majeurs de dveloppement
de notre cabinet.
Paralllement, nous intervenons auprs de Directions Gnrales dans le cadre de missions daccompagnement de
RSSI, dlaboration de schma directeur ou encore de sminaires de sensibilisation auprs de plusieurs grands
comptes franais.
LACTUALITE DU MOIS P. 37 P. 48
BLOG, LOGICIELS ET EXTENSIONS SECURITE
XMCO | Partners
Le buzz, qui lon pourrait qualifier d effet Dan de M.Pektov par un groupe nomm Great Concil of
Kaminsky, lui a mme permis dtre interview dans Internet Superheros. Ce groupe de pirates prtendait
le clbre magazine Wired afin quil puisse donner les rendre justice en attaquant les chercheurs qui auraient,
dtails de son attaque. par le pass, t des Blackhat(vritables pirates) avant
Le jeune homme prtend avoir men son attaque par de se ranger du bon ct.
amusement : "for the fun of it (curiosity and self-
entertainment) I'll pen-test Twitter". Il est important
de prciser que DMZ ntait pas inconnu dans le milieu The Great Council of Internet Superheros, with
du hacking aprs avoir t blacklist de YouTube dans help of bl4qh4t l1b3r4t10n 4rmy commandos, has
le cadre dune affaire similaire. condemned Petko D. Petkov to public exposure,
A la suite de cette affaire, Twitter entend bien mener continuous siege and compromise of his electronic
des poursuites judiciaires aprs avoir tudi le and networked assets.
problme avec ses avocats.
We will strike with greate vengeance and furious
Plusieurs leons sont tirer de ce premier exemple. anger those who attempt to attack, discredit and
Tout dabord, lutilisation de mots de passe faibles offend our brothers. Using our amassed amounts
pour des comptes dadministration (ou non) devrait tre of awesomeness, super powers and truely useful
impossible sur les sites de type CMS (Content 0day, there will be no single networked machine
Management System). En outre, des mcanismes capable of withstanding our acts of justice. Oh we
didentification de telles attaques devraient tre en say. Now get the mailbox files and mirror them,
place: alertes dans logs, IDS, etc. son.
WWW.XMCOPARTNERS.COM
Les pirates du Great Concil of Internet Superheros ont Faille 0-day? Aide dun salari de Google? Aucune
ensuite lanc plusieurs discussions et mis en garde information na t dvoile....
dautres chercheurs de futures attaques : parmi eux,
des noms connus comme Dan Kaminsky ou encore Les pirates, qui ont sans aucun doute fait frmir plus
Joanna Rutkowska. dun chercheur connu, utilisaient, comme leur
habitude, un ton humoristique afin dexposer leurs
fabuleux pouvoirs.
Les pirates du Great Council ont mis en See attached text contributed by a bl4qh4t l1b3r4t10n
4rmy commando known as 'p0lt3rg31st squ4dr0n'.
garde de nombreux chercheurs connus Not Mickey Mouse this time. Also, you don't need to
comme Dan Kaminsky ou encore Joanna mail us, just leave the message on your Drafts folder
Rutkowska... and we'll read it for you. Comprende?
L'assurance Identity Shield fait tout cela - et plus - pour ses clients. L'assurance offre de
nombreux services aux clients en cas de compromission de leurs identits, une indemnisation de
1500$ et une couverture des frais engags pour retrouver leurs identits dans une limite de
28500$.
Identity Shield offre d'aider les victimes avec des experts juridiques, une hotline, des
conseils, la gestion des documents administratifs, des lettres recommandes, etc.
La compagnie Farmers sous-traite en ralit ce service une socit Identity 911, spcialise
dans "credit monitoring services" et le vol d'identit.
On notera que cette compagnie propose galement aux socits de sassurer contre le vol des
donnes de leurs clients.
WWW.XMCOPARTNERS.COM
Quest ce quun vol didentit? Nom et prnom mis part, citons les principales
informations prises par les voleurs didentit:
Le vol didentit englobe un grand nombre daspects
qui diffrent en fonction des pays, des interprtations, - Adresse email
des personnes, etc. - Adresse postale
- RIB
On peut considrer quil y a vol didentit lorsquune - Date de naissance
personne malicieuse russit, par un moyen technique - Nom de jeune fille de la mre
ou non, se faire passer pour une autre personne. - Numro dimmatriculation militaire
- Numro de tlphone portable
Trs concrtement, un vol didentit peut se rsumer au - Numro de scurit sociale
seul fait quun pirate qui connat le mot de passe de - Numro de permis de conduire
votre messagerie (Gmail, Hotmail) envoie des emails - Numro de carte bleue
dautres personnes en se faisant passer pour vous.
Ainsi, le pirate pourra crire votre femme, votre Rajoutons videmment cela, les logins et mots de
patron, vos amis, votre banque, etc et en tirer profit ou passe des nombreux sites web: webmail, banque en
tout simplement gnrer des nuisances importantes. ligne, forums, ebay, etc.
