Documente Academic
Documente Profesional
Documente Cultură
scu 31
lACTUSCU est un magazine numrique rdig et dit par les consultants du cabinet de conseil XMCO AVRIL 2012
Cybercriminalit
et pharmacies fictives
Blackhat, Gsdays et JSSI
R2D2
Prsentation et utilisation du Cheval de Troie allemand
Cybercriminalit
La vente de mdicaments sur Internet, un eldorado pour les cybercriminels ?
Confrences
GSDays, Blackhat Amsterdam et JSSI
Roger Schultz
Actualit du moment
Analyses des vulnrabilits JAVA, MS12-020, /mem/<pid>/proc
www.xmco.fr
2
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Tout a commenc au dbut de lanne 2006,
dito AVRIL 2012
Une brve comptabilit donne les chiffres suivants : Je pense quil y a de quoi tre fiers de nous et conti-
- Chaque numro requiert 30 jours.homme nuer essayer de faire encore mieux.
ScScoobay
- Chaque article est relu 5 fois, par au moins 3 per-
sonnes diffrentes Marc Behar
- Les articles reprsentent la synthse de centaines Directeur
de cas rencontrs quotidiennement dans le cadre de
notre activit de conseil et de CERT
- Chaque numro a t tlcharg entre 5 000 et 10
XMCO PARTENAIRE DE :
3
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Vous tes concern
par la scurit informatique
de votre entreprise ?
XMCO est un cabinet de conseil dont le mtier est
laudit en scurit informatique.
Fond en 2002 par des experts en scurit et dirig par ses
fondateurs, les consultants de chez XMCO ninterviennent que
sous forme de projets forfaitaires avec engagement de rsultats.
Les tests dintrusion, les audits de scurit, la veille en
vulnrabilit constituent les axes majeurs de dveloppement
de notre cabinet.
we deliver security expertise
Nos services
Test dintrusion
Mise lpreuve de vos rseaux, systmes et applications web par nos
experts en intrusion. Utilisation des mthodologies OWASP, OSSTMM, CCWAPSS.
Audit de Scurit
Audit technique et organisationnel de la scurit de votre Systme
dInformation. Best Practices ISO 27001, PCI DSS, Sarbanes-Oxley.
R2D2
Analyse du cheval de Troie utilis
par le gouvernement allemand
p. 14
p. 38
p. 23 p. 23
Confrences
GSDays, Blackhat et JSSI
p. 38
Lactualits du moment
MS12-020, JAVA et /proc/<pid>/
mem
p. 50
p. 50
Gloria Garcia
> R2D2, ja wohl! Munich. En restaurant les fichiers supprims du disque dur,
le CCC a rvl lexistence du cheval de Troie baptis par la
Il y a bien longtemps, dans une galaxie lointaine, trs loin- suite R2D2 , 0zapftis ou encore Bundestrojaner .
taine...
Tel pourrait tre le commencement de cet article mais en Pourquoi lavoir appel R2D2 ? A t-il t cr par des fans
ralit non car lhistoire se passe de nos jours, et dans un de Star Wars ?
pays pas si lointain que cela ! R2D2 vient en fait de la chaine de caractres prsente
dans le cheval de Troie C3PO-r2d2-POE . Le contexte
Dbut octobre 2011, lavocat allemand Patrick Schladt, a dutilisation de cette chaine de caractres sera dvelop-
envoy la copie dun disque dur au clbre Chaos Com- pe ultrieurement. A noter quil est effectivement pos-
puter Club (CCC). Ce disque dur, appartenant un des sible que les crateurs du virus soient des fans de Star
clients de lavocat, a t saisi comme preuve dans une Wars ;).
affaire en relation avec la loi pharmaceutique allemande.
Lors de ltude de cette preuve, lquipe juridique a d- Dans son analyse, le CCC a mis en avant le fait que ce
couvert que des fichiers avaient t effacs, et quun virus cheval de Troie serait utilis par les services fdraux
avait t install. allemands. Le BKA (Bundeskriminalamt), lagence fd-
Celui-ci aurait, apparemment, t install lors dun rale denqute et les LKA (Landeskriminalamt), les seize
contrle du client de lavocat la douane de laroport de bureaux denqutes rgionaux (un par land), seraient
6
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
directement impliqus dans cette affaire. Troie depuis 2009, date qui concide avec le contrat ci-des-
Le BKA a immdiatement rpondu la rvlation faite sus (29-01-2009).
