Retour sur l’édition 2016 de la Hack.lu

Retour sur l’édition 2016 de la Hack.lu

Les consultants du cabinet XMCO ont eu l’honneur d’être partenaire de la 12e édition de la Hack.lu et ainsi participer aux 3 jours de conférences, mêlant présentations et workshops.

Cet article détaille 5 des présentations auxquelles nous avons pu assister, et qui nous ont paru particulièrement intéressantes. L’ensemble des conférences sera présenté dans le prochain numéro de l’ActuSécu, prochainement disponible.

Le programme des présentations et des workshops est disponible sur le site officiel à l’adresse suivante :

Les détails du CTF (« Capture The Flag ») ayant eu lieu durant les conférences sont disponibles via le lien suivant :

Exploiting and attacking seismological networks… remotely – Bertin Bervis Bonilla (@bertinjoseb), James Jara (@jamesjara)

Cette présentation portait sur la sécurité des réseaux de surveillance sismologiques.  Plutôt réservé au milieu scientifique qu’aux experts en sécurité, les créateurs du site netdb.io ont démontré qu’il était possible de prendre le contrôle de certaines sondes sismiques. Il leur était alors possible d’envoyer de fausses données aux centres de contrôles sismologiques ainsi que de récupérer diverses données (localisation, port de communication, etc.) sur ces sondes.

L’impact lié à cette vulnérabilité pourrait être très important pour certaines sociétés, notamment les compagnies pétrolières ou gazières. En effet, si un faux séisme était déclaré dans une zone où se situe un site d’extraction, le prix des actions en bourses de ces sociétés pourrait en pâtir.

Les chercheurs se sont ainsi penchés sur la sécurité des sondes du constructeur canadien Nanometrics. Certains modèles de sonde de ce fabricant communiquent les données récoltées en temps réel via Internet. En cherchant le nom du firmware utilisé via le site netdb.io, ils ont pu détecter un grand nombre de sondes exposées sur le web. De plus, en analysant le firmware, utilisé, ils ont pu trouver des vulnérabilités critiques telles que des comptes par défaut en dur, ou la transmission des données en clair.

Via plusieurs démonstrations, les chercheurs ont ainsi pu prendre le contrôle d’une sonde grâce aux identifiants par défaut d’une interface de gestion exposée sur Internet. Ils ont aussi pu réaliser une attaque de type « Man-In-The-Middle », permettant de modifier les données envoyées en temps réel par la sonde.

La conférence s’est terminée par la présentation d’outils en Python permettant d’automatiser la découverte de sondes exposées, ainsi que de potentielles failles connues (notamment l’utilisation d’un compte d’administration avec un mot de passe par défaut).

Secrets in Soft Token: A security study of HID Global Soft Token – Mouad Abouhali (@_m00dy_)

L’équipe sécurité du groupe Airbus a présenté ses travaux sur la version Android d’une application du groupe HID, HID Global Soft Token. Comme son nom l’indique, cette application permet d’intégrer un mécanisme de double authentification. Ainsi, en présence de ce système, un utilisateur voulant s’authentifier sur une interface devra fournir un couple d’identifiants/mot de passe ainsi qu’un OTP (acronyme de « One Time Password »), présenté sous la forme d’une suite de chiffres, générée par l’application.

Cette application a pour but de remplacer les « Hardware token » (jeton d’authentification matériel), qui remplisse exactement le même rôle, c’est-à-dire générer un mot de passe unique, valide durant une courte durée.

L’équipe s’est concentrée sur plusieurs scénarios d’attaques :

  • Le vol d’un smartphone équipé de l’application HID Global Soft Token
  • L’ingénierie inverse de l’application par un attaquant (et ses mécanismes de défense)
  • Le vol de secrets (et la gestion de leurs stockages)
  • Le vol d’informations cryptographiques (et la gestion des opérations inhérentes)

L’analyse de l’application a mis en évidence plusieurs faiblesses :

  • Bien que le code de l’application était obfusqué, il a été possible de récupérer des chaines de caractères intéressantes donnant des indices sur les opérations cryptographiques utilisées (AES, bibliothèque « Bouncy Castle, etc.)
  • La première vulnérabilité permettait de cloner l’application, à condition d’avoir un accès « root » sur le smartphone afin d’accéder aux informations requises (fichier de configuration, Android_ID) ainsi que d’obtenir le PIN utilisé pour générer la clé maître de l’application.
  • La seconde vulnérabilité permettait d’obtenir le PIN nécessaire à l’exploitation de la première faille de sécurité. Ce dernier étant utilisé pour générer la clé maître de l’application, il était possible de retrouver le PIN via une attaque par force brute.

