Retour sur la Hack In The Box Amsterdam 2015

Retour sur la Hack In The Box Amsterdam 2015

Cette année encore, XMCO était partenaire de la conférence Hack In The Box. Retour sur l’édition 2015 qui s’est déroulée il y a peu.

Nous décrirons ici le détail des présentations suivies par nos consultants.

Oracle PeopleSoft applications are under attacks!, par Alexey Tyurin

SLIDES

Nous voilà installés dans la salle 2 afin de suivre la conférence sur PeopleSoft. Le speaker a commencé sa présentation en faisant un rapide rappel sur le logiciel, par qui il est utilisé, dans quel secteur d’activité, dans quel but ainsi que son architecture technique.

Une fois ce tour d’horizon terminé, le chercheur nous a présenté les différentes attaques pouvant être menées à l’encontre du logiciel : d’un point de vue interne, externe, en attaquant la base de données, les flux réseau ou directement l’application.

Cette présentation fut un bon retour d’expérience sur la sécurité du logiciel PeolpleSoft.

The Savage Curtain: Mobile SSL Failures, par Tony Trummer et Tushar Dalvi

SLIDES

Dernière conférence de la journée, deux ingénieurs en sécurité de la société LinkedIn nous ont présenté leur retour d’expérience sur la sécurité SSL des applications mobiles.

Après un rapide retour sur les dernières actualités autour de SSL, les présentateurs ont rappelé le fonctionnement de la validation des certificats. Ils se sont rendu compte que la plupart des applications contrôlaient uniquement le fait que le certificat soit issu d’une autorité valide. Ainsi, un attaquant disposant d’un certificat valide pouvait effectuer des attaques de type MITM à l’encontre d’applications mobiles sans que l’utilisateur n’en soit informé.

Ensuite, ils nous ont présenté différentes attaques, dont une sur le cache de session SSL. En effet durant la phase de négociation, l’application peut mettre en cache le certificat pour ne plus le valider ultérieurement.

Remotely Owning « Secure » Parking Systems, par José A. Guasch

SLIDES

La présentation de Jose Antion Guasch concernait les infrastructures des systèmes de parking.

Le chercheur s’est rendu compte que les systèmes des parkings étaient connectés à Internet et qu’ils étaient vulnérables comme n’importe quelle autre application (mot de passe faible, backups exposées, etc.). Lors de cette présentation, aucune vulnérabilité complexe n’a été présentée.

Pour conclure, le chercheur explique qu’il a essayé de contacter les personnes en charge des parkings pour leur fournir le résultat de ses recherches, mais ce sans succès.

What You Always Wanted and Now Can: Hacking Chemical Processes, Marina Krotofil et Jason Larsen

SLIDES

La présentation de Marina Krotofil et Jason Larson a abordé les systèmes de contrôle industriels.

Les recommandations techniques à mettre en place dans les systèmes industriels n’ont rien à voir avec celles que l’on pourrait prodiguer sur un Système d’informations « standard ». En effet, en cas d’attaque, il n’est pas possible de désactiver le système afin de restreindre la progression d’un attaquant. Il y a trop de facteurs à prendre en compte. Si l’on coupe un thermomètre que se passe-t-il ? Un déni de service sur ce type d’équipement n’a pas du tout le même impact que sur un serveur Web…

Après cette mise en jambe, les chercheurs sont ensuite revenus sur les différents travaux de Jason Larson présentés à la Black-Hat ainsi que sur la manière de s’en prémunir.

How Many Million BIOSes Would You Like To Infect?, Corey Kallenberg et Xeno Kovah

SLIDES

Xeno Kovah et Corey Kallenberg, deux anciens chercheurs travaillant pour le MITRE, ont monté leur propre structure il y a quelques mois. Baptisée LegbaCore, la société est spécialisée dans l’analyse bas niveau des systèmes, et en particulier des BIOS et autres UEFI. Xeno Kovah, qui était seul sur scène, a effectué plusieurs démonstrations de ces attaques en direct.

Cette présentation a été l’occasion de montrer que le niveau de sécurité des BIOS et autres UEFI est particulièrement médiocre. L’intégrité de ces composants est pourtant primordiale, puisqu’ils sont responsables de la configuration de la plateforme matérielle afin de permettre au système de démarrer dans de bonnes conditions et de fonctionner dans son état nominal, considéré comme étant sûr d’utilisation.

Au travers de cette présentation, les deux chercheurs ont souhaité mettre en avant deux points :

  • les utilisateurs ne mettant pas leur BIOS à jour, la très grande majorité des systèmes peuvent être compromis grâce à l’exploitation d’au moins une faille de sécurité ;
  • la réutilisation de code vulnérable au sein des BIOS par les différents éditeurs permettrait d’automatiser des attaques à grande échelle.

