Académique Documents
Professionnel Documents
Culture Documents
scu 32
lACTUSCU est un magazine numrique rdig et dit par les consultants du cabinet de conseil XMCO SEPTEMBRE 2012
Ruben Bos
FlashBack
Analyse du premier vrai malware pour Mac OS X
Confrences
Hack In Paris, Hackito et SSTIC
Actualit du moment
Analyses des vulnrabilits MS12-043, MySQL (CVE-2012-2122), F5 BIG-IP (CVE-2012-1493)
www.xmco.fr
2
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Lanne dernire, DG consultants a ft les 10 ans
des Assises de la Scurit. Cet vnement relative-
dito SEPTEMBRE 2012
Rassurez-vous, il en reste quand mme une bonne
partie dans ldition gratuite ! On ne se refait pas...
ment incontournable regroupe la majorit des ac- ;-)
teurs de la scurit informatique. XMCO y participera
pour la troisime fois cette anne, mais la saveur de Je profite de cette tribune pour remercier nos clients,
cette dition sera un peu particulire pour nous. En pour lesquels nous essayons de donner le meilleur
effet, cest notre tour de fter nos 10 ans ! dentre nous, et dont la fidlit constitue lune de
mes plus grandes satisfaction. Je remercie gale-
10 ans, cest la fois beaucoup, et, je lespre, trs ment mes collaborateurs pour la confiance quils ont
peu par rapport ce qui nous attend ! porte en moi, et pour leur investissement person-
nel dans notre aventure.
Dans ce nouveau numro, vous constaterez que Je vous souhaite une bonne lecture.
nous avons opr quelques modifications. En effet,
compte-tenu de linvestissement que nous consa- Marc Behar
crons pour produire ce magazine, et du dveloppe- Directeur
ment du CERT-XMCO, nous avons dcid de rserver
lintgralit de lActu-
Scu aux abonns du [ XMCO aux Assises de la scurit ]
CERT-XMCO. Une ver-
sion sera toujours tlchargeable librement sur notre
site Web. Toutefois, certains articles seront retirs, ou
incomplets.
ScScoobay
un tel niveau deffort et de qualit, soit nous met-
tions en avant les services que nous dlivrons dj
pour certains de nos clients.
XMCO PARTENAIRE DE :
3
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Vous tes concern
par la scurit informatique
de votre entreprise ?
XMCO est un cabinet de conseil dont le mtier est
laudit en scurit informatique.
Fond en 2002 par des experts en scurit et dirig par ses
fondateurs, les consultants de chez XMCO ninterviennent que
sous forme de projets forfaitaires avec engagement de rsultats.
Les tests dintrusion, les audits de scurit, la veille en
we deliver security expertise
vulnrabilit constituent les axes majeurs de dveloppement
de notre cabinet.
Nos services
Test dintrusion
Mise lpreuve de vos rseaux, systmes et applications web par nos
experts en intrusion. Utilisation des mthodologies OWASP, OSSTMM, CCWAPSS.
Audit de Scurit
Audit technique et organisationnel de la scurit de votre Systme
dInformation. Best Practices ISO 27001, PCI DSS, Sarbanes-Oxley.
Flashback
p. 11 Analyse du premier vrai
malware pour MAC OS X
p. 11
p. 16
p. 16 Confrences
Hack In Paris, Hackito et SSTIC
p. 27
Lactualit du moment
MS12-043, MySQL (CVE-2012-
2122), F5 BIG-IP (CVE-2012-
1493) et BlackHole
p. 37
Cet article a pour objectif de dissquer Flashback avec, dans un premier temps, une pr-
sentation thorique fonde sur les lments prsents sur la toile et dans un second temps,
une analyse technique des mcanismes dinfection effectue depuis des chantillons de
Flashback .
par Antonin AUROY, Lionel AKAGAH et Arnaud MALARD
FlashBack
Paperghost
Les ordinateurs Macintosh ont toujours eu la rputation premires failles et des erreurs dimplmentation impor-
dtre srs avec peu ou pas de virus existants pour leur tantes, le premier virus digne de ce nom est apparu. Reve-
systme dexploitation car trs peu de pirates semblaient nons sur lhistorique de cette menace et des mcanismes
sy intresser, contrairement aux PC Windows. dinfection.