Mais le vol didentit peut aussi prendre un autre Le vol didentit peut avoir de fcheuses
aspect: une personne malicieuse peut crer (le vtre) consquences. Le point dentre royal pour un vol
et publie des billets en signant avec votre nom, votre didentit est la webmail dune personne. En effet,
prnom et - pourquoi pas - votre photo. laccs une simple bote email peut fournir un trs
Ds lors, les lecteurs vous tiendront directement rigueur grand nombre dinformations qui pourra tre rutilis
des propos tenus sur ce blog et il vous sera difficile par le voleur pour se faire passer pour vous : mots de
dexpliquer que ce nest pas vous. De nombreuses passe dautres sites, CV, photos personnelles, contacts,
stars en ont rcemment fait les frais sur Facebook en noms de vos amis, contenu des messages stocks, etc.
constatant lexistence de faux profils utilisant leurs Ds que le voleur a accs votre webmail, celui-ci peut
noms. se faire passer pour vous en envoyant des emails vos
contacts et dautres personnes. Si le pirate prend
Lexemple de la photo est rvlateur. Un pirate voulant quelques prcautions, vous ne vous en rendrez peut-
voler votre identit cherchera des informations tre mme pas compte immdiatement. Cest souvent
personnelles pour appuyer la crdibilit son mfait: la surraction des personnes qui le voleur envoie des
pour faire preuve. Un nom accompagn dune photo messages qui rvle le vol didentit.
permet de se faire aisment passer pour vous sur des Des cas de procs pour harclement, menaces,
blogs ou sur des forums. En citant des informations licenciement ou mme divorce lis un vol didentit
personnelles comme votre ville, votre numro de dune webmail existent.
tlphone, le nom de votre chien, les internautes
croiront facilement quil sagit vraiment de vous.
La premire mthode utilise par les pirates restera Les fake hotspots se rpandent peu peu jusqu des
toujours le social engeneering. Nos tests dintrusion ont salons connus (cf Infosec). Les frameworks
dj montr avec quelle facilit il est parfois possible dexploitation de vulnrabilits comme Metasploit
dobtenir le mot de passe dun compte via le simple incluent dans leur dernire version des outils (projet
envoi dun email spoof (provenant de Karmasploit) capables de mettre en place un fake
administrateur@banque-en-ligne.com). Ce type de mail hotspot et de nombreux services malicieux (POP3,
qui doit tre dsormais identifi par tous savre IMAP4, SMTP, FTP, HTTP).
pratique et efficace pour le voleur didentit. Dautres
mthodes plus volues de social engeneering Ainsi, une fois connects cet hotspot, plusieurs
fonctionneront toujours tant que les personnes auront modules rcuprent la vole vos mots de passe sans
confiance en leur prochain. avoir mettre en place une attaque Man in the Middle.
INFO
Des pirates InfoSec!!
Des logiciels sont disponibles sur Internet et vous Les Web Messenger
permettent en quelques clics (voir ActuSecu n16)
dobtenir une interface Gmail qui pigera plus dun Restons sur le vol de compte des clients de messagerie
internaute inattentif. La page malicieuse vous redirigera instantane. En entreprise, les ports utiliss par les
et vous authentifiera la vole sur le site rel, de quoi messageries instantanes sont bloqus. Les Web
nveiller aucun soupon chez la victime. Messenger sont galement bloqus par les proxies,
mais il en existe toujours de nouveau. Difficile pour les
Des attaques de plus en plus astucieuses sont publies administrateurs de partir la chasse tous les
(voir notre article sur le In-Session Phishing) mais les nouveaux sites web qui mettent en place des
navigateurs commencent jouer correctement leur rle passerelles pour contourner les protections des
en utilisant des blacklistes mises rgulirement jour. entreprises empchant les internautes dutiliser MSN.
Il est alors trs facile pour les pirates - chinois ou pas -
de vous subtiliser votre compte. Vous avez beau
Peu de personnes prennent soin de utiliser une connexion HTTPS comme certains le
proposent, votre compte part sur un des serveurs
cliquer sur le bouton logout avant de qui soccupent de faire le relais de votre
quitter lordinateur dun cybercaf authentification sur les serveurs de PassPort de
Microsoft. Quelque temps plus tard, de drles de
symptmes peuvent apparatre : publicits envoyes
Les questions secrtes vos amis partir de votre adresse MSN, liens pointant
vers des virus, propositions indcentes vos contacts
Les questions secrtes utilises pour retrouver un mot MSN (sic).
de passe gar sont des moyens particulirement utiles Si lon rajoute le fait que le mot de passe est
pour les pirates en herbe. certainement utilis sur dautres sites, il est vident que
les passerelles de type Web Messenger sont des
On ne parle pas ici de hacking de haut vol, mais piges identits.
dastuces que certains dentre vous ont sans doute dj
utilises. Tout le monde possde un ami qui a dj
connu un problme de vol de compte MSN. La plupart Les attaques Man In The Middle
du temps, cela est simplement d au choix dune
question secrte simple dont la rponse est Les attaques de type Man In The Middle permettent de
prdictible : couleur, prnom, ville de naissance, nom jouer le rle de passerelle sur un rseau local. Le pirate
de jeune fille Encore des informations personnelles va se positionner entre la victime et Internet afin
apparemment anodines qui ont pu tre rcupres par dintercepter et de relayer chaque paquet envoy par la
ailleurs! victime. Cette technique repose sur lexploitation
astucieuse de requtes ARP (ARP poisonning) au
niveau de la couche 2 (Ethernet). Linjection de fausses
entres ARP permet ainsi de recevoir les paquets
normalement destins la passerelle.
