SecurityInsider
Le blog des experts sécurité Wavestone

Compte-rendu général de la conférence Hack-in-the-box Amsterdam – 13 et 14 avril 2017



Wavestone était présent à l’édition 2017 de la conférence Hack-in-the-box (HITB) à Amsterdam où un consultant de la practice Cybersecurity & Digital Trust, Ayoub Elaassal, a pu présenter des travaux autour de la sécurité des Mainframe, via le talk « Hacking Customer Information System ».

Nous vous proposons ci-dessous un compte-rendu des talks les plus marquants de cette édition, les supports de présentations étant d’ores et déjà disponibles à l’adresse suivante tandis que les vidéos seront bientôt publiées sur la chaine Youtube de la conférence.

Michele Spagnuolo and Lukas Wilschelbaum - We Broke All CSPS and You Won’t Believe What Happened Next!

Derrière ce titre à l’allure de clickbait les ingénieurs de chez Google ont présenté :
  • Le concept de la protection « Content Security Policy » : pour rappel cette protection vise à réduire les possibilités d’exploitation d’une faille de type Cross-Site Scripting (XSS) dans une application Web vulnérable
  • Comment établir une politique simple, générique et efficace, en rappelant que les politiques basées sur les listes blanches sont aisément contournables
  • Les challenges autour du déploiement d’une politique générique sur les services Google, historiques ou nouveaux : pour certains services, ils ont obtenu un volume de plus de 50 millions de violations de la politique par jour représentant ainsi une quantité considérable d’information qu’il faut trier selon deux possibilités : les problèmes liés au service en lui-même ou des problèmes liés aux extensions de navigateur utilisées (99% des rapports reçus) par la population de test (1 milliard d’utilisateurs Chrome)
  • Des outils développés :
    • CSP Mitigator, permettant d’identifier visuellement les violations de CSP au sein d’une page
    • CSP Evaluator, permettant d’identifier les contournements possibles de la politique
    • CSP Frontend, outil interne à Google permettant de concentrer les rapports de violations
  • Les différentes techniques de contournement, démontrant ainsi que la protection CSP n’est pas une réponse sans faille mais un élément de défense en profondeur.


Cette protection est assurément efficace, mais ne constitue qu’un rempart supplémentaire pour des applications Web disposant déjà d’un niveau de sécurité minimal. La complexité technique non négligeable nécessaire à sa mise en place joue en sa défaveur pour une prise en compte massive par les développeurs Web… pour lesquels il nous est souhaitable de sécuriser en premier lieu leurs développements face à la vulnérabilité applicative triviale XSS, malheureusement trop commune.

Patrick Wardle - Meet and Greet with the MacOS Malware Class of 2016

Patrick Wardle tord le cou à la pensée historique et commune, que le système Mac OS n’est pas la cible de virus en proposant une revue des principaux malwares ayant visé cette plateforme sur l’année 2016. Du ransomware « KERANGER », à la backdoor « ELEANOR » espionnant les flux audio et vidéo du poste de travail, en passant par le faux antivirus « FAKEFILEOPENER » jusqu’à l’implant « KOMPLEX » supposément lié au groupe APT18 « Fancy Bear », tous partagent la même méthode d’infection : l’exécution par la victime d’un fichier malveillant caché dans un programme légitime (par ex. le client bittorrent Transmission) ou reçu en pièce-jointe. 
Le malware « KEYDNAP » est probablement le plus insolent de par sa méthode d’élévation de privilèges simple et efficace : demander à l’utilisateur de saisir les authentifiants d’un compte avec les privilèges d’administration. La plupart des malwares partagent également la caractéristique de ne pas être protégés (packing, chiffrement/déchiffrement du payload à l’exécution etc.) facilitant ainsi l’analyse.
Face à ces malwares et à l’absence de solution antivirale efficace pour Mac OS, la plupart étant principalement basées sur des signatures, Patrick Wardle a développé une suite d’outils open-source et gratuits mettant en œuvre des méthodes génériques de détection, dont notamment l’outil OverSight, permettant de détecter l’écoute des flux de caméra par un processus illégitime : https://objective-see.com