> INFO
Apple publie un outil de suppression du malware
Flashback
h t t p : // l i s t s . a p p l e . co m / a r c h i v e s / s e c u r i t y - a n -
nounce/2012/May/msg00003.html
Etapes dinfection
8
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Dpt de linstalleur
Rcupration de lUUID
Analyse VirusTotal de linstalleur Pour communiquer avec le serveur C&C, linstalleur envoie
des requtes HTTP GET.
Parmi ces antivirus, certains sont uniquement compatibles
avec Windows, ce qui peut expliquer un taux de dtec-
tion aussi faible. Les diteurs dantivirus, ayant dvelopp
un antivirus pour Mac OS X tels que Avast !, BitDefender
Antirus for Mac, Sophos Anti-virus, Avira, et enfin ClamXav,
ont par contre t mme de dtecter le malware sans
aucun problme.
9
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
La requte envoye est de la forme suivante : La suite de cet article est rserve aux abonns du
http://<adresse ip du serveur>/counter/<informations CERT-XMCO
encodes en base64>.
10
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Un Mac dans votre SI, quels risques ?
Abondamment utiliss dans les secteurs de la communication, de la publicit et du marke-
ting, les ordinateurs Apple commencent peu peu simposer en entreprise. Souvent rser-
vs aux VIP ou aux cratifs qui ncessitent davoir des outils de mise en page professionnels,
les Mac sintgrent peu peu aux Systmes dInformation ce qui engendre ncessairement
une nouvelle vision de la scurit du SI. La prsence dun Mac induit-elle des risques pour
votre SI ? Rponse dans cet article...
par Arnaud MALARD
Adrien Guinault
cment ncessaires pour provoquer des fuites dinforma-
tions douloureuses pour un utilisateur et son entreprise : il
existe aussi les attaques physiques .
13
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Un Mac dans votre SI,
quels risques ?
Par ailleurs, ces interfaces FireWire et/ou Thunderbolt Dans un scnario de piratage o un attaquant est parvenu
permettent daccder de trs nombreuses fuite dinfor- obtenir un accs au systme sans connaitre le mot de
mations : lcriture en mmoire RAM tant possible, la passe du compte utilisateur usurp (comme par exemple
lecture lest galement. Ainsi, les informations sensibles avec une session laisse ouverte pendant une pause),
suivantes peuvent tre voles : il ne lui est pas possible, premire vue, daccder aux
+
mots de passe contenus dans le trousseau daccs. Mal-
Mots de passe en clair de lutilisateur stant connect heureusement, la commande systme security dump-
ou tant connect (session active et/ou session verrouil- keychain d lance au travers du terminal (donc avec
le);
+
les droits de lutilisateur courant) permet de visualiser les
Mots de passe du trousseau daccs (si celui-ci nest mots de passe du trousseau en clair sans que le mot de
pas identique au mot de passe systme);
+
passe du compte utilisateur ne soit demand.
Mots de passe saisis travers le navigateur Web;
+ Clef utilise pour chiffrer intgralement le disque dur
(Filevault2);
+ Mots de passe daccs des ressources dun domaine
(Microsoft Exchange, Serveur de fichiers SMB, etc);
+ Etc.
15
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Confrences scurit
Avec quelques mois de retard, nous vous proposons un rsum des confrences qui se sont
droules ce printemps : Hack In Paris, Hackito et SSTIC..
par Pierre TEXIER, Arnauld MALARD, Franois LEGUE, Antonin AUROY, Lionel AKAGAH, Stphane JIN, Stphane AVI et Julien
MEYER
Hack In Paris
Julien MEYER
> Hack In Paris
La deuxime dition de la confrence Hack In Paris a eu
lieu du 18 au 22 juin 2012, au Centre des confrences de
Disneyland Paris. Plus de 350 personnes ont assist cet
vnement, pour entre autres 16 confrences donnes par
des experts en scurit internationaux.
16
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Where are we and where are we going? des statistiques, des chiffres et des exemples concrets, il
Mikko Hyponen a t possible de mieux comprendre les enjeux lis ce
problme.