Le pirate peut donc modifier les rponses DNS afin de
rediriger vers des sites malicieux, de remplacer le code
de pages HTML
Cette attaque est trs efficace sur un rseau local, mais
WWW.XMCOPARTNERS.COM
Comment sen protger ? Nutilisez pas les mmes mots de passe partout
Les solutions pour viter de se faire subtiliser un de ses La plupart des internautes utilisent un nombre trs
comptes restent assez classiques. rduit de mots de passe pour sauthentifier sur leurs
sites favoris. Ceci constitue un risque bien rel. En
Maintenir vos systmes et logiciels jour volant un de vos comptes, le pirate pourra
potentiellement accder lensemble de vos profils.
On ne cesse de le rpter, votre machine doit tre
jour au niveau des correctifs de scurit. De mme, Des mots de passe solides ou des codes PIN non
tous les logiciels, votre navigateur ou encore votre triviaux (diffrents de votre date de naissance) doivent
antivirus doivent tre jour. Ces mesures de base tre adopts.
nviteront pas une infection par des virus inconnus ou
faits maison, mais les contaminations grandes
chelles seront dj contres. Fermer vos sessions
INFO
Les sessions de Google
Effacer vos emails contenant des mots de passe Utiliser des coffres forts numrique pour
stocker vos mots de passe
Tous les mots de passe reus lors dune inscription un
site web sont gnralement stocks au sein de votre Les mots de passe faibles restent lune des techniques
boite email puisque vous avez reu un message de les plus exploites des pirates (voir cas Twitter).
confirmation. Il est donc indispensable deffacer au fur Lutilisation dun portefeuille numrique vite de
et mesure vos emails contenant ce type de donnes choisir des mots de passe simples afin de ne pas les
personnelles et de les stocker dans votre portefeuille oublier. Dsormais, vous pourrez utiliser des mots de
lectronique (sic). passe de 10 lettres sans soucis. Le coffre fort
numrique vitera galement aux pirates qui auraient
mme compromis votre ordinateur de lire ces donnes
Bannir les protocoles non scuriss sensibles.
Conclusion
Utilisez un tunnel chiffr lorsque vous tes sur Comment tre srs que personne na jamais pu un
un hotpost jour accder un de vos profils sur Internetsans
modifier ou mener dactions malicieuses? Qui vous
Si vous devez utiliser le WiFi de lhtel, de la gare, dit que vous tes le seul accder votre boite
dune confrence en scurit informatique, tunnelez email ? Qui empche un des administrateurs dun
toutes vos connexions par le VPN de votre entreprise site web de rutiliser votre compte sur dautres
ou via un tunnel SSH avec une de vos machine. sites (si un mme mot de passe est utilis sur
plusieurs sites web). La rponse est personne!
Le cas chant, mme sans saisir de mot de passe Donc, prenez vos prcautions!!
vous mme sur des pages web, louverture de votre Lauthentification relle dune personne physique
client de messagerie (Outlook, Thunderbird, Mail) sur Internet est aujourdhui quasi impossible. Il
bombardera le rseau WiFi avec votre mot de passe. sagit trs certainement lun des enjeux du web de
demain.
LES CERTIFICATS
Lanne 2008 a t marque par
trois vulnrabilits majeures :
la faille DNS de Kaminsky, la
faille MS08-067 et le problme
des collisions des certificats
signs en MD5.
XMCO | Partners
Rappel sur les certificats Ces certificats sont dlivrs par des tiers de confiance
qui sont gnralement des organismes commerciaux
Le but de cet article nest pas de prsenter le reconnus appels autorits de certification. Ces
fonctionnement dune PKI ni la gnration des autorits de certifications possdent elles-mmes des
certificats. Cependant, il est important de rappeler certificats autosigns nomms RootCA.
certaines bases nos chers lecteurs afin de
comprendre parfaitement les risques lis la Les certificats dautorit (prs de 135) ont t
vulnrabilit affectant lalgorithme MD5. approuvs par les navigateurs/systmes dexploitation
du march. Ainsi, lorsque vous tlchargez Firefox ou
utilisez Internet Explorer, une liste prdfinie dautorit
Les certificats et les autorits de certification de certification a t intgre votre navigateur.
Les certificats x509 dlivrs par les autorits de Lors dune connexion scurise sur un serveur web via
certification contiennent un certain nombre le protocole HTTPS, le navigateur va tlcharger le
dinformationsau sein de deux parties distinctes: certificat associ un site web. Le navigateur va
ensuite parcourir ce certificat pour obtenir le nom de
une partie contenant les informations du certificat lautorit de certification qui a dlivr ce certificat. Afin
dont notamment les lments suivants qui serviront de valider lauthenticit du certificat, le navigateur va
gnrer la signature (hash). ensuite vrifier la signature du certificat avec la clef
publique de lautorit de certification correspondante.
un numro de srie
Le schma suivant rsume la chane complte : de la certification intermdiaire signer eux mme des
demande de signature, la vrification de la validit du certificats (Il serait impossible quune seule entit
certificat par le navigateur. puisse gnrer chaque jour des dizaines de milliers de
certificats), c'est pourquoi les autorits de
certification intermdiaires disposent
galement du droit de signer des certificats.