George Chatzisofroniou - Exploiting Windows Automatic Wireless Association Algorithm

Wi-Fi Sense" était une des nouvelles fonctionnalités de Windows 10 qui permettait de partager les mots de passe des réseaux WiFi d’un utilisateur à ses contacts et ainsi permettre la connexion automatique et transparente d’un poste de travail à proximité d’un réseau. Ce partage des authentifiants ayant été supprimé lors d’une mise à jour suite au mécontentement des utilisateurs, l’auteur a néanmoins identifié une vulnérabilité qui permet à un attaquant de forcer la connexion d’un utilisateur à un point d’accès Wi-Fi, celui-ci étant de préférence maitrisé par l’attaquant afin d’intercepter les flux.
A chaque connexion à réseau Wi-Fi par un poste de travail Windows 10, celui remonte automatiquement des informations à Microsoft sur la localisation de ce réseau et la qualité de celui-ci, avec comme objectif pour Microsoft de construire une gigantesque base de donnée.
L’auteur tire parti de cette « fonctionnalité » afin de piéger sa victime en tentant de se faire passer pour un réseau « Wi-Fi Sense » sur lequel la victime s’est déjà connectée. La séquence de l’attaque nommée « Lure10 » est la suivante :
  1. L’attaquant envoie des trames de désauthentification de la victime au point d’accès initial, cette technique n’est pas nouvelle et tire parti de l’absence d’authentification cryptographique de ces flux dans le protocole 802.11
  2. L’attaquant émet des trames « beacons » de multiples réseaux Wi-Fi qui sont présents physiquement aux alentours du « Wi-Fi Sense » ciblé. La proximité géographique de ces réseaux est nécessaire pour duper le service de géolocalisation Windows utilisant une triangulation des réseaux Wi-Fi pour déterminer la position géographique du poste de travail
  3. L’attaquant émet des trames « beacons » du réseau « Wi-Fi Sense » ciblé : le poste de travail, croyant que le poste est dans une zone géographique proche du réseau ciblé, se connecte alors automatiquement à ce réseau.

Averti de cette attaque, Microsoft a informé l’auteur que le risque associé était accepté et qu’aucun patch ne serait développé. Les utilisateurs peuvent toutefois se prémunir de cette attaque en désactivant simplement la fonctionnalité « Wi-Fi Sense » :


Marc Newlin and Matt Knight - So You Want to Hack Radios

Les auteurs ont eu pour objectif de démontrer la facilité d’attaque de protocoles radio via l’utilisation d’outils open-source de radio logicielle dont notamment le framework GNU radio. Une méthode générique de rétro-ingénierie a été détaillée puis appliquée à 3 exemples différents :
  • Un flash manuel d’appareil photo 
  • Une guirlande de LEDs contrôlée par une télécommande
  • Un clavier sans-fil


Dans tous les exemples les auteurs sont parvenus facilement à analyser les signaux radio en rétro-concevant la modulation, le débit de symbole et le protocole d’échange d’information au moyen de ressources open-source et d’astuces communes pour tenter d’obtenir de la documentation technique sur les composants, et in-fine pouvoir contrôler de manière programmatique ces équipements.

Steven Seeley and Roberto Suggi Liverani - I Got 99 Trends and a # Is All Of Them

De nombreuses solutions de l’éditeur de sécurité Trend Micro ont été passées au crible par les auteurs, qui ont pour chacune pu trouver des dizaines voire des centaines de vulnérabilités applicatives critiques triviales entrainant la compromission de la solution et du socle système sous-jacent. Ces nombres considérables de vulnérabilités ont pour principales causes l’absence de sensibilisation et de prise en compte de mesures de développement sécurisé par l’éditeur et la réutilisation massive de composants vulnérables.
Les auteurs ont détaillé leur méthodologie et les écueils rencontrés puis ont tenu à indiquer la bonne coopération de l’éditeur et la diffusion rapide de patchs, pas forcément toujours efficaces.