+ Slides
http://hackinparis.com/slides/hip2k12/Mikko%20H-Key- Ainsi, les attaques par social engineering les plus utilises
note.pdf aujourdhui sont :
+ Video + Le phishing ;
http://youtu.be/0Q1Qr9D3Gds + Llicitation par tlphone (phone elicitation) ;
+ Video
http://youtu.be/rYeUFtrdu78
Aprs une session de questions-rponses sur diffrents
aspects de la scurit, les confrences ont repris avec celle
de Krzysztof Kotowicz sur le HTML5. travers cette prsen-
La dernire confrence avant le djeuner a mis laccent sur tation, diverses attaques ont t prsentes. Notamment
le phnomne dingnierie sociale ou social engineering le filejacking qui permet de lire et de rcuprer des fichiers
qui, daprs lex-membre des Anonymous Sparky Blaze, situs sur la machine de la victime, partir dun site web
est le plus gros problme [en informatique, NDLR] au- en HTML5 (via Google Chrome uniquement). Une autre
jourdhui . attaque nomme AppCache poisoning a t prsente.
Chris Hadnagy, un professionnel en ingnierie sociale, a su
avec humour et nergie capter lattention du public sur ce Elle passe par un point daccs dtourn ( rogue access
phnomne qui prend de plus en plus dampleur. A travers 17
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Hack In Paris
point ) et lutilisation des Offline Web Applications :<html Par ailleurs, des vidos ont permis, dune part, de noter
manifest=cache.manifest>. Par ailleurs, une attaque bapti- que les films hollywoodiens sinspirent souvent de cyber
se Silent File Upload permet de charger des fichiers, via attaques existantes, et dautres dautre part, de dmontrer
JavaScript exclusivement, sur des sites de partage de photos que certains composants, exposs une certaine frquence
utiliss par la victime, en utilisant une faille de type Cross pendant un temps donn peuvent tre dtruits. Peut-tre
Origin Resource Sharing . Une dmonstration a t faite un prsage lattaque mene par le ver Flame via diffusion
sur le site Flickr. Dautres attaques ont t prsentes afin de musique (cf. CXA-2012-1354) ?
de faire comprendre les points suivants aux dveloppeurs :
Cette confrence avait un lien intressant avec celle dou-
+ Le langage HTML5 offre plusieurs fonctionnalits int-
ressantes, y compris pour les pirates ;
verture donne par lexpert en scurit Mikko Hypponen qui
lavait fini en dclarant : Nuclear physics lost its innocence
+ Les compromissions ncessitant linteraction de la vic-
time elle-mme sont largement possibles ;
in 1945. Computer science lost its innocence in 2009.
+ Slides
http://hackinparis.com/slides/hip2k12/Andrei-PostS-
cript%20Danger%20Ahead.pdf
+ Video
http://youtu.be/ygcs0m5C9ZI
+ Slides
http://hackinparis.com/slides/hip2k12/Jorge-Weapons%20
une attaque baptise
of%20Max%20Destruction%20V40.pdf Silent File Upload permet de charger des
fichiers, via JavaScript
+ Video
http://youtu.be/Ldy9Pi7tGOk
exclusivement, sur des
sites de partage de photos utiliss
Lavant-dernire confrence de la journe ntait pas des
par la victime en utilisant le Cross Origin
plus riches en dcouvertes. Elle avait quand mme le m- Resource Sharing
rite dtre une bonne synthse de ltat actuel des cyber
attaques qui sont de plus en plus cibles, mais surtout d-
ployes par des tats afin den attaquer dautres (cf. Bulle- Le langage permet de faire plusieurs choses comme en-
tin CXA-2012-0934). voyer des requtes ou manipuler nimporte quel document.
Jorge Sebastiao a indiqu que les cyber-guerres sont dac- Les scnarios prsents nont pas t aussi impressionnants
tualit et que les nouvelles armes de destructions massives que lon pouvait imaginer, mais le chercheur a pos une
sont maintenant lectroniques. Stuxnet et Flame avec leur simple question comme Qui vrifie ce quil imprime ?
principe de fonctionnement ont t passs en revue (Le La rponse est personne. Alors, imaginer un langage, incor-
malware Gauss navait pas encore fait parler de lui, cf. CXA- por dans un document qui modifie tous les 0 par des 9 lors
2012-1408.). de limpression...