L i s t e dautorit de certification
intermdiaire:
GlobalSign
Comodo
DigiCert
Enterprise SSL
Go Daddy
InstantSSL
ipsCA
LiteSSL
PositiveSSL
Starfield Technologies
XRamp Technologies
La faille MD5
La capture suivante illustre ce principe. Le certificat du Les premires recherches sur les collisions MD5
site www.digicert.com a t sign par DigiCert High
Assurance EV CA-1 qui lui-mme a t sign par Plusieurs algorithmes de signatures sont utiliss sur
lautorit de certification ROOTCA de DigiCert. Internet pour gnrer les signatures des certificats :
MD5, SHA-1, SHA-256
http://www.win.tue.nl/hashclash/ChosenPrefixCollisions/
Ainsi, les captures suivantes montrent le fond du La vulnrabilit applique dans la vraie vie!
problme. Les deux binaires hello.exe et evil.exe
possdent tous les deux la signature MD5 Aprs les prmices de collisions MD5, une vritable
cdc47d670159eef60916ca03a9d4a007. exploitation de cette vulnrabilit a vu le jour au cours
de lanne 2009.
http://www.win.tue.nl/~bdeweger/CollidingCertificates depuis
Les chercheurs ont collect 38 000 certificats lors de Les attaques Man In The Middle ne sont pas nouvelles.
leurs recherches. Sur ces derniers, prs de 9485 Le but de ce type dattaque consiste se positionner
taient signs en MD5, et prs de 97% dentre eux ont entre la victime et la passerelle et de relayer chacune
t signs par RapidSSL des requtes en provenance et destination de la
victime.
Quelques conditions sont ncessaires lexploitation
Consquences de cette technique:
-tre sur le mme sous-rseau local de la victime.
Les consquences dexploitation de cette vulnrabilit -tre sur un environnement swtich.
sont importantes
Hormis espionner et rediriger la victime vers un autre
Les certificats sont le plus utiliss sur le web site ou encore lui injecter la vole des formulaires ou
notamment pour les sites HTTPS. Dans ce cas, avec autres informations, les consquences restaient minces
de tels certificats malicieux, un pirate pourrait mener lorsquun protocole scuris tait utilis.
des attaques de type Man in The Middle SSL afin
dusurper l'identit d'un serveur Web (SSL Man-In-The-
Middle) mais galement des attaques de Phishing sans Man In The Middle SSL
veiller les soupons de la victime
Les attaques Man In The Middle peuvent galement
Lintgralit des sites web implmentant HTTPS peut tre effectues sur le protocole HTTPS. Cependant, la
tre cible par cette attaque. En effet, mme si vous question des certificats posait jusqualors un problme
utilisez un certificat sign en SHA-1, ces chercheurs (quoi que). Ds que la victime se connectait sur un
peuvent gnrer un certificat valide pour votre site, site scuris, il tait possible de gnrer la vole un
mais sign en MD5. faux certificat autosign, mais cela prsentait alors des
limites En effet, un message derreur tait affich
Il faut galement bien prendre en considration que sur le navigateur de la victime. Si la victime ntait pas
cette faille affecte TOUTES les applications utilisant attentive, lattaque pouvait russir. Heureusement les
des certificats x509 (HTTPS, IMAPS, VPN SSL) plus attentifs remarquaient la supercherie
Conclusion
Sa particularit? Utiliser un
ensemble de techniques pour
contaminer le plus de machines
sans pour autant avoir une
CONFICKER, LE
charge utile bien dtermine.
VIRUS LA MODE
plus redoutables notamment
lorsquils exploitent un
service install sur la plupart
des machines Winows. Aperu et
descriptiong de cette menace
virale..
XMCO | Partners
WWW.XMCOPARTNERS.COM
Conficker envoie des requtes NETBIOS : Diffusion via les ports USB
EnumDomainUsers. Comme son nom lindique, cette
requte permet de lister les utilisateurs du domaine Conficker tente galement d infecter tous les
lorsque la null-session Microsoft na pas t dsactive. supports amovibles connects la machine
Le ver utilise dautres requtes comme QueryUserInfo infecte : clefs USB, disques durs externes, cartes
pour lister les utilisateurs locaux dune machine, dappareils photo. Pour cela, le ver se copie la racine
GetUserPwInfo pour connatre lge des mots de des supports USB au sein dun dossier nomm
passe ou encore GetGroupForUser afin didentifier les 'RECYCLER' et sous un nom alatoire de la forme :
droits des utilisateurs.
U:\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d
%d-%d%d%d-%d\<random letters>.dll
Il y a quelques mois, une vulnrabilit Comme quasiment tous les vers, Conficker ajoute une
avait t identifie au sein des clef de registre (HKCU\Software\Microsoft\Windows
systmes dexploitation Windows. La clef \ C u r r e n t V e r s i o n \ R u n ) a f i n d e s e x c u t e r
de registre utilise pour lactivation automatiquement au prochain dmarrage du poste.
ou la dsactivation de la fonction Conficker sinstalle galement en tant que service
Autorun (NoDriveTypeAutoRun) ntait (HKLM\SYSTEM\CurrentControlSet\Services) qui sera
pas correctement prise en compte par le
lanc de faon transparente par le service gnrique
systme dexploitation!
svchost.exe.