Concrètement, les chercheurs ont montré comment, en exploitant les failles identifiées au sein des BIOS, manipuler le comportement du SMM (System Management Mode), un mode de fonctionnement des processeurs x86 disposant des privilèges les plus élevés sur le système. En effet, ce mode de fonctionnement à une particularité intéressante : le code exécuté dispose de privilèges d’exécution particulièrement élevés, et est en mesure d’accéder à l’ensemble de l’espace mémoire manipulé par le système d’exploitation, et donc par le processeur. Cependant, le reste du système est dans l’incapacité d’accéder à cet espace. Il s’agit en quelque sorte d’un « trou noir » : le SMM voit tout le système ; sans que le système ne soit en mesure de le voir ou de l’observer.

Après cette introduction, Xeno a présenté une première analyse faite sur les BIOS. Les deux chercheurs ont en effet été en mesure d’identifier de manière simple des failles de sécurité. Le chercheur a ensuite réalisé une première démonstration afin d’illustrer l’exploitation de ce type de faille, de corrompre le SMM, et ainsi de détourner le fonctionnement du système. Pour cela, après avoir infecté le BIOS, il a démarré son ordinateur portable sur la distribution TAILS, chère à Snowden. Celle-ci est censée protéger ses utilisateurs contre les écoutes « gouvernementales ». Après avoir lancé le système, le chercheur a montré qu’il était en mesure de récupérer des informations personnelles particulièrement sensibles telles qu’un email chiffré, ou encore une clef secrète GPG.

Le chercheur a poursuivi sa présentation en détaillant le fonctionnement de l’UEFI, et les différentes techniques pouvant être exploitées par un attaquant pour arriver à ses fins, à savoir, contrôler le fonctionnement de n’importe quel système d’exploitation sain.

Enfin, en étudiant le code source de certaines implémentations Open-Source de l’UEFI, le chercheur a démontré comment il était possible d’identifier des failles au sein de la très grande majorité des ordinateurs actuellement commercialisés.

Xeno et Corey n’en sont pas restés là. Ils travaillent en effet de concert avec certains vendeurs afin de faire corriger les failles de sécurité identifiées, ainsi qu’avec Intel pour concevoir un mécanisme plus sûr que l’implémentation actuelle.

Exploiting Browsers the Logical Way, Bas Venis

SLIDES

Bas, un jeune étudiant de 18 ans, a présenté son travail de recherche sur les failles affectant les navigateurs web, et plus précisément Google Chrome et Flash Player. Ses recherches étaient intéressantes, car il ne s’agissait pas de failles complexes, identifiées grâce à du fuzzing. En effet, il a présenté la progression de sa réflexion et de sa démarche qui, à terme, l’ont conduit à identifier un ensemble de techniques lui permettant de contourner les mécanismes de SOP (Same Origin Policy) et de bac à sable (sandbox). Au final, le jeune chercheur a été en mesure de présenter un scénario d’attaque complexe, lui permettant de dérober des informations sensibles liées à un site, depuis un autre site, et de les renvoyer vers un troisième autre site.

Mozilla InvestiGator: Distributed and Real-Time Digital Forensics at the Speed of the Cloud, Julien Vehent

SLIDES

Julien Vehent travaille pour la Fondation Mozilla au sein de l’équipe OpSec (Operational Security). Cette équipe est, entre autres, en charge de la réponse aux nombreux incidents de sécurité qui leur sont remontés quotidiennement. Dans la philosophie de Mozilla, comme aucun produit disponible sur le marché ne répondait réellement à leur besoin en terme de recherche d’artéfact sur un large parc informatique de serveurs, Julien et son équipe ont développé leur propre outil : MIG.

Concrètement, MIG se décompose en deux volets : un agent est installé sur l’ensemble des postes du parc devant être placés sous surveillance dialoguant avec un serveur central.

Le serveur central quant à lui est composé de plusieurs éléments :

  • un serveur frontal, exposant un webservice permettant d’enregistrer les actions à dispatcher aux agents ;
  • un ordonnanceur, chargé de transmettre les actions aux agents concernés ;
  • et enfin un relais RabbitMQ, chargé de communiquer les actions aux agents.

Le principal avantage de cette architecture est de permettre aux investigateurs d’obtenir des résultats pertinents dans des délais relativement raisonnables, et ce quelque soit le nombre d’agents déployés dans le parc.

Par ailleurs, cette solution a été pensée pour garantir un niveau de sécurité élevé. Les actions doivent être signées par un ou plusieurs investigateurs à l’aide de leur clef GPG (en fonction de la sensibilité des actions devant être effectuées par les agents distants). Cette signature est vérifiée localement par chacun des agents avant même d’exécuter une quelconque commande. De même, MIG est conçu pour protéger la vie privée des utilisateurs des systèmes disposant d’un agent. Les investigateurs ne seront pas en mesure, par exemple, de récupérer un fichier localement et de le copier sur un serveur distant. MIG permet surtout d’identifier les systèmes compromis en recherchant des indicateurs de compromission, afin que, le cas échéant, les investigateurs puissent contacter le responsable du système pour approfondir leur analyse en récupérant les traces nécessaires localement.