Yingtao Zeng, Qing Yang and Jun Li – Chasing Cars: Keyless Entry System Attacks

Les auteurs ont démontré la possibilité d’attaque par relai pour la séquence de déverrouillage des portes de voitures utilisant un modèle spécifique de micro-contrôleur NXP pour la clé sans-fil. Pour un montant total de 20 euros en composants électroniques, les chercheurs ont démontré la possibilité d’une telle attaque, nécessitant 2 protagonistes :
  • Un premier qui doit s’approcher à 2m minimum de la clé sans-fil détenue par le propriétaire
  • Un second qui doit se positionner vers la voiture et relayer les demandes d’authentification issues de la voiture vers la clé sans-fil vers le premier attaquant.


Cette attaque est réalisable à une distance maximum de 300m entre le premier attaquant et le second. Aucune liste exhaustive des voitures vulnérables n’a été communiquée par les chercheurs, le constructeur General Motor a cependant été évoqué.


S. Huber, S. Artz and S. Rasthofer – Extracting All Your Secrets: Vulnerabilities in Android Password Managers

Les principales applications Android de gestion centralisée des mots de passe ont été évaluées par les chercheurs, qui ont eu pour objectif d’identifier des scénarios d’attaque ne nécessitant pas le root préalable du terminal mobile. Les principales vulnérabilités sont les suivantes :
  • Pour les fonctionnalités de remplissage manuel de formulaire, le presse-papier Android n’étant pas cloisonné par application, une application malveillante peut le surveiller en fond de tâche et copier ce qui s’y trouve entrainant ainsi la fuite du mot de passe pour cet usage.
  • Pour les fonctionnalités de remplissage automatique de formulaire, les Services d’Accessibilités Android sont communément utilisés. Ceux permettent à une application A de transmettre des informations à une application B, basé sur le nom de package (unique par application) de l’application B.
    Dans l’exemple évoqué, l’utilisateur stocke dans son application de gestion de mot de passe une entrée pour son compte Twitter, valide ainsi sur le domaine « twitter.com ». Ce mot de passe est en théorie uniquement transmis à l’application officielle Twitter, dont le nom de package officiel est « com.twitter.android ». Un mapping inverse est effectué entre le nom de domaine (« twitter.com ») et le nom de package (« com.twitter »).
    Une vulnérabilité au sein de mécanisme existait dans la mesure où seul le préfixe, et non la valeur entière du nom de package était recherché : ainsi en créant une application avec un nom de package débutant par « com.twitter » (par exemple « com.twitter.twitterleak »), le mot de passe pouvait être récupéré par cette dernière.
  • Pour les applications utilisant l’API Android « AccountManager », consistant en une base de données globale à tout le terminal ; une attaque par « résidu » a été mise en évidence et permet à une application malveillante utilisant le même nom de package de l’application légitime de récupérer les valeurs stockées par cette dernière après sa désinstallation.

Diverses autres vulnérabilités ont été identifiées dont entre autres des clés de chiffrement inscrites en dur dans le code, des secrets stockés en clair, l’utilisation du mode non sécurisé ECB d’AES et des applications réinventant leur propre protocole de transport au lieu d’utiliser SSL/TLS :


Il a été évoqué en conclusion que toutes les vulnérabilités ont été corrigées par les éditeurs.
A la question « Quelle solution nous conseillez-vous d’utiliser ? » les auteurs ont simplement évoqué que toutes sont plutôt robustes tant que l’utilisateur n’utilise pas les fonctionnalités de confort (remplissage automatique, simple PIN pour clé maitre etc.).

Antonios Atlasis - An Attack-in-Depth Analysis of Multicast DNS and DNS Service Discovery

Le chercheur a analysé la sécurité de ces protocoles sous 2 angles : les spécifications au sein des RFC et les implémentations rencontrées, notamment face aux directives ambiguës de type « SHOULD » au sein des spécifications : par exemple « mDNS responses SHOULD be sent with IP TTL := 255 ».
Pour rappel, ces protocoles sont utilisés pour la fourniture de services de nommage au sein d’un réseau IP sans configuration préalable (famille de protocoles « zeroconf ») :
  • mDNS vise à fournir des services similaires au protocole DNS sur le lien local en multicast via le port 5353
  • DNS-SD permet aux clients de découvrir des services sur un lien local, avec la convention « <Instance>.<Service>.<Domain> », par exemple « _http._tcp.local »