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Policies\Explorer
\NoDriveTypeAutoRun D s a c t i v a t i o n d e s s e r v i c e s s c u ri t e t
monitoring DNS
Ainsi, en ajoutant la valeur 0xFF
(interdisant lexcution automatique Ds lors, Conficker va venir dsactiver 4 principaux
lors delouverture des supports USB) services de scurit Windows savoir:
cette cl de registre, la fonction
restait toujours active. Windows Update Service
Background Intelligent Transfer Service
En incitant sa victime ouvrir un
support amovible (cl USB, CD, DVD ...),
Windows Defender
un pirate pouvait ainsi excuter Windows Error Reporting Services
automatiquement un fichier malicieux
(ver, trojan, spyware...) plac sur le Conficker dtecte ensuite lantivirus install sur la
support et cela mme si la victime avait machine infecte afin de le dsactiver immdiatement.
pris soin de dsactiver la
fonctionnalit en question. Encore plus fort, le ver va bloquer les rsolutions
DNS contenant certains mots-clefs dditeurs antivirus:
Cette vulnrabilit a t corrige, dans cela permet de bloquer les mises jour automatiques
un premier temps, sous Vista et Windows
des signatures.
2008 avec la sortie du correctif
MS08-038.
Voici la liste des diffrents mots-clefs blacklists:
Microsoft a pris ses dispositions la
suite de linfection de supports USB par
Conficker et a seulement corrig le ahnlab; arcabit; avast; avg.; avira; avp.; bit9.;
problme le 24 fvrier dernier... un peu ca.; castlecops; centralcommand; cert.; clamav;
tard... comodo; computerassociates; cpsecure; defender;
drweb; emsisoft; esafe; eset; etrust; ewido; f-prot; f-
WWW.XMCOPARTNERS.COM
Il est galement important de noter que secure; fortinet; gdata; grisoft; hacksoft; hauri;
la valeur de la cl NoDriveTypeAutoRun ikarus; jotti; k7computing; kaspersky; malware;
est crase par les GPO lorsque le
mcafee; microsoft; nai.; networkassociates; nod32;
poste est insr sur un domaine Active
Directory.
norman; norton; panda; pctools; prevx; quickheal;
rising; rootkit; sans.; securecomputing; sophos;
spamhaus; spyware; sunbelt; symantec;
Information sur la vulnrabilit : threatexpert; trendmicro; vet.; ver; wilderssecurity;
http://support.microsoft.com/kb/ windowsupdate
895108/fr
Le ver se connecte ensuite des serveurs web publics Certes, Conficker ralise un grand nombre
afin de se faire connatre du botnet et de se doprations, mais quoi sert-il vraiment?
rfrencer parmi les autres machines infectes.
Pour cela, un algorithme, dj cass par certains Aprs avoir t longuement analys, il savre que
chercheurs, permet de gnrer des noms de domaine personne na, lheure o nous crivons cet article, pu
alatoires. Les URLs en question pointent toujours vers dterminer lutilit relle de ce ver. La plupart des
les domaines suivants : vers sont dvelopps dans un but prcis que ce soit
.cc, .cn, .ws, .com, .net, .org, .info, .biz pour le vol didentifiants, de cartes bleues ou encore
pour constituer un botnet capable de lancer des
Les URLs utilises par Conficker sont de la forme attaques DDOS.
suivante:
Il savre que personne na, lheure o
http://<pseudo-random generated URL>/ nous crivons cet article, pu dterminer
search?q=%d lutilit relle de ce ver...
Concernant Conficker, le mystre reste entier comme le
Chaque jour, 250 noms de domaine diffrents sont confirment plusieurs chercheurs:
crs. Les machines infectes se connectent alors
toutes aux nouveaux serveurs enregistrs par les "There's no telling what kind of damage this could inflict.
pirates auprs de Registrar peu regardants We know that this is usually financially motivated, so
we're just waiting to see what happens next" Derek
Le ver utilise galement ce procd pour tlcharger Brown de TippingPoint's DVLabs.
de nouvelles versions et probablement de futures
charges utiles ad-hoc : spywares, bankers, module "We don't know who controls this thing and what their
DDOS, etc. motivations are...Who knows what's going to happen.,
Thomas Cross, a chercheur scurit chez IBM ISS' X-
Force.
Les systmes Windows Embedded sont Malgr cela, le ver a infect plus dun Systme
rarement mis en avant lors de la dInformation. Bien quaucune charge utile ne soit
publication de correctifs Microsoft. Des
rellement implment, la dsactivation de service de
mises jour assez importantes de temps
autre fournies par Microsoft. La scurit, louverture alatoire de port ou encore le
vulnrabilit MS08-067 a t corrige blocage du service Server a eu des consquences
rcemment (26 dcembre) lors de la mise dsastreuses sur plusieurs rseaux locaux de Grands
jour de dcembre 2008. Comptes
WWW.XMCOPARTNERS.COM
De nombreuses particularits distinguent ce ver des La golocalisation est devenue la mode, comme lors
autres vers mdiatiques comme Blaster ou Sasser. de lexploitation de failles de navigateur avec MPACK
ou Tornado. Cependant, il est rare de voir un ver utiliser
de telles mthodes afin de golocaliser les victimes.
