Cette année encore, XMCO a eu la chance d’être partenaire média de la Hack In The Box à Amsterdam. Comme les années précédentes, la HITB, installée au Grand Hotel Krasnapolsky, a étalé son organisation sur 5 jours entiers.
- Du 9 au 11 avril, des ateliers permettaient aux participants de mettre en pratique et de tester de nouvelles techniques d’attaque, de défense, ou encore d’apprendre l’utilisation d’outils spécifiques.
- Les 12 et 13 avril se tenaient les conférences auxquelles nos consultants se sont rendus et qu’ils ont pu suivre dans les meilleures conditions.
En parallèle des ateliers et des conférences, on pouvait retrouver un petit village ambiance « HackerSpace » ou l’on retrouvait pêle-mêle des ateliers de crochetage, d’électronique, des challenges hardware, etc., ainsi que le traditionnel CTF.
Vous trouverez ici un résumé de 6 conférences. L’intégralité des résumés sera disponible au sein du prochain numéro de notre ActuSécu.
“Smashing ethereum smart contracts for fun and actual profit”, par Bernhard Mueller
Dans le premier talk de la journée, dédié à la Blockchain et aux crypto monnaies, Bernhard Mueller a choisi de se concentrer sur les Smarts Contracts Ethereum. Le chercheur en sécurité a commencé par effectuer un panorama des attaques plus ou moins récentes qui étaient liées à des Smart Contracts Ethereum.
Tour à tour, les attaques contre The DAO (3.6 millions d’ether volés), contre le wallet multisignature de Parity (150000 ethers volés), ou encore le « bug » entrainant le blocage de plus de 500 000 ethers, là encore dans les wallets Parity, ont été détaillées.
L’expert a présenté les codes vulnérables et a expliqué à l’audience d’où provenaient les vulnérabilités. Ce faisant, il démontrait qu’elles étaient triviales à découvrir et qu’un audit de code standard aurait pu prévenir ces attaques.
Dans la seconde partie de sa présentation, Mr Muellher a fait la démonstration d’un outil, Mythril, qu’il a mis au point spécifiquement dans le but d’auditer des Smart Contracts. Son outil, qu’il qualifie de « nmap of Ethereum », permet d’explorer la blockchain Ethereum afin de déterminer toutes les adresses liées à un contrat, et qu’elles sont les conditions pour les atteindre.
En effet, il explique par exemple que connaitre les conditions d’accès à une fonction de réinitialisation d’un wallet permet de déterminer si les conditions sont suffisantes ou si un utilisateur malveillant pourrait y accéder sans y être autorisé. Cette partie de la présentation sera agrémentée d’une démonstration de Mythril sur les codes vulnérables précédemment présentés. L’outil remonte avec aisance tous les principaux défauts d’un Smart Contract et aurait permis d’éviter de nombreuses attaques.
“Ticket to ride: Abusing the travel and hospitality industry for profit”, par Vladimir Kropotov, Fyodor Yarochkin, Lion Gu et Mayra Rosario Fuentes
Vladimir Kropotov, chercheur en sécurité depuis plus de 15 ans est venu présenter le résultat du travail de recherche de quatre membres de l’équipe Forward-Looking Threat Research (FTR) chez Trend Micro. Ces recherches se sont concentrées sur la fraude qui impacte le monde du voyage et des vacances.
Le chercheur a commencé sa présentation en rappelant que toute personne ayant déjà voyagé pouvait être victime de « fraude au voyage ». En effet, en voyageant, nous sommes fortement liés à des agences de voyages, des compagnies aériennes, des sociétés de location de voiture, des services d’assurances, de taxi, etc. qui peuvent être la cible de cette fraude bien spécifique. La recherche de prix toujours plus attractif pour partir en vacances à bas cout augmente d’autant plus ce risque de fraude.
La présentation c’est ensuite dirigé vers quelque chose de plus inattendu, la présentation de multiples services sur le « marché noir » d’internet, ou même directement sur le Dark Web. L’équipe s’est attelée à rechercher et démontrer qu’il était possible, sous couvert de connaitre les bonnes adresses, d’acheter des vols en avion pour 25% de leur prix original, de payer des nuits dans des hôtels une fraction du prix standard, ou encore de s’offrir le service de chauffeurs ou que l’on soit dans le monde pour une poignée de roubles.
Les explications quant à l’origine de ces prix cassés sont floues et ne sont pas clairement définies lors de la présentation, il est juste fait mention que c’est à la portée de tout un chacun de profiter de ces fraudes.
Mr Kropotov poursuit sur sa lancée avec une trouvaille un peu plus sensible, la possibilité de se créer de faux papiers qui permettraient de passer bon nombre de contrôles d’identité sans le moindre problème. Puis l’énumération des services offerts continue, permis de résidence, services VIP, visites guidées, nourriture, divertissement, services postaux, tous les services qu’une personne en voyage pourrait réclamer sont accessibles. Des exemples de sites dédiés à ces pratiques sont présentés, mettant en lumière la facilité d’accès à ces offres illégales, mais à la portée de tous.