18
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
A Bit More of PE Attacking XML Processing
Ange Albertini Nicolas Grgoire
+ Video
http://youtu.be/3duSgr5b1yc
+ Slides
http://hackinparis.com/slides/hip2k12/Nicolas-Attacking_
XML_processing.pdf
Le format des fichiers PE, fichier excutable Windows, est
quelque chose de plus compliqu que cela en a lair. Cest
tout du moins ce qua confirm Ange Albertini lors de sa
+ Video
http://youtu.be/xm5hloYTSyI
prsentation. En effet, lors de ltude dun malware, il a
observ des comportements tranges avec certains par- En fin daprs-midi, Nicolas Grgoire nous a prsent une
seurs PE. Cest partir de ce constat quil a dcid de for- confrence intitule Attacking XML Processing . Il a
ger ses propres fichiers PE puis danalyser les diffrentes dabord procd une prsentation gnrale du XML et
ractions des systmes dexploitation et des parseurs PE. un rappel des diffrents usages. Par la suite, pour identifier
Ange nous a ensuite montr plusieurs exemples de fichiers dventuelles vulnrabilits il a pos la question suivante :
PE qui ne respectaient pas les spcifications de Microsoft Le contenu XML est-il interprt ? .
mais qui sexcutaient tout de mme. Ces fichiers malfor-
ms peuvent tre utiliss pour contourner les parseurs de
fichiers des antivirus par exemple. Le projet corkami
lanc par Ange, rfrence tous les fichiers PE qui ne res-
pectent pas les spcifications, afin de les analyser et de
crer une documentation sur leurs spcifications.
+ Slides
http://hackinparis.com/slides/hip2k12/Georgia-android-
permissions.pdf
+ Video
http://youtu.be/S9eVKyxye2c
Georgia Weidman a prsent la scurit des applications Plusieurs cas dexploitation de vulnrabilits lies linter-
Android, et plus prcisment la gestion des droits de ces prtation dun contenu XML ont t prsents, dmons-
applications. Aprs avoir fait la liste des diffrents droits trations lappui, avec notamment, lencapsulation dun
existants, plusieurs techniques de contournement ont PDF malveillant dans du XML (XDP) qui nest alors plus
t exposes. Une application peut, par exemple, utiliser dtect par les antivirus, un dni de service via une at-
une autre application qui disposerait des droits ncessaires taque Billion Laughs Attack (CWE-776), ou encore la
pour effectuer une action. De plus, les ressources dispo- rcupration de bannires via des messages derreur en
nibles sur la carte SD le sont pour toutes les applications. utilisant la fonction DOMDocument::loadXML() sur
Gare aux fichiers de configuration ! Enfin, de plus en plus des ports correspondant des services connus (exemple
de dveloppeurs demandent lintgralit des droits, mme : DOMDocument::loadXML(https://localhost:22/) pour ob-
si leur application ne les utilise pas (Facebook). tenir la bannire du serveur SSH). Finalement, il nous a
prsent des mthodes avances qui permettent dex-
cuter arbitrairement du code PHP ou Java en utilisant des
documents XSLT.
+ Slides
http://hackinparis.com/slides/hip2k12/Georgia-android-
permissions.pdf
+ Video
http://youtu.be/S9eVKyxye2c
http://youtu.be/wm9NufqoIWU
http://youtu.be/FIQvAaZj_HA
http://youtu.be/7i0JUplckw8
Hackito
Cdric Blancher
matique et hacking, a enchan sur les consquences de
> Hackito Ergo Sum la mdiatisation croissante de la scurit informatique et
laugmentation du nombre de confrences dans le domaine
XMCO tait cette anne encore prsent la confrence fran- ces dernires annes. Cette augmentation du nombre de
aise qui monte, Hackito Ergo Sum, ou HES pour les intimes. confrences travers le monde, bien que positive, aurait
Cest au sige du Parti Communiste Franais, lespace Oscar pour consquence ngative de tirer le niveau technique
Niemeyer, que la 3me dition dHES a eu lieu. vers le bas. De plus, il nest pas rare de voir une prsenta-
tion plusieurs confrences diffrentes.