Une utilit encore mconnue Dautres avaient dj utilis cette mthode (cf
W32.Kernelbot.A ou W32.Wecori).
Premirement, aucune charge utile na pour le moment
t utilise ce qui est suspect. Les pirates auraient pu La premire version de Conficker utilisait des donnes
profiter du pic atteint il y a quelques jours afin de lancer tlcharges partir dun site connu
une attaque. (www.maxmind.com) afin dajouter cette fonctionnalit
son attirail. LURL suivante tait crite en dur au sein du
code du ver.
Les dernires informations prciseraient http://www.maxmind.com/download/geoip/database/
galement que les systmes Windows GeoIP.dat.gz
Embedded seraient galement
concerns Cependant, quelques jours aprs une augmentation
considrable du nombre de tlchargements de ce
fichier, les administrateurs de MaxMind lont supprim
Des moyens de propagations pluridisciplinaires laissant ainsi la fonctionnalit de Geolocalication
inutilisable La mise jour du ver au mois de
La particularit du ver vient du fait quil nexploite pas dcembre a rgl ce problme en insrant directement
uniquement une seule vulnrabilit, mais quil tente la fonction de golocalisation au sein du code du ver.
dautres moyens de contamination: propagation sur les
volumes rseau monts, utilisation des credentials du Une autre particularit releve par les diffrentes
compte Administrateur local, exploitation des ventuels analyses de Conficker est la capacit de fingerprinting
mots de passe faibles des comptes du domaine ou utilise par le ver. Les techniques de fingerprinting
encore linfection des cls USB de quoi se propager consistent identifier la version de lOS distant.
partout sur un rseau Windows
http://blogs.msdn.com/embedded/archive/2009/01/22/
january-2009-security-updates-for-runtimes-are-
available.aspx
WWW.XMCOPARTNERS.COM
Cette identification est primordiale pour assurer la Nous ne reviendrons pas en dtail sur les principes et
russite du dbordement de tampon exploitant la faille sur le fonctionnement du protocole dtaill dans le
MS08-67. En effet, la valeur de ladresse de retour numro 20 de lActuScu. En quelques mots, la
(OPCODE) est diffrente pour chaque version de machine infecte envoie une requte UDP M-SEARCH
Windows (XP SP1, XP SP2, XP SP3, Vista, 2000 SP4 afin de dcouvrir les quipements implmentant UPNP.
et la version franaise, anglaise, etc). Les rponses reues contiennent alors ladresse du
fichier de configuration.
Pour raliser ce fingerprinting, Conficker utilise les
requtes RPC SMB Session Setup qui forcent lOS Le ver rcupre le fichier de configuration des
distant rvler sa version. Les auteurs du ver quipements et rutilise les fonctions proposes au
semblent avoir tout simplement copi cette fonction sein de ce fichier pour envoyer des requtes de
depuis le module smb_fingerprint de Metasploit 3.2. contrle permettant de natter correctement les ports
dsirs.
INFO
Hacker wanted!
Outils de F-Secure:
http://www.f-secure.com/v-descs/
worm_w32_downadup_al.shtml
ftp.f-secure.com/anti-ver/tools/beta/f-downadup.zip
Procdure de Symantec:
h t t p : / / w w w. s y m a n t e c . c o m / s e c u r i t y _ r e s p o n s e /
writeup.jsp?docid=2009-011316-0247-99
AHN Labs
http://global.ahnlab.com/global/file_removeal_down.jsp
McAfee
http://vil.nai.com/vil/stinger/
ESET
http://download.eset.com/special/
EConfickerRemover.exe
BitDefender
h t t p : / / w w w. b i t d e f e n d e r. c o m / s i t e / D o w n l o a d s /
downloadFile/1584/FreeRemovalTool
Les nouvelles versions de Conficker!!
Webographie Entre notre premire version de
larticle crite fin Janvier, Conficker
[1] Analyse de Microsoft a quelques peu volu...
http://www.microsoft.com/security/portal/Entry.aspx?
Name=Worm%3aWin32%2fConficker.B Une version B++ du ver a vu le jour le
20 fvrier 2009. Cette fois-ci,
[2] Symantec webblog Conficker contenait une relle charge
https://forums.symantec.com/syment/ utile puisquil pouvait enregistrer les
touches frappes par lutilisateur
(keylogger), envoyer du SPAM ou encore
[3] ActuScu n20: UPnP un protocole dangereux
mener des attaques de dni de service
http://www.xmcopartners.com/actu-secu/XMCO- distribue (DDOS).
