Retour sur quelques conférences de la 15ème édition du SSTIC (2017)

Retour sur quelques conférences de la 15ème édition du SSTIC (2017)

Certains membres du cabinet XMCO ont eu le privilège de participer à l’édition 2017 du SSTIC. Reconnue comme une des conférences les plus réputées dans le milieu de la sécurité informatique, cette édition n’a pas dérogé à la règle.

Vous pourrez ainsi retrouver dans nos colonnes, les résumés des cinq conférences que nous avons le plus appréciées. Le reste des conférences paraitra dans le prochain numéro de l’ActuSécu.


WSUS pendu, par Romain Coltel, Yves Le Provost

SLIDES / VIDEO

À travers une conférence très claire, riche en exemples et didactique, Romain Coltel et Yves Le Provost de l’ANSSI ont présenté les attaques qu’il était possible de réaliser via les serveurs de mise à jour de Microsoft utilisés en entreprise.

Portant le nom de « WSUS » pour « Windows Server Update Services », ils servent à déployer les mises à jour de sécurité Windows sur l’ensemble des postes d’un réseau d’entreprise. Via une interface facile d’utilisation, un administrateur peut alors respecter une certaine politique de mise à jour sur différents postes en quelques clics.

Ce système permet ainsi de déployer des correctifs de sécurité (sous forme de fichiers binaires) sur un ensemble de machines. Ce n’était alors qu’une question de temps avant que des pirates ne tentent de détourner ce mécanisme afin de déployer des fichiers malveillants en lieu et place des correctifs. Cela permettrait d’infecter un grand nombre d’ordinateurs très rapidement, une aubaine pour les pirates…

Les chercheurs de l’ANSSI ont pu identifier de précédents travaux sur le sujet, mais l’attaque nécessitait d’être en position de « l’homme-du-milieu » (« man-in-the-middle ») afin de modifier les paquets envoyés du serveur WSUS vers une machine cible.

L’attaque des chercheurs consiste à injecter des fichiers malveillants directement via le service WSUS afin de s’affranchir de toute protection réseau éventuelle. Ils ont présenté deux scénarios d’exploitation :

  • Un pirate prend le contrôle du serveur WSUS d’une entreprise au sein d’un réseau A, mais l’utilisateur utilisé n’est pas administrateur du domaine. Ils cherchent ainsi à prendre le contrôle d’un contrôle de domaine, avec un compte utilisateur disposant de tels droits.
  • Un pirate prend le contrôle d’un contrôleur de domaine sur un réseau A, mais souhaite accéder à un autre contrôleur de domaine, présent sur un réseau B. La seule liaison entre les deux réseaux est la présence d’un serveur WSUS dans chaque réseau.

Le service WSUS repose sur trois composants : un serveur Web, une base de données ainsi qu’un service Windows, faisant office d’orchestrateur.

La base de données est l’élément stratégique contenant toutes les données et métadonnées nécessaires au bon fonctionnement de WSUS. Les chercheurs se sont ainsi concentrés sur celle-ci afin d’y injecter des données.

Via leur outil nommé « WSUSpendu », les chercheurs ont réussi à injecter une mise à jour de sécurité contenant un binaire signé (PsExec est signé par défaut par Microsoft, permettant d’exécuter des commandes. En forgeant un fichier XML contenant de fausses métadonnées, ils ont pu injecter une fausse mise à jour urgente dans la base de données du service WSUS, qui se contente alors de la transmettre aux machines du réseau.

Il était alors possible d’accéder au contrôleur de domaine dans le cas du réseau A du premier scénario, ainsi que de passer du réseau A au réseau B pour le second. L’emplacement du serveur WSUS est alors un point critique à prendre en compte.

Les chercheurs l’ont bien compris, ils ont ainsi donné des recommandations afin de protéger l’infrastructure au maximum :

  • Utiliser le protocole TLS sur le réseau, afin de ne pas pouvoir éditer les binaires via une attaque de l’homme-du-milieu.
  • Avoir un serveur WSUS pour chaque niveau de l’architecture (vert, jaune, rouge). Chaque niveau d’administration doit être le plus indépendant possible des autres.
  • Disposer d’un serveur WSUS pour chaque réseau. Un serveur WSUS indépendant permet de garder un cloisonnement efficace.