Keynote #1 Enfin, lorateur a termin en expliquant pourquoi le hac-
Cedric Blancher king devait continuer exister. Selon lui, le hacking serait le
+ Slides
http://2012.hackitoergosum.org/blog/wp-content/
moteur de linnovation.
uploads/2012/04/HES-2012-cblancher-Keynote1.pdf
+ Slides
http://2012.hackitoergosum.org/blog/wp-content/
uploads/2012/04/HES-2012-goodspeed_bratus-StrangeAn-
dRadiant-Machines.pdf
+
avec leurs paramtres daprs ltape 1 (l rside toute la
Slides difficult) ;
http://2012.hackitoergosum.org/blog/wp-content/ 3 - Identifier ces algorithmes en comparant leurs relations
uploads/2012/04/HES-2012-jcalvet-CryptoFunctionIdentifi- E/S avec ceux des algorithmes connus.
cation.pdf
+ Slides
http://2012.hackitoergosum.org/blog/wp-content/
uploads/2012/04/HES-2012-belenko_sklyarov-Secure-
Password-Managers.pdf
24
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Hackito Ergo Sum
> Hackito Ergo Sum : autres conf- Decomposing the Network to perform Attack Planning
under Uncertainty
rences Carlos Sarraute
Keynote #2
Fyodor Yarochkin The System of Automatic Searching for Vulnerabilities
http://2012.hackitoergosum.org/blog/wp-content/ or how to use Taint Analysis to find security bugs
uploads/2012/04/HES-2012-fyodor-keynote2.pdf Nikita Tarakanov & Alex Bazhanyuk
http://2012.hackitoergosum.org/blog/wp-content/
uploads/2012/04/HES2012-ntarakanov-SASV_ABazhanyuk.
Keynote # pdf
Marc van Hauser Heuse
http://2012.hackitoergosum.org/blog/wp-content/
uploads/2012/04/HES-2012-mheuse-keynote3.pdf Exploiting a Coalmine: Abusing Complex Bugs in Web-
kits RenderArena
Georg Wicherski
Lockpickito Ergo Sum http://2012.hackitoergosum.org/blog/wp-content/
Walter Bergers uploads/2012/04/HES2012-gwicherski-exploiting-a-coal-
http://2012.hackitoergosum.org/blog/wp-content/ mine.pdf
uploads/2012/04/HES-2012-wbelgers-Handouts.pdf
25
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Hack In Paris vs SSTIC
> Confrences scurit
SSTIC
Cdric Blancher
> SSTIC
26
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
LActualit du moment
Analyse de vulnrabilits
Analyse de la faille MS12-043 (CVE-2012-1889)
ACTUA
par Charles DAGOUAT
Buzz
LIT
MySQL (CVE-2012-2122) et F5 BIG-IP (CVE-2012-1493)
par Julien MEYER et Adrien GUINAULT
DU
Le whitepaper du mois
LObservatoire de la scurit des cartes de paiement
par Charles DAGOUAT
MOMENT R&D
ROPGuard et contournements
par Franois LEGUE
Le phishing du mois
AT&T et BlackHole
par Adrien GUINAULT
27
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Analyse de la vulnrabi-
lit MS12-043 affectant le
composant MSXML
par Charles DAGOUAT
Volantra
Contexte Cette faille tait alors considre comme tant suffisam-
ment critique pour que le gant de Redmond publie le
Le 30 mai dernier, Google [1] alertait Microsoft de lexploi- 12 juin suivant le bulletin de scurit n2719615 [2] afin
tation par des pirates dune faille de scurit de type 0day dalerter les internautes de lexistence de cette faille de
prsente au sein dInternet Explorer. scurit, de son exploitation par les pirates, et de la mise
disposition dun correctif temporaire sous la forme dun
Fix it (n50908). Daprs les informations alors publies
par Microsoft, la faille provenait du composant MSXML
(Microsoft XML Core Services). Le correctif devait permettre
aux clients de mettre en oeuvre de faon simplifie une
solution de mitigation temporaire les protgeant contre un
attaquant cherchant tirer parti de cette faille. En effet,
lexploitation de cette dernire permettait un attaquant
de prendre distance le contrle dun systme avec les
privilges de lutilisateur courant [2].