ActuSecu-20-UPNP.pdf
Enfin au dbut du mois de Mars, la
[4] Dcompilation du correctif MS08-067 sur le blog version C du virus est apparue. Cette
de Sotirov: fois-ci, le ver contacte dsormais plus
http://www.phreedom.org/blog/2008/decompiling- de 50 000 domaines diffrents (contre
ms08-067/ 250 pour la premire version). De plus,
de nouvelles fonctions comme la
[5] Compilation de liens sur Conficker dtection des logiciels Wireshark,
http://isc.sans.org/diary.html?storyid=5860&rss unlocker, tcpview, sysclean a t
ajoute dans cette version qui ne sera
certainement pas la dernire...
WWW.XMCOPARTNERS.COM
Lactualit du mois...
LACTUALIT DU MOIS
Petit tour dhorizon des
vulnrabilits et de lactualit
scurit de ces derniers mois
prsentes par les consultants en
charge de notre service de
veille...
XMCO | Partners
Aprs Conficker qui reste le problme majeur a retenir ces derniers mois, dautres vulnrabilits ont galement
fait parler delles... Nous prsenterons, dans la suite de cet article, des failles de scurit diverses et varies
toujours aussi intressantes tudier :
La pile Bluetooth Windows Mobile : une vulnrabilit de type Directory Transversal affecte les OS
Windows Mobile 5 et 6.
Safari et les flux RSS : un flux RSS malicieux peut mener au vol de donnes.
WWW.XMCOPARTNERS.COM
Local root sur FreeBSD : utilisation de la variable LD_PRELOAD pour obtenir les droits root sur un systme
Free BSD.
WWW.XMCOPARTNERS.COM
Le In-Phishing
Le principe
Dtails techniques
Du phishing au In-phishing
Pr-requis
Un nouveau type dattaque a rcemment t prsent
Comme chaque attaque volue, lexploitation du In
par Amit Klein.
Phishing est dpendant de plusieurs lments:
Ce chercheur connu vient de dcouvrir un nouveau
vecteur dattaque, permettant damliorer grandement
1. La victime doit visiter un premier site sensible.
le succs dune campagne de Phishing.
2. La victime visite, dans un second onglet, une page
Le Phishing est une attaque consistant obtenir des
malicieuse contrle par le pirate.
renseignements en usurpant lidentit dune
personne, dune socit ou dun site internet. Cette
3. La page malicieuse du pirate doit pouvoir identifier
attaque a pour but dinciter un utilisateur fournir des
sur quel site la victime est loggue (banque,
donnes confidentielles au pirate en se faisant passer
webmail) afin de gnrer la poppup en fonction de
pour un site web lgitime.
cette information et donc mener son attaque.
Habituellement cette attaque consiste crer un faux
4. La victime ne se pose pas de question et soumet
site web en rservant un nom de domaine proche du
les identifiants au sein de la poppup qui lui est
vrai site cibl. Le pirate doit ensuite inciter un
affiche.
utilisateur suivre un lien le menant directement vers
le site web malicieux.
A noter: dans un cas rel, runir lensemble de ces
Amit Klein vient dinventer le nom de in-session
conditions est relativement difficile. Cependant,
Phishing qui permet de mener une attaque de
titre thorique, nous voquons dans la suite de cet
Phishing dans le cas o un internaute visite le site
article, les moyens mis en uvre pour mener bien
web contrl par le pirate et, dans le mme temps,
les points 3 et 4. Les deux premiers points tant
sous un autre onglet, le site vis par la campagne de
surtout lis au social engeneering.
Phishing.
Identifier le site sur lequel la victime est pralablement
loggue est ltape la plus difficile mener par le
Scnario dattaque pirate. La page malicieuse cre par le pirate doit tre
capable dobtenir cette information afin dafficher une
Le scnario dattaque est simple. La victime est poppup correspondant au site visit par la victime.
loggue sur un site bancaire site-bancaire.com mais
visite galement dautres sites web dans le mme Il est vident que le pirate va cibler son attaque pour
temps dont celui du pirate. Une popup est alors quelques sites donns. Imaginons que le pirate
affiche lutilisateur et lui demande de saisir, souhaite voler les identifiants de Facebook, Gmail ou
nouveau, ses identifiants. La popup a t, en ralit, du site site-bancaire.com
WWW.XMCOPARTNERS.COM
gnre par le site malveillant La victime crot alors
que la poppup provient du site bancaire et soumet Pour des raisons de scurit un site plac dans un
son login et son mot de passe. onglet ou dans une autre fentre du navigateur ne
peux pas accder aux informations (contenu, url etc)
des autres sites.
La mthode des images protges 4. Le site pirat que lutilisateur est en train de visiter
affiche une popup demandant de se r-authentifier
Cette mthode a t dcouverte en novembre 2006 sur le site bancaire.
par le chercheur Robert Hansen (http://ha.ckers.org/
blog/20061108/detecting-states-of-authentication-with- 5. Si lutilisateur renseigne ses identifiants, ceux-ci sont
protected-images/). alors envoys au pirate.
<imgsrc="http://sitebancaire.com/
client/imagenonaccessible.jpg"/>
Lattaque peut alors tre ralise avec le simple code Lutilisation dune fonction JavaScript
HTML suivant:
Comme nous lavons vu prcdemment, lutilisation
dimages accessibles seulement une fois authentifie
CODE...
nest pas toujours mise en place sur les diffrents sites
internet.
