Retour sur la NoSuchCon #2

Retour sur la NoSuchCon #2

Cette année encore, XMCO était partenaire de la conférence NoSuchCon. Retour sur l’édition 2014 qui s’est déroulée il y a peu.

Nous décrirons ici quelques une des présentations qui nous ont semblé les plus intéressantes. Le détail des autres présentations sera disponible dans le prochain numéros de l’ActuSécu.

HomePlugAV PLC: practical attacks and backdooring, par Sebastien Dudek (@FlUxIuS)

SLIDES

Le CPL (Courant porteur en ligne, ou PLC en anglais) remplace désormais le Wifi dans bon nombre de logis. Le CPL utilisant un réseau filaire, on serait tenté de le considérer comme étant aussi sûr d’utilisation que le Wifi.

Sébastien Dukek a démontré le contraire au cours de sa présentation. En effet, les impulsions électriques hautes fréquences utilisées par le CPL ne sont bien souvent pas arrêtées par le compteur EDF. De ce fait, il est possible de communiquer avec les prises CPL de l’appartement voisin, voire même de l’immeuble d’à côté.

Celles-ci embarquent bien des mécanismes de sécurité. Toutefois, ces derniers sont bien souvent mal implémentés.

Mimikatz, par Benjamin Delpy (@gentilkiwi)

SLIDES

Benjamin Delpy, créateur de MiMikatz (mais pas chercheur spécialisé en sécurité), nous a fait un rappel sur le fonctionnement de l’authentification dans les systèmes Microsoft Windows et l’utilisation du SSO.

Ces dernières recherches se sont portées sur l’utilisation du protocole Kerberos. Il est ainsi revenu sur les différentes attaques déjà implémentées au sein de son outil : Overpass-The-Hash, Pass-The-Ticket, Golden/Silver tickets.

Enfin, il nous a également présenté sa dernière attaque, baptisée Pass-The-Cache . Cette dernière consiste à extraire les tickets Kerberos des caches présents au sein des machines Linux/Unix ou encore OS X connectées au domaine Windows, afin de les réutiliser de la même manière que ceux présents en mémoire sur les systèmes Windows.

Cryptographic Backdooring, par Jean-Philippe Aumasson (@veorq)

SLIDES

La cryptographie est un sujet complexe. Les portes dérobées le sont tout autant.

Depuis les révélations (par exemple, le programme BULLRUN de la NSA) des pratiques des agences américaines suite à l’analyse des documents dérobés par Edward Snowden, ces deux thèmes sont régulièrement évoqués dans les médias.

Loin des théories mathématiques complexes, cette présentation volontairement simpliste a permis à l’audience de mieux comprendre les tenants et les aboutissants de ces portes dérobées un peu spéciales. Cette présentation était importante pour Jean-Philippe Aumasson, un cryptographe reconnu, puisqu’aucun travail de recherche n’a été publié à ce sujet. Une citation résume cependant bien son point de vue :

You may not be interested in backdoors, but backdoors are interested in you

Jean-Philippe est donc intervenu afin de nous présenter le concept de porte dérobée cryptographique, et ses principales caractéristiques. Ainsi, selon lui, une backdoor cryptographique se doit :

  • D’être indétectable ;
  • De respecter le principe NOBUS (No One But Us, un terme utilisé par la NSA) ;
  • D’être réutilisable et non modifiable ;
  • D’être simple.

Ce type de porte dérobée est rarement compris par le grand public. Il s’agissait donc là d’introduire ce sujet complexe afin d’attirer l’attention des spécialistes et de favoriser les futures recherches dans ce domaine.

Cette présentation didactique, bourrée d’exemples concrets tant en terme de portes dérobées identifiées qu’en terme de technique de sabotage, s’est donc révélée particulièrement instructive.

« Surprise Talk », aka Unreal Mode: Breaking Protected Processses, par Alex Ionescu (@aionescu)

SLIDES

Alex Ionescu est également venu nous présenter le fruit de ses récentes recherches sur les processus protégés mis en place par Microsoft au sein des dernières versions de son système d’exploitation Windows. Cette présentation a été annoncée à la dernière minute, Microsoft ayant autorisé le chercheur à nous présenter son travail.

Initialement mis en place par l’éditeur de Redmond afin d’offrir un mécanisme de DRM robuste (empêchant par exemple l’accès aux clefs secrètes contenues dans la mémoire de certains processus), Microsoft a décidé d’étendre ce mécanisme à d’autres usages, permettant ainsi de rendre son système plus stable et surtout plus sûr d’utilisation. En effet, les processus protégés permettent par exemple de rendre impossible à un administrateur de couper certains processus systèmes sensibles.