A noter, MIG est également conçu pour être multi-plateforme. L’agent prend la forme d’un binaire statique disponible aussi bien pour Windows, que Mac OS ou encore Linux.

MIG semble être un concurrent sérieux des solutions de type GRR (Google) visant à simplifier la surveillance d’un parc informatique à des fins de réponse à incident.

Supervising the Supervisor: Reversing Proprietary SCADA Tech, Jean-Baptiste Bedrune, Alexandre Gazet et Florent Monjalet

SLIDES

Florent Monjalet et Jean-Baptiste Bedrune sont venus présenter une mission sur laquelle ils ont récemment été amenés à travailler avec Alexandre Gazet. Plus précisément, les trois chercheurs de Quarkslab ont présenté un retour d’expérience sur l’analyse d’un environnement de type SCADA.

Les chercheurs ont ainsi présenté le cheminement leur ayant permis in fine de reverser le protocole de communication implémenté par le fabricant afin de permettre à ses équipements de dialoguer avec l’IHM de supervision, et ainsi contourner les différentes mesures de protection ainsi mises en place (telles que l’usage de la cryptographie à plusieurs niveaux). Les chercheurs ont ainsi démontré leur capacité à contrôler le PLC (Programmable Logic Controler).

À noter, le retour des chercheurs était plutôt positif. En effet, la version du produit étudié avait déjà été analysée par le passé par d’autres chercheurs, qui avait mis en avant de nombreux problèmes de sécurité. Bien que toujours vulnérable à certaines failles de sécurité, la version qui a été étudiée a été notablement revue par le fabricant, qui a pris en compte les précédentes remarques afin de relever le niveau de sécurité de son produit. Enfin, et toujours selon les chercheurs, le fabricant serait à l’écoute des retours faits par Quarkslab, et aurait déjà corrigé certains problèmes identifiés au cours de cette mission.

Non-Hidden Hidden Services Considered Harmful: Attacks and Detection, Filippo Valsorda et George Tankersley

SLIDES

Filippo et George, deux jeunes chercheurs, sont venus nous présenter leur travail sur le fonctionnement interne du réseau TOR. Ils se sont plus particulièrement intéressés au « hidden services », des services exposés et accessibles uniquement au travers du réseau. Outre la propriété de garantir l’anonymat (au niveau IP) du serveur exposant le service, les Hidden Services sont également censés garantir l’anonymat de leur visiteur. Cependant, en détournant leur fonctionnement nominal, les chercheurs ont réussi à détourner cette propriété.

En effet, sous certaines conditions particulières, un acteur malveillant disposant d’une vision sur la boucle réseau « locale » (un FAI par exemple) serait en mesure de se substituer à d’autres serveurs TOR et de prendre la place des 3 référents capables d’identifier le chemin d’accès à un service caché donné. Pour cela, les chercheurs exploitent une propriété liée au fonctionnement des réseaux décentralisés, de type DHT. De cette manière, en étant en mesure de voir l’origine d’une requête et sa destination, un acteur malveillant est en mesure de savoir qu’un internaute spécifique visite le service caché ciblé. En effet, avant de pouvoir contacter ce type de service, l’internaute est obligé de contacter l’un des trois serveurs référents que l’attaquant contrôle. Les chercheurs ont démontré cette attaque par la pratique, en contrôlant l’espace d’une journée les 3 serveurs identifiants le service caché Facebook.

Que les internautes se rassurent. Les chercheurs ne disposant pas d’un accès à la boucle locale, leur identité n’a pas pu être dévoilée au cours de cette attaque.

Ce problème de sécurité identifié au sein du fonctionnement de TOR est connu des développeurs, qui travaillent actuellement à une refonte majeure de ces services (cf proposition #224 – Next-Generation Hidden Services).

En attendant la mise en production de cette évolution, les deux chercheurs recommandent aux internautes d’accéder aux sites tels que Facebook au travers du réseau Tor de manière standard, en passant par l’URL officielle : https://facebook.com ; sans utiliser le service caché facebookcorewwwi.onion. En effet, cette approche limite les attaques par corrélation telles que celle qui a pu être démontrée lors de cette présentation.

CLOSING KEYNOTE: Bringing Security and Privacy to Where the Wild Things Are, Runa A. Sandvik

SLIDES

La HITB s’est conclue par une présentation de Runa Sandvik, une ex-pentesteuse, reconvertie dans la protection de la vie privée. La Scandinave a rappelé, pour les professionnels de la sécurité, l’importance de ce sujet d’actualité, qui fait pourtant peu l’objet de prestation par les entreprises. Selon elle, il est important de sensibiliser les internautes aux risques existants et de les aider à faire les bons choix lorsque cela est nécessaire.


Cert-XMCO