par le CCC par lintermdiaire de Steffen Seibert, ministre
fdral de lintrieur. Celui-ci avait alors dmenti toute Lutilisation de logiciel espion est autorise par la loi alle-
implication par un message sur son compte Twitter : mande depuis 2008. Un juge doit cependant en tre pra-
lablement inform et ce type de procd ne doit concerner
que les infractions les plus graves. Celui-ci est rgi par des
rgles strictes, comme le fait, par exemple, que le logiciel
espion ne doit altrer aucune fonctionnalit du systme.
http://www.dw.de/dw/article/0,,15449054,00.html
Dans un document, mis disposition sur le site wiki- Lanalyse du cheval de Troie sappuie sur les fichiers et
leaks en 2008, par le parti politique PiratenPartei, on les informations publies par le CCC qui sont disponibles
apprend pourtant que les LKA ont prvu de dvelopper publiquement sur le site internet :
un programme permettant de capturer la voix et le texte
chang au travers du logiciel de VoIP Skype . http://www.ccc.de/system/uploads/77/original/0zapftis-
release.tgz
http://wiki.piratenpartei.de/images/5/54/Bayern-skype-
tkue.pdf
Lutilisation de logiciel espion est autorise
par la loi allemande depuis 2008. Un juge
doit cependant en tre pralablement infor-
m et ce type de procd ne doit concerner
Cot de la surveillance des tlcommunications lors que les infractions les plus graves
de lutilisation de la voie sur IP et du logiciel Skype
Un passage du fichier principal sur le site VirusTotal
En novembre, un mois aprs la dcouverte de R2D2, des nous indique quil sagit bien du cheval de Troie R2D2 et
informations sur un contrat de ralisation ont gale- que 39 antivirus sur 42 reconnaissent, prsent, la signa-
ment t rvles. Un contrat pour des prestations dun ture de ce virus.
montant record de 2 075 256,07 aurait t sign entre
la socit DigiTask, et le bureau des douanes allemand,
sous la juridiction fdrale.
[http://ted.europa.eu/udl?uri=TED:NOTICE :26158-
2009:TEXT:EN:HTML&tabId=2
Installation Excution
Aucune information sur linstallation du cheval de Troie Pour que le malware soit en mesure de se lancer, la DLL
na t publie. Il semblerait que celui-ci soit install soit va sattacher tous les programmes. Pour cela, une valeur
via un accs physique la machine, soit en utilisant un dans la base de registre doit donc tre ajoute au lan-
autre logiciel malveillant. cement de celui-ci et tre vrifie chaque appel de la
librairie.
Afin danalyser le cheval de Troie, nous avons procd,
dans un premier temps, une analyse statique, reposant
sur les fichiers mis disposition par le CCC. Une analyse
dynamique, ciblant les communications client serveur a
ensuite permis de confirmer les rsultats obtenus au cours
de la premire tape.
La librairie nexporte aucune fonction et est injecte au
sein de lensemble des processus sur le systme, mme
si elle naffecte le comportement que de certains dentre Il sagit de la clef de registre HKEY_LOCAL_MACHINE\
eux. SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Win-
dows\AppInit_DLLS de la base de registre .
Afin de simuler le comportement de cette librairie parta-
ge, la DLL a t charge laide dun loader et certaines
des vrifications faites par celle-ci ont t contournes en
modifiant le contexte dexcution la vole.
8
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Communication avec le C&C Chiffrement des communications
10
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Aprs quelques recherches, nous avons dcouvert lem- Le protocole
placement de la cl.
La connexion TCP stablit, lorigine, sur le port 443. Une
vrification de la prsence dun proxy est effectue grce
la cl de registre Software\Microsoft\Windows\Cur-
rentVersion\Internet Settings\ProxyEnable .
11
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
R2D2, lespion allemand
Les SCAMS
> Fonctionnalits
Le C&C peut envoyer un total de 13 commandes au cheval
de Troie. Plusieurs dentre elles ont t dcouvertes :
Capture audio
Tlchargement et excution de fichiers
Le cheval de Troie a galement la capacit de capturer
La fonctionnalit de tlchargement et dexcution dun certains flux audio, grce la librairie Winmm.dll quil
programme est intressante. Examinons-la de plus prs : charge dynamiquement.