Alex a débuté sa présentation par un rappel sur le fonctionnement d’Authenticode, un mécanisme supporté depuis de longues années par l’éditeur, permettant de signer les exécutables. Authenticode s’appuie sur une fonctionnalité baptisée Enhanced Key Usage (EKU) offerte par le standard X.509. Grâce à celle-ci, il est possible de limiter l’utilisation d’une clef secrète et du certificat associé à certains usages, tels que le chiffrement SSL, l’échange de mail sécurisé, ou encore la signature de pilote Windows en mode noyau (les Drivers). Windows définit et supporte ainsi plusieurs EKU spécifiques en fonction de la provenance du certificat et de son utilisation, comme :

  • la Signature de code (1.3.6.1.5.5.7.3.3) ;
  • le Early Launch Antimalware Driver (1.3.6.1.4.1.311.61.4.1) ;
  • Windows System Component Verification (1.3.6.1.4.1.311.10.3.6) ;
  • Protected Process Light Verification (1.3.6.1.4.1.311.10.3.22) ;
  • Windows TCB Component (1.3.6.1.4.1.311.10.3.23).

En fonction de cette signature (EKU), de la racine de confiance utilisée (l’autorité de certification), ainsi que du système d’exploitation, les binaires se voient attribuer également un niveau de confiance lors de leur lancement. Plus ce niveau de confiance est élevé, plus le système d’exploitation est en mesure de faire confiance à l’exécutable, et donc de lui attribuer plus de libertés . Dans les dernières versions de Windows, on retrouve ainsi les niveaux suivants :

  • 0 : Unchecked
  • 1 : Unsigned
  • 4 : Authenticode
  • 6 : App Store
  • 7 : Anti Malware
  • 8 : Microsoft
  • 12 : Windows
  • 14 : Windows TCB

Enfin, la politique de gestion de ces niveaux de confiance dans la signature des exécutables varie légèrement en fonction des différentes versions des systèmes d’exploitation.

La création et la gestion des processus protégés s’appuient donc sur cette première brique technique.

Concrètement, la politique de sécurité implémentée par Microsoft ne permet qu’aux processus protégés disposant d’un niveau de confiance plus élevé de contourner les restrictions imposées par cette fonctionnalité, afin de retrouver les bonnes vieilles contraintes liées aux ACLs. En effet, les privilèges classiques tels que Debug, TCB, ou encore SYSTEM ne permettent plus de manipuler les processus protégés.

Alex est ensuite entré plus en détail dans le fonctionnement et la gestion des processus protégés sur Windows 8 et 8.1 (depuis le boot du système jusqu’au lancement de certains services proposés par des éditeurs tiers), en présentant les modifications apportées par Microsoft. Il est par exemple désormais impossible de tuer certains processus sensibles, tels que les processus LSA, Anti-Malvware, CSRSS ou encore SMSS. Il est également impossible de dumper les hash depuis la LSA lorsque la fonctionnalité LSA protection est activée.

Enfin, le chercheur nous a présenté l’impact de ces nouvelles protections sur la gestion des crashs, des crashdump et donc de WinDBG. Sur les dernières versions de Windows, Windows Error Reporting (WER), le composant en charge de la gestion des dumps dispose du niveau de privilèges le plus élevé. Cela le rend donc intéressant pour plusieurs raisons, mais principalement car cela lui permet d’accéder directement à la mémoire de certains processus sensibles tels que Lsass.exe . Microsoft a cependant pris en compte ce cas et les dumps ainsi générés par WER sont par défaut chiffrés, ce qui les rend inutilisables en l’état.

Cependant (et l’objet de cette présentation était justement sur ce point), Alex a identifié une faille lui permettant de forcer WER à dumper la mémoire en clair, contournant ainsi l’ensemble des mesures adoptées par l’éditeur. La démonstration a été sans sans équivoque, un simple appel à son outil, puis à Mimikatz, a permis de récupérer le mot de passe en clair contenu dans le processus lsass.exe .

Enfin, le chercheur a conclu sa présentation en détaillant les changements apportés par Windows 10, dont une version de test a été publiée par l’éditeur il y a peu. Selon lui, les différentes nouveautés introduites par Microsoft améliorent considérablement le niveau de sécurité de la plateforme.

Nous attendons avec impatience la prochaine édition de cette conférence. En attendant, rendez-vous dans le numéro 39 de l’ActuSécu pour un résumé complet et détaillé de cette édition.

Toutes les slides des présentations réalisées durant la conférence sont disponibles à l’adresse suivante : http://www.nosuchcon.fr/talks/2014/


Cert-XMCO