Les chercheurs ont présenté leurs résultats à la société HID qui a annoncé que des correctifs de sécurité seraient prochainement disponibles et qu’un nouveau design était prévu concernant cette application.

Of Mice and Keyboards: On the Security of Modern Wireless Desktop Sets  -Matthias Deeg (@0dd59ed2ee1546c), Gerhard Klostermeier

Cette présentation portait sur la sécurité des claviers et souris sans-fil. Ces équipements utilisent principalement des fréquences radio (particulièrement via le protocole nRF24) afin de communiquer avec un dongle USB (clé USB pour associer l’équipement sans-fil à l’ordinateur).

En se basant sur d’anciens travaux disponibles sur ce protocole, les chercheurs ont réalisé plusieurs attaques :

  • Attaques physiques : extraction et manipulation du firmware, extraction et manipulation des clés cryptographiques
  • Attaque par ondes radio : exploitation du manque d’authentification et de l’envoi des données en clair par défaut (permettant une attaque par rejeu, ainsi que l’injection de frappe clavier), déchiffrement des données (en cas de chiffrement).

L’analyse du firmware des différents équipements utilisés a ainsi révélé un manque flagrant de protection du code ainsi que des clés cryptographiques utilisées. Quant aux attaques par ondes radio, les protections contre les attaques par rejeu sont insuffisantes et facilement contournables (dans les cas où elles existent) et l’envoi des données en clair sans authentification permet des attaques simples et faciles à mettre en place.

Via diverses démonstrations, les chercheurs ont ainsi pu déverrouiller une session Windows via une attaque par rejeu (enregistrement des frappes clavier permettant de déverrouiller la session, puis rejeu de celles-ci) ou encore combiner une attaque par rejeu avec une injection de frappes clavier, pour déverrouiller une session, ouvrir un terminal PowerShell et injecter une charge active (via le téléchargement d’un malware).

La présentation s’est terminée par la revue des réponses des principaux constructeurs des équipements testés suite aux travaux de Gerhad et Matthias. La plupart d’entre eux nient l’existence d’une faille de sécurité puisque le fonctionnement des équipements est normal et respecte la norme nRF24 qui n’inclut pas de mécanismes spéciaux. D’autres ont promis des améliorations qui seront certainement mises à l’épreuve dans le futur.

2016: The Infosec Crossroads  – Saumil Shah (@therealsaumil)

Via cette présentation plutôt générale et peu technique, Saumil Shah a dépeint l’état de la cybersécurité. La base de réflexion de l’expert en sécurité était la suivante : « Today’s attacks succeed because defense is reactive » (« Les attaques d’aujourd’hui aboutissent, car la défense ne fait que réagir »).

Les attaques évoluent ainsi très rapidement et la défense prend du temps pour correctement les endiguer. Il est ainsi plus simple d’être attaquant, car il suffit d’une brèche pour arriver à ses fins, tandis qu’un défenseur devra penser à plusieurs moyens de protéger un équipement, une application ou un serveur. Chaque protection peut ainsi être contournée (l’obfuscation d’un code trompera un antivirus, l’encodage d’un caractère contournera un WAF, etc.) et le jeu du chat et de la souris peut continuer.

Les vulnérabilités d’aujourd’hui sont ainsi devenues des armes autant complexes que lucratives. Les attaquants ont de plus en plus tendance à former des groupes afin de développer des codes d’exploitation pendant plusieurs mois, là où, il y a 10 ans,  un pirate développait seul un code en une semaine.