L’absence d’authentification couplée à l’utilisation du protocole non connecté UDP rend ces standards vulnérables de nombreuses attaques dont entre autres :
  • La reconnaissance : des informations verbeuses fuitent et facilitent la cartographie des services disponible sur les hôtes présents sur le lien local, sans besoin de scan de port

  • L’usurpation de services et la réalisation d’attaques de type Man-in-The-Middle, simplement en annonçant un service précis et en demandant préalablement aux hôtes de vider leur cache, par exemple en annonçant le service « _googlecast._tcp » utilisé pour la diffusion de contenu sur Chromecast. 
  • Des dénis de service : ces protocoles prévoient en théorie des tailles maximum de message, cependant les implémentations ne respectent pas toujours la RFC et il est souvent possible de crasher un service en lui envoyant un message volumineux. Il est également possible de rendre inopérant un service annoncé en envoyant, plus rapidement que le service légitime sur le lien local, une réponse avec un TTL égal à 0. 
  • Des dénis de service distribués : en envoyant une requête DNS directe sur le port 5353 d’un hôte, ce qui n’est pas un cas d’usage spécifié dans la RFC, celui-ci va envoyer une réponse à l’émetteur. En usurpant l’adresse IP source d’une requête, il est ainsi possible de provoquer une attaque par amplification visant à submerger l’initiateur.

Bien que ces protocoles aient été conçus pour un usage limité au lien local, de nombreux services sont accessibles sur Internet (1 millions de services accessibles sur le port 5353 recensé par Shodan). De plus, le chercheur a observé que les vulnérabilités évoquées précédemment peuvent être corrigée pour IPv4 mais non pour IPv6.
L’outil « pholus » (https://www.secfu.net/app/download/10929157197/pholus.tar.gz), développé par l’auteur, permet la réalisation des attaques présentées.

Emmanuel Gadaix – A Surprise Encounter With A Telco APT

En 2005 la presse révèle qu’une attaque informatique d’ampleur a été menée contre l’opérateur téléphonique Vodafone en Grèce pendant les Jeux Olympiques de 2004. Les détails techniques ne sont pas publiés mais le niveau technique semble avoir été relativement élevé et laisse peu de doute quant à l’implication d’un acteur étatique. Cette attaque à visé à altérer le fonctionnement de l’intercepteur légal des communications, dans le but de masquer l’écoute de certains terminaux mobiles précis dont notamment ceux d’acteurs politiques locaux, d’ambassadeurs, de militaires et d’ONG.
Le code PLEX (propriétaire Ericsson) de l’équipement a été modifié afin de masquer les numéros surveillés, les fonctions de journalisation ont été contournées et un utilisateur système a été ajouté.
L’auteur raconte qu’en 2015 et par le plus grand des hasards lors d’un audit de sécurité pour un opérateur téléphonique, il a pu observer que ce même attaquant était en train d’opérer sur une infrastructure similaire à celle attaquée en 2005. Dès lors, il a tenté de récupérer un maximum d’informations, notamment des scripts utilisés par l’attaquant afin de les analyser et in-fine confirmer le haut niveau technique de ce groupe étatique ayant agi 10 ans plus tôt.

Anirudh Duggal - Hacking Medical Devices and Healthcare Infrastructure

L’auteur a présenté le protocole de communications HL7 utilisé couramment dans les appareils médicaux. Ce protocole transporte toutes les informations liées au dossier médical des patients à savoir :
  • Les coordonnées personnelles
  • Les allergies et diagnostics
  • Les médications
  • Les valeurs de pouls, d’oxygène et autres mesures temps-réel


Ce protocole est vulnérable aux interceptions actives et passives dans la mesure où il n’est ni chiffré ni authentifié. Enfin, l’auteur a pu mettre en évidence des crashs d’équipements suite à l’envoi de messages volumineux ou mal formés, témoignant ainsi de problème d’analyse syntaxique et potentiellement de vulnérabilités de type « buffer overflow ».

Thomas DEBIZE

Aucun commentaire:

Enregistrer un commentaire