Wavestone a eu l’honneur de participer à la septième édition de la conférence Positive Hack Days s’étant déroulée à Moscou les 23 et 24 mai 2017 à travers la présentation des travaux de Thomas DEBIZE et Mahdi BRAIK sur la sécurité du framework Hadoop :
![]()
Vous pouvez trouver ci-dessous un compte-rendu d’une sélection de talks. Les supports de présentations ne sont pas encore disponibles, l’article sera mis à jour une fois ceux-ci publiés.
Nous tenons à remercier chaleureusement les collaborateurs de la société Positive Technologies pour leur accueil et pour l’organisation de la conférence : спасибо Positive !
James Kettle – Backslash powered scanning: Implementing human intuition
James Kettle, chercheur en charge de la R&D au sein de la société PortSwigger éditant entre autres le fameux outil de proxification Web « BurpSuite », part des constats suivants identifiés pour les tests d’intrusion Web :
- Il est impossible (et surtout rébarbatif) pour un pentesteur de tester manuellement toutes les classes d’injections client-site (XSS), server-side (injection de code, injection SQL, injection au sein de templates) au sein de tous les paramètres de toutes les requêtes d’un site Web
- Les injections ont pour définition une mauvaise interprétation des données envoyées par l’utilisateur brisant l’exécution normale d’un programme et font toutes intervenir à un moment donné une séquence d’échappement de la charge d’exploitation, souvent caractérisé par le caractère « \ » (backslash)
- La détection de classes de vulnérabilités peut être représentée par un arbre de décision simple tirant parti de plusieurs critères comme par exemple la taille ou le nombre de caractères de la réponse.
- Pour un paramètre numérique prenant en temps normal une valeur entière, par exemple « 1 », si la modification de ce paramètre en valeur flottante « 1.0 » provoque l’envoi d’une réponse ayant la même taille et le même contenu que pour la valeur « 1 » alors il y a potentiellement une injection
- Pour un paramètre comportant une chaine de caractère ressemblant à priori à une fonction connue d’un langage, par ex « abs » (valeur absolue), si la modification de ce paramètre en une fonction qui n’existe dans aucun langage, par exemple « abz », provoque une erreur 500, alors il y a également potentiellement une injection.
James a ainsi développé une extension Burp nommée « Backslash Powered Scanner » assurant le test automatique de paramètres, à la manière des fonctions natives de scan actif et passif, et permettant de détecter d’éventuelles injections en envoyant un minimum de requête. Une autre extension a été développé « Distribute Damage » afin de pouvoir faciliter le scan de multiples cibles. Ces extensions sont disponibles sur Github (https://github.com/PortSwigger/) et le Burp App Store (https://portswigger.net/bappstore/bapps/details/9cff8c55432a45808432e26dbb2b41d8, https://portswigger.net/bappstore/bapps/details/543ab7a08d954390bd1a5f4253d3763b) et seront, de son aveu, prochainement intégré nativement au sein de Burp.
Brian Gorenc et Fritz Sands – Hacker-machine interface
Brian Gorenc, directeur de l’entreprise de courtage en vulnérabilités Zero Day Initiative et de la conférence Pwn2Own, accompagné par Fritz Sands, en charge de la recherche des causes racines et de la validation des vulnérabilités envoyées par les chercheurs ont présenté un état des lieux de la sécurité des SI industriels, rappelant que :
- De plus en plus d’attaque visent ce secteur: des centrales électriques en Ukraine, des centrales nucléaires en Iran, des infrastructures ferroviaires, minières etc.
- Les produits de ce secteur sont à des années-lumière de l’état de l’art de la sécurité : authentifiants inscrits en dur, absence de protection mémoire (pas d’ASLR, ni SafeSEH etc.) etc.
- De nombreux malwares de ce secteur ciblent en priorité les IHMs SCADA : Stuxnet, BlackEnergy etc.
Une analyse statistique des toutes les vulnérabilités recensées par le CERT-ICS entre 2015 et 2016 a ensuite été faite en illustrant chaque catégorie (injection, défaut d’authentification, authentifiants par défaut, corruption mémoire etc.) par une vulnérabilité publiée par ZDI.
Fritz a conclu en préconisant quelques méthodes pour découvrir des vulnérabilités au sein des IHM SCADA :
- L’utilisation de l’outil gratuit Microsoft Attack Surface Analyzer (https://www.microsoft.com/en-us/download/details.aspx?id=24487), permettant de faire un snapshot d’un environnement Windows avant l’installation d’un logiciel et de le comparer avec un snapshot post-installation (clés de registres ajoutées/modifiées, droits sur les répertoires du programme etc.)
- Identifier l’utilisation d’API non sécurisées (par exemple la fonction sprintf()) en se basant sur la liste des API déconseillées par Microsoft (https://msdn.microsoft.com/en-us/library/bb288454.aspx)
Gabriel Bergel et Javier Perez - Breaking bad. PoS tampering
Les chercheurs chiliens Gabriel et Javier ont tout d’abord présenté les différentes techniques connues d’altération des deux plus importants constructeurs de Terminal de Paiement Electronique (TPE en français, PoS en anglais), Verifone et Ingenico. Ces techniques sont principalement utilisées par des criminels et sont de plusieurs ordres : pose d’un skimmer qui va lire la piste magnétique ou effectuer une interception active, accès à l’interface d’administration avec un code de maintenance par défaut etc.
Puis une attaque a été présentée et se base sur la réalisation d’un Déni de Service sur la liaison mobile (2G/3G etc.) qui peut relier un TPE à une station de base : selon certaines conditions, le mode de paiement peut être dégradé (CVM downgrade, https://dev.inversepath.com/download/emv/emv_2014.pdf) et permettre à un attaquant d’effectuer un paiement en saisissant n’importe quel code PIN pour sa carte à puce.
Paul Amar – Circumventing mobile app stores security checks using Hybrid Frameworks and HTML-5 fu
Le chercheur français a détaillé une technique permettant à un développeur d’application mobile malveillante d’abuser des permissions accordées par un utilisateur suite à son installation depuis un magasin d’application légitime en utilisant un framework d’application « hybride ».
Ce type de framework, par exemple Apache Cordova, permet de développer facilement une application compatible sur toutes les plateformes mobiles (Android, BlackBerry, iOS, Windows Phone). Dans un tel paradigme, l’application est développée uniquement avec du code HTML/JavaScript et fait appel à des API du framework pour interagir avec le système sous-jacent.
Cette technique tire parti du fait qu’il est possible d’intégrer une fonction de mise à jour de l’application de manière dynamique à l’exécution, sans devoir repasser par les étapes classiques de publication sur une magasin d’application : un développeur de malware peut ainsi créer une application mobile faisant appel à des permissions systèmes (envoi de SMS, accès à la liste des contacts) sans utilisation malveillante au préalable, afin de passer les contrôles de sécurité mis en œuvre sur les principaux magasins d’application ; puis de récupérer du contenu véritablement malveillant une fois l’application démarrée.
Thomas DEBIZE