Enfin, les chercheurs ont rappelé que ce vecteur d’attaque ne doit pas être une excuse pour ne plus déployer de mises à jour sur son parc informatique. Cependant, il faut respecter des principes de cloisonnement réseau simple et logique, tout en durcissant les configurations d’accès aux éléments critiques du réseau, tel que le serveur WSUS, afin d’en diminuer au maximum la surface d’attaque.


L’administration en silo, par Aurélien Bordes

SLIDES / VIDEO

Aurélien Bordes a présenté une conférence orientée sur l’administration d’un composant vital de toute architecture d’un réseau interne à savoir l’Active Directory.

En effet, l’une des grandes problématiques avec cet outil est la sécurité des authentifications des administrateurs sur les protocoles Kerberos et NTLM.

Pour se protéger de ce type de menaces, le conférencier a présenté l’administration AD par le découpage en silo du Système d’Information. Ce découpage suit les zones de privilèges et de protection du SI. On retrouve ainsi les postes clients dans le silo vert, les serveurs dans le silo jaune et le contrôleur de domaine dans le silo rouge.

Selon lui, la priorité est le silo rouge, bien que la finalité soit le silo jaune car c’est dans ce silo que se trouvent les données métier de l’entreprise.

Pour contrer ces problèmes de sécurité, il a proposé quelques recommandations de sécurisation de l’authentification :

  • la désactivation de NTLM au profit de Kerberos ;
  • l’interdiction de la délégation d’authentification Kerberos ;
  • la protection des échanges AS Kerberos ;
  • la limitation des ordinateurs depuis lesquels les utilisateurs peuvent s’authentifier.

Les deux premiers éléments de cette liste peuvent être implémentés simplement par GPO au sein de l’Active Directory.

Pour les deux suivants, le conférencier a présenté des mécanismes de sécurité apparus dans les systèmes Windows ces dernières années permettant de répondre à ces besoins :

  • les revendications ;
  • le blindage Kerberos (Kerberos Armoring) ;
  • l’authentification composée (Compound Authentication) ;
  • les stratégies d’authentification ;
  • les silos d’authentification.

Ces mécanismes ne sont pas nouveaux, mais sont souvent méconnus du public. Leur implémentation est par ailleurs relativement aisée bien que reposant sur des concepts de plus en plus complexes.

Néanmoins, ces mécanismes sont limités aux systèmes les plus récents, à partir de Windows Server 2012 et Windows 8 pour les postes clients, des systèmes que l’on retrouve encore rarement en entreprise.

Les actes de cette conférence sont disponibles à l’adresse suivante : https://www.sstic.org/media/SSTIC2017/SSTIC-actes/administration_en_silo/SSTIC2017-Article-administration_en_silo-bordes.pdf.


Binacle : indexation « full-bin » de fichiers binaires pour la recherche et l’écriture de signatures Yara, par Guillaume Jeanne

 VIDEO

Dans cette conférence, Guillaume Jeanne a présenté un outil nommé Binacle qui permet de réaliser de l’indexation de fichiers binaire pour y rechercher des informations opérationnelles :

  • Adresses IP ;
  • Domaines DNS ;
  • Suite arbitraire d’octet ;
  • Utilisation de fichiers partageant du code source voire des fichiers semblables.

Néanmoins, contrairement aux mécanismes de recherche de texte habituel (dit full-text), la recherche de séquences hexadécimales est complexe. En effet, il n’y a pas de séparateur naturel, ni de mots susceptibles d’être recherchés. On ne peut donc pas se baser sur le principe de l’index inversé pour l’indexation de binaire.

À la place, le conférencier propose la technique par découpage de séquence en n-grammes. Cette technique consiste simplement à récupérer les informations d’une séquence de n octets que l’on décalera via une fenêtre glissante sur la longueur de la séquence.

Une fois les n-grammes récupérés, Guillaume Jeanne a cherché à les indexer au sein de bases de données. Il a d’abord pu tester les technologies MySQL et LMDB (pour le chargement de fichier disque en mémoire) qui fonctionnent mais ne permettent pas de répondre au besoin à grande échelle.

Il a également testé les Bloom Filters, qui est une méthode probabiliste pour tester la présence d’éléments dans un ensemble. Il s’agit d’une méthode très utilisée avec les très grandes bases de données, car elle permet de savoir si un élément est présent dans la base de données sans avoir besoin de réaliser une requête couteuse en temps et performance.

Cette méthode fonctionne, mais nécessite beaucoup d’interactions entrées-sorties.