Cette page HTML permet de vrifier si la victime a Cette attaque est totalement transparente pour
accs limage image-non-accessible.jpg protge par lutilisateur et fonctionne sur la majorit des navigateurs
authentification. internet.
Conclusion
Webographie
WWW.XMCOPARTNERS.COM
XML et le MS08-078
D e s b a l i s e s S PA N j u d i c i e u s e m e n t c o n u e s
permettaient lors de la visualisation de la page en
question de provoquer un "heap spray" (dbordement
de pile) ce qui aboutissait lexcution dun code
malicieux avec les privilges de lutilisateur. CollectGarbage et MS09-002
Des Chinois avaient tout dabord dvelopp un exploit Au dbut du mois de fvrier, le Black Tuesday a t
permettant de provoquer le tlchargement d'un virus notamment marqu par la correction de vulnrabilits
lors de la visite de la page web. affectant Internet Explorer 7.
Une fois le malware tlcharg, ce dernier tentait alors
de tlcharger d'autres virus. Une dentre elles a t rapidement et massivement
exploite sur Internet. Cette dernire baptise
Dautres preuves de concept ont, ensuite, t diffuses Uninitialized Memory Corruption Vulnerability par
sur les sites spcialiss comme Milw0rm (voir capture Microsoft provient dune erreur de traitement lors de
suivante). Cette fois-ci, le shell code utilis permettait laccs des objets supprims (fonction
WWW.XMCOPARTNERS.COM
Vulnrabilit MS08-078
http://www.microsoft.com/technet/security/bulletin/
ms08-078.mspx
Vulnrabilit MS09-002
http://www.microsoft.com/technet/security/bulletin/
MS09-002.mspx
WWW.XMCOPARTNERS.COM
Localement
Fichier XML:
Safari et la gestion des flux RSS
CODE...
Cependant, cette vulnrabilit est diffrente des failles
classiques qui touchent rgulirement les navigateurs
telles que les dbordements de tampons ou les
corruptions mmoires. Cette vulnrabilit ne permet
pas d'excuter du code binaire, mais du code <div class=apple-rss-article-body>
javascript avec des privilges sur le systme de <body src=http://site.com/image.jpg
fichier. onload=javascript:alert(xss);>
<onload></onload>
Les flux RSS sont gnralement des fichiers XML, ils </body>
peuvent contenir diffrents types de donnes, comme <! end articlebody ></div>
du code HTML, pour permettre aux lecteurs de flux
d'avoir un meilleur rendu.
WWW.XMCOPARTNERS.COM
XMCO | Partners
Aprs la srie consacre aux extensions, les logiciels scurit et les blogs des chercheurs, passons un cocktail
vari.
Au programme de ce mois :
Secunia PSI
Application automatique de correctifs
Description La socit Scunia nest plus prsenter. Cette socit est devenue
quelques annes, un des leaders inconstest de la veille scurit.
De plus, elle possde ses propres chercheurs en vulnrabilit qui
sont souvent lorigine de dcouverte.
Un logiciel nomm Scuna PSI a t dvelopp par leur quipe et
permet de patcher automatiquement les systmes WIndows. Ainsi,
vous tes prvenu chaque nouvelle version dun logiciel
implment que PSI soccupe de tlcharger et dinstaller votre
place...
Capture dcran
http://secunia.com/blog/35/
Avis XMCO Ce logiciel peut savrer trs pratique pour une utilisation
personnelle dun ordinateur. Vu, les contraintes du mtier et les
droits des utilisateurs, ce logiciel nest pas encore la solution miracle
en entreprise...
Jeremiah Grossman
jeremiahgrossman.blogspot.com
Capture dcran
Adresse http://jeremiahgrossman.blogspot.com
Avis XMCO Le blog de Jeremiah Grossman nest pas aussi technique que
dautres. En revanche, il donne rgulirement son avis sur les
tendances scurit du moment.
WWW.XMCOPARTNERS.COM
RequestPolicy
Extension anti-CSRF
Description Nous avions dj prsent lextension NoScript permettant de
bloquer lexcution non dsire de codes Javascript malveillant
(notamment pour bloquer les attaques XSS). Une autre extension
proche de NoScript a t rcemment dveloppe. Cette fois-ci, les
auteurs se sont penchs sur les attaques CSRF qui sont de plus en
plus exploites sur Internet. Request Policy permet de dfinir des
white-listes afin dautoriser des requtes vers des sites bien dfinis.
Capture dcran
http://www.requestpolicy.com/
propos de lActuScu
LActuScu est un magazine numrique rdig et dit par les consultants du cabinet de conseil Xmco Partners.
Sa vocation est de fournir des prsentations claires et dtailles sur le thme de la scurit informatique, et ce, en
toute indpendance.
Fond en 2002 par des experts en scurit, dirig par ses fondateurs, nous
n'intervenons que sous forme de projets forfaitaires avec engagement de rsultats.
Les tests d'intrusion, les audits de scurit, la veille en vulnrabilit constituent
les axes majeurs de dveloppement de notre cabinet.
Pour contacter le cabinet Xmco Partners et obtenir des informations sur notre mtier : 01 47 34 68 61.
Notre site web : http://www.xmcopartners.com/
WWW.XMCOPARTNERS.COM