Rfrences
+ Rfrences CERT-XMCO
CXA-2012-0165, CXA-2011-1917, CXA-2011-1839, CXA-2011-
1793, CXA-2011-1726, CXA-2011-1723, CXA-2011-1717
> Remarques
Lanalyse mene par le CCC ainsi que par nos soins a per-
+ Site du CCC
http://www.ccc.de/en/updates/2011/staatstrojaner
mis de remonter plusieurs problmatiques dans la concep- http://www.ccc.de/system/uploads/76/original/staatstro-
tion mme du cheval de Troie R2D2. janer-report23.pdf
> Conclusion
Ce cheval de Troie, cr pour tre utilis dans le cadre
doprations judiciaires sensibles, aurait d tre irrpro-
chable tous les niveaux : aussi bien au niveau de son in-
frastructure que par le chiffrement des donnes envoyes.
Utilis pour rcolter des preuves, aucune entit externe ne
devrait pouvoir interagir avec lui. Nanmoins, nous avons
vu dans cet article que plusieurs vulnrabilits existent,
et permettent denvoyer de fausses preuves, mais aussi
de prendre le contrle complet du systme o le cheval
de Troie a t install. Limplmentation dun chiffrement
asymtrique aurait pourtant simplement rsolu cette pro-
blmatique...
13
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Spam, Viagra et pharmacies fictives...
La vente de mdicaments sur Internet pourrait devenir une activit parfaitement lgale dans les prochaines
annes. Actuellement, les faux mdicaments et les pharmacies fictives pullulent sur la Toile. Aids par des spam-
meurs, ces cybercriminels dveloppent une activit florissante et difficilement rprhensible...
Analyse de ce flau grandissant...
par Marie Garbez
> Prambule
Les saisies aux frontires explosent chaque anne mais
Acheter ses mdicaments sur Internet, le futur de la phar- quelle proportion de ces mdicaments empoisonns arrive
macie ? Si lide peut paratre surprenante, voire dange- destination ? Seuls 3% des marchandises qui entrent sur
reuse, les citoyens franais devraient nanmoins bientt le territoire de lUnion pouvant tre contrles, il est trs
avoir cette possibilit. difficile dtablir avec certitude des statistiques.
En 2003, un arrt de la Cour europenne de justice sest Sur 41 568 sites de pharmacies actifs sur la
en effet montr favorable la vente de mdicaments Toile, les internautes ne peuvent se fier qu
en ligne au sein de lUnion Europenne. Si vingt Etats 0,6% dentre eux. Le reste, soit 40 201, sont
membres ont dj suivi la position adopte par la Cour, la
des pharmacies dites sauvages : ne dispo-
France ne semble pas encore vouloir franchir ce pas.
TschiAe
LAgence Franaise de Scurit Sanitaire des Produits de sant daucun agrment, elles dissimulent leur
Sant (Afssaps) tudie le projet mais sa position reste localisation relle et la qualit vritable des
pour le moment sans quivoque : Lachat de mdica- produits quelles dispensent.
ments sur Internet expose de nombreux risques pour
la sant et peut favoriser le mauvais usage des mdica- Ces commandes en ligne ont dj t responsables du d-
ments. En consquence, lAfssaps dconseille vivement ce cs dinternautes mais face aux 2 000% de profits (1) que
mode dachat car seul le circuit pharmaceutique offre les peut gnrer cette activit criminelle, les contrefacteurs
garanties ncessaires de scurit et de fiabilit, notam- nont aucun scrupule. Les consquences dsastreuses de
ment parce quil est rgulirement contrl par les auto- leurs agissements dans certains pays dont les systmes
rits sanitaires. de contrles sont fragiles est tout simplement inquali-
fiable : chaque anne, 700 000 personnes dcdent dans
Pourtant, une harmonisation europenne semble invi- le monde suite lutilisation de mdicaments contrefaits
table, le droit communautaire ayant rattach symbolique- visant lutter contre le paludisme et la tuberculose (2).
ment la vente de mdicament la Direction du commerce
au lieu de la Direction de la sant. Avec la libralisation prochaine de la vente de mdica-
Le mdicament qui devient une marchandise comme les ments sur Internet, nombre de criminels vont inonder
autres ? Lenjeu est videmment politique face aux dfi- dautant plus le march europen de leurs spams quo-
cits abyssaux de nos systmes de sant. tidiens.
Quelles en seront nanmoins les consquences sur la s-
curit sanitaire des populations ?