Cette évolution a rapidement mené à l’émergence des programmes de Bug Bounty, utilisé, par exemple, par une société qui paie les attaquants afin qu’ils découvrent des vulnérabilités au sein de leurs applications.

L’origine de la situation trouve plusieurs explications selon Saumil :

  • Les équipes de sécurité des entreprises doivent, en plus de protéger leurs systèmes, respecter des normes et autres certifications. Les attaquants sont impliqués à 100% dans une attaque, sans tâches annexes.
  • De nombreux scénarios de tests d’intrusion imposent des conditions irréalistes (pas de serveurs en production, périmètre restreint, etc.). Une attaque réelle se fait sur tout type de serveur, sans règles.

Saumil a ensuite proposé différents axiomes pour mieux sécuriser son entreprise :

  • Collecter un maximum d’informations (journal de bord, sauvegarde, etc.)
  • Mesurer la pertinence des informations récoltées (afin de voir ce qui fonctionne ou pas)
  • Tester sa plateforme dans des conditions réelles (Red Team)
  • Prendre en compte l’avis des utilisateurs
  • Piéger les attaquants (comme les banques marquent leurs billets pour suivre les fuites)
  • Analyser en profondeur avant d’agir
  • Prendre en compte l’avis des dirigeants

 

badGPO – Using GPOs for Persistence and Lateral Movement – Yves Kraft (@nrx_ch), Immanuel Willi

La base de réflexion des présentateurs de cette conférence est un message du pirate à l’origine de la compromission de la société Hacking Team. Ce dernier a affirmé avoir utilisé les GPO (stratégie de groupe Windows) de l’Active Directory afin d’infecter une multitude de postes d’une entreprise, de manière quasi silencieuse et persistante.

Le but principal de la manœuvre est d’infecter un serveur avec une durée de fonctionnement élevée afin d’obtenir une porte dérobée persistante sur le système.

Pour ce faire, les deux chercheurs ont pu créer ou modifier une GPO existante, modifier une clé de registre afin de s’assurer du lancement de celle-ci, lier la GPO à un domaine existant, puis attendre les connexions des utilisateurs.

Les problèmes récurrents concernant les GPO en font des armes redoutables pour un attaquant :

  • Pas de conventions de nommages
  • Beaucoup de GPO stockées en désordre
  • Beaucoup de GPO non utilisées, voire utilisées pour des tests, mais jamais désactivées
  • Elles sont souvent difficiles à comprendre et à lire
  • La gestion des privilèges associés à certaines GPO est souvent problématique

Ces problèmes liés aux GPO sont autant d’avantages pour un attaquant, le « désordre » général auxquelles elles sont sujettes permet ainsi de cacher plus facilement une GPO malveillante.

Les chercheurs ont ensuite brièvement présenté leur framework de post-exploitation nommé « Powershell Empire ». Ce dernier ayant été utilisé pour faciliter le scénario d’attaque sur les GPO présenté plus tôt.

Via diverses démonstrations, les chercheurs ont ainsi pu créer en quelques lignes de commande des GPO malveillantes permettant d’implanter une porte dérobée sur les ordinateurs d’un domaine, ou encore de chercher un fichier spécifique sur tous les ordinateurs d’un domaine.

Puisque les GPO font nativement partie de l’Active Directory, aucune alerte de sécurité n’est levée. De plus, puisqu’aucune vulnérabilité n’est exploitée, il n’existe aucun moyen de pallier ce type d’attaque. Cependant, les chercheurs ont présenté quelques techniques de mitigation pour s’en prémunir :

  • Effectuer une revue complète des GPO régulièrement
  • Limiter les privilèges de l’administrateur au maximum
  • Configurer des IDS/IPS pour détecter efficacement des comportements anormaux
  • Garder un système d’information le plus « sain » possible, avec une organisation logique

Pour conclure, les deux chercheurs ont annoncé qu’ils continueraient leurs travaux pour couvrir plus de vecteurs d’attaques et intégrer d’autres modules au sein du framework « Powershell Empire ».


Clément Mezino

Analyste CERT, Responsable du service de CTI Serenety