La présentation se terminera sur deux recommandations. La première, pour les organisations victimes de ces fraudes, est de mettre en place des systèmes antifraude et de surveiller les réservations provenant de réseaux VPN ou de TOR. La seconde, pour les utilisateurs cette fois, est de faire attention à ses comptes de voyage (sur les sites de réservations d’hôtels par exemple) qui sont tout autant la cible de piratage que les comptes bancaires.
“COMMSEC: Faster, Wider, Greater: Modern Pentest Tricks”, par Thomas Debize
Dans une présentation court-format et ouverte à tous, Thomas Debize, consultant en sécurité chez Wavestone, a choisi de revenir sur ses meilleurs « trucs et astuces » à utiliser lors d’un audit. Face au constat de l’évolution constante du nombre de données à traiter lors d’un test d’intrusion, le consultant a choisi d’uniformiser au maximum les résultats de ses recherches pour mieux les traiter.
Premier conseil, utiliser un format de fichier dédié à l’analyse et au traitement de données. Il recommande le format CSV, parfaitement adapté à cette tâche. La plupart des outils de base utilisés lors d’un audit (wfuzz, testssl, recon-ng, etc.) disposent d’une option permettant d’exporter les résultats dans ce format.
Après quelques rapides démonstrations de l’efficacité de sa méthode, Mr Debize est passé à son deuxième conseil, à savoir utiliser au maximum les capacités de sa machine de travail. La plupart des outils sont anciens et ne sont par exemple pas optimisés pour utiliser l’ensemble des cœurs d’un processeur. En utilisant correctement des outils comme GNU Parallel, il est possible de multiplier la puissance dédiée à une tâche et ainsi gagner du temps à l’exécution.
La présentation s’est achevée sur deux derniers conseils. Utiliser des langages de haut niveau pour écrire ses scripts d’audits, un point qui peut sembler évident à beaucoup, mais qu’il ne fait pas de mal de rappeler, et enfin toujours disposer d’outils précompilés, afin de pouvoir les exécuter partout, même lorsque les environnements d’exécution du langage d’origine sont manquants.
“COMMSEC: The sound of a targeted attack: attacking iot speakers”, par Stephen Hilt
Stephen Hilt a lui aussi favorisé un format de présentation court pour exposer les résultats de ces recherches sur les haut-parleurs connectés. Le chercheur travaillant pour Trend Micro a choisi de se pencher sur les récents périphériques de Bose et Sonos qui permettent de diffuser de la musique sans fil chez soi.
La procédure suivie est des plus classique. À partir d’une analyse des ports exposés sur les systèmes, il découvre des outils de debugging accessibles sans authentification. Ces derniers exposent des informations sensibles comme les SSID présents aux alentours ou encore les comptes utilisés sur les services de streaming musicaux. À partir de ces informations, Mr Hilt est en mesure de localiser un haut-parleur exposé sur Internet à quelques dizaines de mètres près.
Lors de ces recherches, il découvre aussi une vulnérabilité permettant d’abuser de l’API et de jouer n’importe quel morceau de musique sur le périphérique affecté, voire d’en provoquer le redémarrage.
Mr Hilt prouve à travers sa présentation que le marché de l’IoT, toujours grandissant, est toujours en proie aux vulnérabilités les plus triviales. Elles pourraient avoir des conséquences importantes, correctement utilisées dans des scénarios de Spear Phishing par exemple.
“COMMSEC: Somebody Call a Doctor: Hacking a Hospital for Fun and Profit”, par Asaf COHEN & Ofir KAMIL
Asaf COHEN et Ofir KAMIL sont respectivement leader de l’équipe RedTeam et chercheur en sécurité informatique pour l’entreprise israélienne Maglan.
Suite à la neutralisation d’hôpitaux aux États-Unis et au Royaume-Uni par des attaques de ransomware ces derniers mois, les conférenciers ont décidé d’aborder le sujet de la sécurité informatique des hôpitaux et des équipements médicaux, ayant la réputation d’être peu fiables, et étant l’un des sujets suggérés par les organisateurs de la HITB 2018.
Ils ont ainsi résumé les différents vecteurs d’attaque découverts au sein d’un hôpital israélien dans le cadre de l’une de leurs missions de RedTeam :
- Les points d’accès WIFI non protégés liés au réseau de l’hôpital
- Les armoires réseau non protégées
- les ports Ethernet disponibles et fonctionnels au sein des locaux
L’auditoire a été très amusé par la vidéo de démonstration d’un kiosque numérique à écran tactile reposant sur une couche logicielle « dissimulant » le système d’exploitation. Une simple pression du doigt de plus de 3 secondes sur l’écran du kiosque ouvrait le menu déroulant correspondant à un clic droit sur le bureau Windows, ce qui leur a permis d’accéder au système sous-jacent de la machine, elle-même connectée au réseau de l’hôpital et à internet, un outil parfait pour dérober et exfiltrer des données.