Plusieurs de ces pourriels rencontreront probablement > Le rgne des pharmacies fictives
un cho favorable auprs dune partie de la population a
priori non familire de tels achats et ce, pour trois raisons sur le web
principales : la vente en ligne devenant lgale, certains
spams pourront influencer le consommateur et tromper Sur 41 568 sites de pharmacies actifs sur la Toile, les inter-
sa vigilance. Franchir le pas de lachat virtuel pourra en nautes ne peuvent se fier qu 0,6% dentre eux. Le reste,
outre tre favoris par deux autres facteurs : un recours soit 40 201, sont des pharmacies dites sauvages : ne
croissant lautomdication et dautre part la recherche disposant daucun agrment, elles dissimulent leur loca-
dconomie, les prix au rabais pratiqus sur Internet pou- lisation relle et la qualit vritable des produits quelles
vant se rvler attractif en temps de crise. dispensent.
Qui se cache derrire ces spams ? Qui sont ces marchands Evapharmacy, qui existe depuis maintenant huit longues
de mort contre lesquels les autorits et lindustrie phar- annes, bnficie dun rseau consquent de 2 574 sites
maceutique ont tant de difficults lutter ? internet sous son contrle (3). Autant dopportunits dat-
Si la bataille est dj trs complexe dans la distribution tirer le maximum de clients potentiels.
classique, celle mene sur Internet comporte des obs-
tacles supplmentaires.
> INFO
Pharmacie et affiliation Ces sites illgaux noient de part leur prsence en nombre
la faible quantit dacteurs lgitimes mais ils ne sarrtent
Evapharmacy fonctionne de manire iden- pas l. Ils saturent le march en se servant galement de
tique un programme daffiliation classique la publicit.
mais dans un but et avec des moyens illgaux.
Google a longtemps permis des pharmacies non auto-
Grant plusieurs milliers de sites web, elle recherche des rises dafficher leurs bannires publicitaires et dappa-
spammeurs et des hackers prts diffuser le plus large- ratre en bonne position dans ses rsultats de recherche.
ment possible sur la Toile ses produits contrefaits. Alex LAgence fdrale amricaine des produits alimentaires et
Polyakov serait la tte de cet empire . Activement mdicamenteux avait pourtant pri toutes les plateformes
recherch par le FBI et Interpol, cet ukrainien se serait de recherche de ne pas se prter de telles pratiques de-
galement illustr dans la diffusion massive de pdo- puis 2003. Le ministre de la justice amricain demande
pornographie, de virus et le vol de donnes bancaires. dsormais Google de restituer les 500 millions de dollars
de bnfices gnrs par cette seule activit marketing
(4).
La manire dont ces mdicaments sont fabriqus et cir-
culent travers le monde ne pouvant tre lude, la der- La situation aux Etats-Unis se rvle en effet particulire-
nire partie de cet article y est consacre (3). ment critique car de nombreux amricains commandent
leurs mdicaments sur des sites canadiens, des prix net-
De lUkraine lInde, en passant par les Etats-Unis, les tement plus attractifs que leurs homologues amricains.
chemins du mdicament contrefait ne connaissent dci- Les contrefacteurs, conscients de cette attente, sont nom-
dment aucune frontire. breux simproviser canadiens et dclarent oprer en
possession de toutes les licences ncessaires
15
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Evapharmacy lukrainienne, devient ainsi au gr de ses Il est intressant de relever quel point les contrefacteurs
besoins : Canadian Health&Care Mall, Canadian Family singnient parsemer leurs sites de logos tous plus offi-
Pharmacy ou Canadian Neighbor Pharmacy etc. ciels les uns que les autres. Les internautes ne devraient
accorder aucun crdit ces lments qui visent sciem-
Ci-dessous, lexemple de lun de ses sites web : en croire ment les tromper quant la respectabilit dun site web.
le Docteur Edward Armington, Canadian Health&Care Mall
serait tenu par des professionnels du monde mdical de- Les citoyens europens auront ainsi du souci se faire
puis leurs pharmacies de Toronto et dOttawa. car la directive mdicaments falsifis du 8 juin 2011
fait du logo lune des deux composantes majeures afin de
pouvoir certifier lauthenticit dune pharmacie virtuelle
: un logo commun est mis en place, qui est reconnais-
sable travers lUnion, tout en permettant lidentification
de lEtat membre dans lequel est tablie la personne of-
frant la vente distance des mdicaments au public. Ce
logo est clairement affich sur les sites [] .