Suite à ces différentes recherches et expérimentations, le conférencier a développé Binacle en cherchant à obtenir :

  • Un temps de recherche constant ;
  • Une insertion rapide ;
  • Une taille de base raisonnable ;
  • Un passage à l’échelle ;
  • Un index incrémental.

Ce programme est ainsi basé sur des hashtables de n-grammes et des fichiers disques directement présents en mémoire (de la même façon que LMDB).

En effectuant des comparaisons sur le temps de traitement, la taille de la base, ainsi que la vitesse d’écriture lors de l’utilisation de taille n-grammes différentes. Il a pu en conclure que la taille idéale des n-grammes est de 28 bits. Sur le test réalisé (indexation de l’ensemble de son disque), les résultats affichés offrent le meilleur compromis.

L’outil Binacle est disponible dès à présent sur Github à l’adresse suivante ANSSI-FR/Binacle.

Le conférencier a terminé sa présentation en montrant plusieurs cas d’utilisation de son outil avec Yara (pour reconnaître des patterns, et identifier/classifier des codes malveillants) :

  • l’accélération des scans de règles de signature Yara. Ainsi, ses résultats bien que présentant quelques faux positifs montrent que Binacle est bien plus rapide que Yara;
  • la génération automatique de ce type de règles via l’assistance à la création des règles, ainsi que l’identification de séquences hexadécimales qui pourraient échapper à un analyste.

Oups, votre élection a été piratée… (Ou pas), par Martin Untersinger

 VIDEO

Martin Untersinger, journaliste pour Le Monde, était présent pour animer la seule conférence invitée non technique du symposium. Celle-ci portait principalement sur la perception des journalistes quant au sujet de la sécurité informatique.

Le journaliste est ainsi revenu sur l’attaque du DNC, le parti démocrate américain, alors mené par Hillary Clinton, durant les présidentielles l’opposant à Donald Trump. Cette attaque, bien que techniquement similaires à d’autres APT a fait grand bruit. La divulgation de nombreux emails du directeur de campagne de la candidate et les scandales qui en ont découlé a apporté une dimension nouvelle à la manière dont le peuple perçoit les menaces informatiques.

Dans un monde où Internet est désormais partout, jusque dans les objets du quotidien via le développement exponentiel de l’IoT (« Internet des Objets »), celui-ci représente plus que jamais une menace. On avait vu des attaquants demander des rançons contre des fichiers importants, espionner des utilisateurs, voler des données d’entreprises, mais jamais on n’avait imaginé qu’ils pourraient influencer une élection. Qui plus est, celle de la première puissance mondiale.

Le journaliste a ainsi rappelé qu’au-delà de l’aspect technique complexe à appréhender pour un non-initié à la sécurité informatique, une dimension politique s’est installée après l’attaque portée sur le DNC. Via un rapport rédigé main dans la main par le FBI, la NSA et la CIA, cette impression en ressort très nette : La Russie a orchestré cette attaque dans le but de discréditer Hillary Clinton, de favoriser Donald Trump et ainsi d’assurer au mieux ses intérêts.

Le journaliste a par la suite précisé que cette vague d’attaques avait aussi eu des répercussions en France, puisque les élections y arrivaient seulement quelques mois après. Ainsi, le vote électronique a été purement et simplement annulé pour les élections législatives, après deux audits réalisés par l’ANSSI.

Martin Untersinger est aussi revenu sur les MacronLeaks, publiés juste avant le week-end des élections, contenant de nombreuses données, mélangeant vrais et fausses informations, ayant pour but d’influencer les votes français, vraisemblablement en faveur de Marine Le Pen.

Le journaliste s’est alors penché sur la question de l’attribution de ces attaques visant à influencer les votes démocratiques des puissances mondiales. La plupart des analyses démontre des connexions très proches avec la Russie, concernant le piratage du DNC ou des MacronLeaks. Seulement, l’attribution d’attaques est une discipline hasardeuse et très difficile à prouver. Il est en effet simple de disséminer de faux indices via des codes source, ou via des métadonnées trompeuses.

Ainsi, la Russie est très souvent accusée à demi-mot, mais sans preuve formelle. Cette dernière est aussi suspectée, en plus d’avoir mené des attaques, d’avoir mobilisé une armée de faux comptes et « trolls » sur les réseaux sociaux afin de faire pencher la balance en faveur de son candidat favori.