Via une investigation sur le réseau, ces derniers ont obtenu la possibilité de contrôler différents appareils et de dérober des données médicales sensibles :
- Une application de gestion des opérations de neurochirurgie
- Un système de radiographie ainsi que toutes les sauvegardes qu’il contenait
- Une machine contrôlant les systèmes d’aération et de régulation de température de l’hôpital
Leur investigation et l’exploitation de différentes vulnérabilités de configuration et de réseau leur ont ainsi permis de prendre le contrôle de différents systèmes, dont un système d’électrocardiographie via la découverte d’un service FTP disposant d’un mot de passe par défaut.
Les résultats de leurs recherches ont mené COHEN et KAMIL à différentes conclusions :
- Les appareils informatiques médicaux ont vu leur sécurité négligée, probablement par la focalisation de leurs concepteurs sur la réduction maximum des erreurs d’analyse pouvant entrainer des complications médicales.
- Il est facile de dérober des informations médicales et confidentielles relatives à un établissement hospitalier ou à ses patients
- Les machines traitant des résultats d’examens (comme l’électrocardiogramme piraté) pourraient être utilisées à des fins malveillantes dans l’optique de dissimuler des anomalies de santé, ou encore d’en simuler lors d’un examen, ce qui pourrait conduire un patient en pleine santé à subir une opération cardiaque d’urgence sans motif légitime.
Bien que ces appareils n’aient pas été abordés lors de la conférence, les blocs opératoires des pays les plus développés sont désormais équipés de robots capables de réaliser des opérations de microchirurgie de manière plus rapide et plus précise que les chirurgiens eux-mêmes. Une prise de contrôle de ce type d’appareils par un attaquant lors d’une opération pourrait être fatale au patient.
Bien que la faiblesse des réseaux hospitaliers dans de nombreux pays ait déjà fait parler d’elle même à travers différents reportages, il va de soi que l’auditoire était à la foi amusé et choqué par les nombreuses découvertes de nos conférenciers, d’autant plus au sein d’un pays initialement réputé pour la qualité de ses ingénieurs en sécurité informatique.
“Reference this: Sandbox evasion using vba referencing”, par Amit DORI & Aviv GRAFI
Depuis l’arrivée des « Sandbox », ces environnements virtuels destinés à analyser les programmes malveillants, les concepteurs de logiciels malveillants ont commencé à développer des techniques de détection et d’évasion de ces dernières. Amit DORI et Aviv GRAFI, chercheurs en sécurité et CTO de l’entreprise israélienne Votiro ont présenté les résultats de leur analyse de l’une de ces techniques d’évasion ingénieuse.
Pour y arriver, les deux chercheurs se sont penchés sur le fonctionnement des « Macros fonctions » en langage VBA, utilisées au sein des formats de documents propriétaires de Microsoft (Word, PowerPoint, Excel, etc.). Ces macros peuvent être utilisées, entre autres, afin de charger du VBA provenant d’un document distant, sur la même machine, ou à travers le réseau.
Ils ont expliqué qu’une protection, la « Protected View » permet d’alerter l’utilisateur du blocage du chargement de données externes au document, jusqu’à ce que l’utilisateur autorise ce chargement via le bouton approprié.
Dans un contexte ou la « Sandbox » est configurée de manière à ne pas activer la « Protected View » par défaut (de manière à détecter et pouvoir analyser une tentative d’attaque plutôt que de laisser les mécanismes de protection la bloquer), le déroulement des événements est différent d’un système hôte ayant la « Protected View » activée.
Par exemple, le chargement des différentes entités au sein du document ne suit pas le même ordre en fonction de l’activité ou l’inactivité de la Protected View. L’attaque se base sur cette différence de comportement afin de savoir si le document est ouvert depuis une « Sandbox » ou non.
Pour résumer : Si les images et autres entités sont chargées par le document avant les macros VBA, la « Protected View » est activée, et le document est donc très probablement ouvert depuis le système hôte. Dans le cas contraire, cela signifie qu’elle est désactivée, et que le document est plus probablement ouvert au sein de la « Sandbox ».
Afin d’illustrer leurs explications, ils ont expliqué et démontré via des vidéos qu’un document spécifiquement conçu pouvait se baser sur l’analyse de ce comportement afin de charger :
- Un code bénin depuis le serveur de l’attaquant si la « Protected view » est désactivée, de manière à induire la victime en erreur et à gagner sa confiance.
- Le code malveillant depuis le serveur de l’attaquant si la « Protected view » est activée, et que l’on se trouve donc plus probablement sur le système hôte.
L’exploitation ne peut évidemment fonctionner que si la victime ouvrant le document depuis son système hôte active naïvement le chargement des entités externes du dit document lors de l’apparition du pop-up lancé par le logiciel (Word, Excel, etc..).