28
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Il faudra ensuite attendre le 9 juillet pour que Microsoft Rfrences
publie, dans le cadre de son Patch Tuesday du mois, le
correctif MS12-043 [4] corrigeant la faille de scurit rf-
rence CVE-2012-1889 [5] pour les versions 3, 4 et 6 du
composant vulnrable sous Windows, mais laissant la ver-
+ Rfrences CERT-XMCO
CXA-2012-1018, CXA-2012-1207, CXA-2012-1046
sion 5 utilise au sein de Microsoft Office 2003 et 2007 sans
correctif. +[1] Alerte Google
http://googleonlinesecurity.blogspot.com.es/2012/06/
security-warnings-for-suspected-state.html et http://goo-
Description de la faille gleonlinesecurity.blogspot.co.uk/2012/06/microsoft-xml-
vulnerability-under.html
Cette faille de scurit affecte les versions 3, 4, 5 et 6 de la
librairie partage MSXML. En incitant un internaute visiter
une page Internet spcialement conue, un pirate tait en
+ [2-4] Alerte et bulletin Microsoft
http://technet.microsoft.com/en-us/security/adviso-
mesure de provoquer une corruption de la mmoire me- ry/2719615
nant la compromission du systme. http://technet.microsoft.com/en-us/security/bulletin/
ms12-043
La faille provient plus prcisment de la fonction _
dispatchImpl::InvokeHelper . En effet, en situation nor-
male, cette fonction, lorsquelle est appele, initialise cor-
+ [3] Exploit Metasploit
http://dev.metasploit.com/redmine/projects/framework/
rectement le contenu dune structure de type vTable repository/revisions/master/entry/modules/exploits/win-
(Note 1) avant dutiliser cette dernire pour appeler une dows/browser/msxml_get_definition_code_exec.rb
fonction virtuelle. Cependant, sous certaines conditions,
celle-ci peut ne pas tre initialise, provoquant ainsi une
erreur lorsque le programme cherche appeler une fonc-
+ [5] Rfrence CVE
h t t p : // c v e . m i t r e . o r g / c g i - b i n / c v e n a m e .
tion non dfinie ladresse en question. Dans cette situa- cgi?name=CVE-2012-1889
tion, il est possible pour un attaquant de contrler ladresse
en question, menant ainsi la compromission du systme. + [6-7] Analyses de la socit HTBridge
https://www.htbridge.com/publications/cve_2012_1889_
Note (1) : lorsquun programme est dvelopp en C++ ou microsoft_xml_core_services_uninitialized_memory_
dans nimporte quel langage de programmation orient ob- vulnerability.html
jet supportant le mcanisme de dynamic dispatch , une
structure de type vTable contient les pointeurs vers les https://www.htbridge.com/publications/cve_2012_1889_
fonctions virtuelles dfinies au sein des diffrentes classes security_update_analysis.html
hritant dune mme superclasse parente. Cette table per-
met au systme, lors de lexcution du programme, dex-
cuter limplmentation de la fonction associe linstance
+ [8] Analyse de VUPEN
http://www.vupen.com/blog/20120717.Advanced_Exploi-
de classe manipule. tation_of_Internet_Explorer_XML_CVE-2012-1889_MS12-
http://en.wikipedia.org/wiki/Virtual_method_table 043.php
La vulnrabilit a t prsente en dtail par Brian Mariani
et Frederic Bourla dHigh-Tech Bridge [6] [7], ainsi que par
Nicolas Joly de VUPEN [8] (allez Florent, la prochaine cest
+ [9] Analyse de Corelan
https://www.corelan.be/index.php/2011/12/31/exploit-
pour toi! ;-). Corelanc0d3r prsente en dtail le scnario writing-tutorial-part-11-heap-spraying-demystified/
dexploitation associ ce type de faille [9].
+ Autres rfrences
http://blog.trendmicro.com/technical-analysis-of-cve-
Exploitation de la faille 2012-1889-exploit-html_exployt-ae-part-1/
http://blogs.mcafee.com/mcafee-labs/vulnerability-in-mi-
crosoft-xml-core-services-opens-door-to-attackers
http://www.symantec.com/connect/blogs/cve-2012-1889-
action
29
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
MySQL et Bypass ROOT
par Julien MEYER
Scott McLeod
Le 9 juin 2012, Sergei Golubchik, en charge de la scurit Mais comment est-ce possible ?
pour le projet MariaDB a publi un avis de scurit sur la
liste de diffusion SecList . Les dveloppeurs de MySQL ont cr la fonction de compa-
MySQL et MariaDB sont tous deux vulnrables une at- raison des mots de passe sans prendre en compte une don-
taque permettant de contourner la phase dauthentifica- ne importante. En effet, la fonction memcmp , utilise
tion, et ceci distance. pour la comparaison des mots de passe, renvoie une va-
riable de type integer. Daprs la page de manuel, le pro-
La vulnrabilit a t identifie sous la rfrence CVE-2012- totype de la fonction est le suivant : int memcmp(const
2122. void *s1, const void *s2, size_t n); .