Enfin, le journaliste a passé un appel aux experts en sécurité présents dans la salle. Selon lui, le piratage du DNC et les évènements qui en ont découlé dépassent la pure technique, mais cela pose un problème, car à l’heure actuelle, les journalistes et politiques ne sont pas équipés pour en observer précisément les répercussions. Il invite ainsi les experts techniques et les journalistes à collaborer davantage afin de gérer au mieux ces problématiques qui ne laissent présager rien de bon pour le futur.


Conférence de clôture : Retour technique de l’incident de TV5Monde, par l’ANSSI

 VIDEO

L’ANSSI a clôturé ce SSTIC 2017 par un retour d’expérience très intéressant consacré à l’incident TV5Monde qui a eu lieu en 2015.  L’agence a tout d’abord remercié la chaine de télévision qui a accepté de témoigner, fait assez rare pour être souligné.

L’ANSSI a rappelé le contexte de l’incident de TV5Monde. La chaine de télévision disposant de 20 chaînes thématiques diffusées aux quatre coins du monde a subitement arrêté de diffuser le soir du 8 avril 2015. Les équipes techniques, présentes exceptionnellement dans les locaux ce soir-là pour fêter le lancement d’une nouvelle chaine thématique, se sont très vite rendu compte qu’elles avaient affaire à un acte de malveillance et non une simple panne. Par ailleurs, leur présence sur Internet (Twitter, Facebook et YouTube) avait été défigurée et l’accès aux emails était indisponible.

La présentation de l’attaque a montré que le niveau de sécurité du SI de la chaîne de télévision était faible (comptes par défaut, serveur RDP directement exposé sur Internet, pas de segmentation réseau, pas de mise à jour depuis 2013, mauvaises pratiques d’administration, etc.). L’attaque s’apparentait à une APT, mais avec l’aspect sabotage plutôt inhabituel.

Pour les investigations, l’ANSSI a mobilisé 2 à 5 auditeurs, un analyste en rétroconception, deux analystes réseau, des analystes en forensic et un coordinateur technique. Les données collectées étaient plutôt volumineuses telles que 300 Gb de journaux et 13 Tb de copies (mémoires, disques, etc.).

Dans un premier temps, l’attaquant avait utilisé les identifiants d’un prestataire pour se connecter à une machine exposée sur Internet en RDP et y déposer un RAT (Remote Administration Tool). Ce serveur hébergeant du contenu multimédia ne disposait d’aucune connexion avec le SI interne de TV5Monde et a rapidement été abandonné par l’attaquant. Ce dernier a donc utilisé l’accès VPN d’administration d’un prestataire pour s’y connecter directement. Un compte administrateur de domaine baptisé LocalAdministrator a été créé et une porte dérobée (ConnectBack.dll) avait été installée sur les machines. Le 11 février 2015, soit 2 mois avant l’arrêt de la diffusion, l’Active Directory de TV5Monde était totalement compromis.

L’attaquant a récupéré la documentation des équipements spécifiques à la diffusion qu’il a vraisemblablement bien étudiée avant de passer à l’action. Le jour J, il teste une dernière fois les accès aux multiplexeurs et aux encodeurs pour vérifier que tout est prêt avant de les endommager. L’effet n’est pas immédiat, mais sera gênant pour les techniciens lors du redémarrage des équipements quand le black-out est survenu quelques heures plus tard. L’attaquant a finalement supprimé tous les firmwares des switchs et des routeurs entrainant l’arrêt total de la diffusion. TV5 a rapidement réagi en coupant l’accès Internet.

Les remédiations ont ensuite été présentées par l’ANSSI avec le déploiement d’une solution temporaire pour continuer à travailler. Les applications ont été cartographiées et le réseau étudié afin de comprendre les différentes dépendances avec l’Active Directory pour la reconstruction. Une segmentation réseau a également été mise en place avec des stratégies de durcissement notamment au niveau des permissions et des mots de passe des comptes utilisateurs.

L’ANSSI a fait part de ses difficultés lors de l’investigation (présence médiatique très forte dans les locaux, pression des journalistes pour retravailler très vite, pression des distributeurs, etc.) et a délivré quelques anecdotes notamment celle de la perte de la carte réseau du contrôleur de domaine durant la réplication de l’Active Directory.

Cette présentation a été très appréciée du public et a clôturé d’une belle manière cette belle édition 2017 du SSTIC.

 

 

 


Antoine Dumouchel