30
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
La fonction memcmp renvoie une variable de type integer, scramble , est effectue entre 2 valeurs, gnres partir
soit 4 octets. La fonction check_scramble elle, renvoie du mot de passe. Ces valeurs sont cres avec un seed ala-
une variable de type char, soit 1 octet. Lors de la conver- toire, recalcule chaque appel de la fonction. Il y a alors 1
sion du type integer en char, seul loctet de poids faible est chance sur 256 pour que la valeur de retour de la fonction
gard. Ainsi, toutes les valeurs retournes par la fonction check_scramble soit gale 0. La valeur de retour de
check_scramble seront toujours comprises entre -128 cette fonction tant utilise lors de la validation du mot de
et 127. Comme loctet de poids fort est perdu, il est alors passe, il y a alors 1 chance sur 256 que MySQL accepte le
possible de retrouver plusieurs fois la mme valeur, pour mot de passe.
diffrents retours de memcmp !
atache
Le 11 juin 2012, la liste de diffusion Full disclosure a
quelque peu rveill la communaut avec la publication des
dtails sur une vulnrabilit critique affectant les quipe-
ments F5 BIG-IP.
Retour et explication de cette vulnrabilit
BIG quoi ?
32
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Le white-paper du mois
par Charles DAGOUAT
Ivan Fratric a vu sa protection, ROPGuard tre implmente Le but du concours tait de concevoir une
au sein dEMET. Ce logiciel vise ajouter des couches sup- technique de mitigation dexploitation sup-
plmentaires de mitigations celles offertes de base par le plmentaire celles dj existantes (DEP,
systme dexploitation.
SAFESEH, ASLR).
La protection ROPGuard vise empcher lexploitation de
vulnrabilits se basant sur la technique ROP qui permet de
contourner notamment la mitigation DEP et dans certains Le lendemain, Ponez met jour son article et spcifie que
cas de figure, la mitigation ASLR. Cette technique dexploita- Microsoft tait dj au courant de ce type de contourne-
tion repose sur la rutilisation de portions de code (appels ment. Il publie, le jour mme, une nouvelle technique de
gadgets) du logiciel vulnrable afin dexcuter des instruc- contournement. Celle-ci se base cette fois sur la DLL Ker-
tions contrles par lattaquant (charge utile de lexploit). nelBase.dll (prsente sur les systmes Windows 7) qui
Cest la technique la plus utilise dans les exploits actuels. nest pas du tout contrle par EMET (contrairement aux
ROPGuard contrle lors de lexcution et particulirement fameuses DLL ntdll.dll et kernel32.dll). Grce une charge
les appels aux fonctions sensibles souvent appeles par les utile spcifique, la nouvelle technique de contournement
charges utiles des exploits (VirtualProtec, VirtualAlloc, ). consiste obtenir ladresse de la fonction VirtualProtect
partir de cette DLL et de parvenir au mme rsultat.
Bien que cette protection semble tre efficace, un chercheur Il est cependant noter que ces techniques de contourne-
iranien connu sous le pseudonyme de Ponez publia aprs ment de ROPGuard reposent sur la connaissance dadresses
la parution dEMET 3.5 une technique de contournement de de structures ou de DLL. Ainsi, si la mitigation ASLR est acti-
cette nouvelle mitigation. ve sur le logiciel vulnrable, lattaquant doit au pralable
Celle-ci se base sur le fait que la protection ROPGuard ne contourner cette mitigation (modules ne participant pas
contrle quun certain nombre dAPIs sensibles (Virtual- lASLR, fuite dadresse mmoire).
Protect, VirtualAlloc,.). Ponez a trouv une technique
permettant didentifier la fonction KiFastSystemCall http://repret.wordpress.com/2012/08/08/bypassing-
partir de la structure SHARED_USER_DATA qui est toujours emet-3-5s-rop-mitigations/
34
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Le Phishing du mois : AT&T
vs Blackhole
par Adrien GUINAULT
kennytyy
Rodrigo R.
AT&T and BlackHole Une fois le lien suivi, linternaute est dirig vers de nom-
breux domaines diffrents. Dans notre cas, nous avons reu
Ce mois-ci intressons-nous une nouvelle attaque de deux emails diffrents poitant vers :
phishing affectant cette fois la socit AT&T. + http://jaguarloszer.info
35
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Le Phishing du mois
Conclusion
36
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
chaque parution, dans cette rubrique, nous
Blog, logiciels et Twitter
vous prsentons des outils libres, des extensions
Firefox, ou encore nos sites web prfrs.
Maximilian
BLOGS WOLFY
Outil Post-Forensics
LOGICIELS
TWITTER
Microsoft Security Compliance Manager
Analyse et dploiement de GPO
Top Twitter
Une slection de comptes Twitter suivis par le CERT-XMCO
37
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Blog, logiciels et Twitter
38
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Blog, logiciels et Twitter
Compliance Manager SCM est un logiciel de scurit gratuit et fourni par Micro-
soft qui permet :
Analyse GPO + daccder de manire simple lensemble des docu-
mentations scurit fournies par Microsoft;
DISPONIBLE A LADRESSE SUIVANTE : + dimporter ses propres GPO et de les comparer/fusion-
ner avec les Meilleures Pratiques de Microsoft;
+
http://technet.microsoft.com/en-us/library/cc677002.aspx
dobtenir des descriptions dtailles pour chacun des
paramtres de scurit;
Avis XMCO
+ dexporter vos nouvelles GPO sous diffrents formats.
39
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
@Myst3rie http://twitter.com/Myst3rie
@msftsecresponse http://twitter.com/msftsecresponse
@jgrusko http://twitter.com/jgrusko
@adobesecurity http://twitter.com/AdobeSecurity
40
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Romain MAHIEU
> Remerciements
Articles
Ruben Bos
http://www.flickr.com/photos/rbos/3777920783/sizes/l/in/photostream/
Paperghost
http://www.flickr.com/photos/paperghost/2792847567/sizes/o/in/photostream/
andylangager
http://www.flickr.com/photos/andylangager/4711979863/sizes/o/in/photostream/
B_Zedan
http://www.flickr.com/photos/bzedan/2905906576/sizes/o/in/photostream/
Cdric Blancher
http://sid.rstack.org/gallery/?galerie=201204_Paris
http://sid.rstack.org/gallery/?galerie=201206_Rennes
tashland
http://www.flickr.com/photos/tashland/389926564/sizes/o/in/photostream/
PixelManiatiK
http://www.flickr.com/photos/pixelmaniatik/2133750549/sizes/m/in/photostream/
Nina
http://www.flickr.com/photos/sedagenvakna/5127877151/lightbox/
iMaffo
http://www.flickr.com/photos/imaffo/1567358032/sizes/o/in/photostream/
AllanReyes
http://www.flickr.com/photos/pixeleden/229917021/sizes/o/in/photostream/
Scott McLeod
http://www.flickr.com/photos/mcleod/4912039393/sizes/o/in/photostream/
Volantra
http://www.flickr.com/photos/volantra/3406410663/sizes/o/in/photostream/
rosefirerising
http://www.flickr.com/photos/rosefirerising/6848231383/sizes/o/in/photostream/
atache
http://www.flickr.com/photos/atache/4894993972/sizes/l/in/photostream/
Rodrigo R.
http://www.flickr.com/photos/decipher_/4183141862/sizes/l/in/photostream/
LActuScu est un magazine numrique rdig et dit par les consultants du cabinet
de conseil XMCO. Sa vocation est de fournir des prsentations claires et dtailles sur le
thme de la scurit informatique, et ce, en toute indpendance. Tous les numros de
lActuScu sont tlchargeables ladresse suivante (versions franaises et anglaises) :
http://www.xmco.fr/actusecu.html
41
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
69 bis, rue de Richelieu
75002 Paris - France
SAS (Socits par Actions Simplifies) au capital de 38 120 - Enregistre au Registre du Commerce de Paris RCS 430 137 711
Code NAF 6202A - NSIRET : 430 137 711 00049 - N TVA intracommunautaire : FR 29 430 137 711
www.xmco.fr