Les cybercriminels tant matres dans lart de la falsifica-
Une chane du mdicament sre, un site approuv par les tion, ce logo made in UE sera sans aucun doute rapide-
autorits canadiennes et amricaines comme le certifient ment copi la perfection.
les logos en bas de page Tous les dtails sont destins
inspirer la confiance. Or, en interrogeant le site LegitS- Comment les autorits vont-elles lutter contre ce flot de
cript , programme officiel charg de surveiller la vente fausses pharmacies adoptant toutes les apparences des
de produits de sant en ligne, ce site na de canadien que vraies ? Le fait quelles constituent 96,7% du march r-
le nom et est rpertori dans la catgorie pharmacie pond dj en quelques sorte la question : fermer ces
sauvage . sites est difficile, identifier leurs propritaires lest encore
plus.
16
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Mdicaments et Internet,
les liaisons dangereuses
> Pharmacies fictives et spammeurs, Les mails rpts arrivaient directement dans la boite de
rception de notre adresse mail cre pour loccasion. Ou-
une collaboration indispensable bliant la trs srieuse pharmacie du Docteur Armington,
la Canadian Heath&Care Mall utilisait pour loccasion une
simple adresse gmail (wynellpennye@gmail.com).
Les propritaires de ces pharmacies sauvages se
donnent beaucoup de mal pour exister sur la Toile mais
il faut que la clientle soit rceptive. Acheter ses mdica-
ments sur Internet na en effet encore rien de naturel pour
de nombreuses personnes.
Une solution a nanmoins t trouve, pour que cette
ide germe dans les esprits des internautes : le spam.
Cette alternative est loin dtre inefficace car environ 11%
des spams aboutissent une commande (6).
Exemple dun des nombreux spams envoys par Evaphar- Pour spammer, Evapharmacy nemploie pas sa propre
macy. Celui-ci concerne la vente dantibiotiques. quipe de professionnels mais recrute librement dans
des forums underground. Tous les internautes intresss
peuvent postuler mme si les conditions dentres de-
viennent plus difficiles avec les annes.
La rmunration se rvle particulirement attractive car,
sur leurs ventes, chaque recrue peroit une commission
de 45%.
17
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Ecoin, monnaie officielle de cette activit criminelle De manire trs originale, une section chques et vi-
rements inconnus a t mise en place par Ecoin.cc
Pour rtribuer ses petites mains , le dirigeant ukrai- lorsquaucun spammeur ne sest manifest avant leur
nien prsum dEvapharmacy, Alex Polyakov, a choisi de arriv. Les sommes sont masques, certainement afin que
sassocier avec une entreprise de son pays : Ecoin.cc. le vritable bnficiaire puisse indiquer la somme exacte
Ecoin.cc est avant tout une monnaie virtuelle, le Ecoin afin dtre identifi avec certitude (cf. copie dcran ci-
, que les utilisateurs peuvent schanger librement dessous).
par le biais dun compte virtuel associ. Cependant, les
spammeurs dEvapharmacy sont rpartis dans le monde
entier et ce mode de paiement est totalement inconnu
dans certains pays.
18
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Mdicaments et Internet,
les liaisons dangereuses
Latout considrable dEcoin.cc est que cette dernire est Evapharmacy est cite dans cette liste sous le nom dEva-
aussi son propre changeur au travers de sa socit Er- partners.ru, lun des portails o les spammeurs peuvent
money . Ainsi, grce un contrat unique avec Ecoin. Eva- se connecter afin de suivre ltat de leurs commandes et
pharmacy peut galement proposer sa clientle dtre demander le retrait de leurs fonds. Cette liste est dispo-
rmunre en dautres monnaies virtuelles comme Pay- nible en libre accs, en quelques clics.
pal, Epese, Paxum et Webmoney.
Comment une socit telle que Paypal, implique dans Lorsque les programmes daffiliation rmunrent leurs
la lutte contre le spam et lutilisation frauduleuse de son spammeurs, cela suppose bien videmment quun client
service peut-elle tre en relation avec lun des plus impor- vienne de passer commande. Loin des monnaies vir-
tant rseau de distribution illgale de mdicaments sur tuelles, le client rgle lui son achat par carte bancaire.
Internet ?
Mais quelle banque peut accepter de prendre part
de telles activits en faisant bnficier ces sites
web de leur rseau Visa et Mastercard ? Ltude
amricaine End-To-End Analysis Of The Spam Va-
lue Chain sest penche sur cette pineuse ques-
tion, les rsultats publis se rvlant trs surprenants.
19
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Un march du mdicament contre-
fait en pleine expansion
A la lecture des informations prcdentes, il ne fait aucun
doute que lindustrie de la contrefaon sur Internet nces-
site une organisation complexe et dimportants moyens
financiers.
Lunique domaine o les contrefacteurs ne rencontrent
que trs peu dobstacles est tonnamment le plus rpr-
hensible : fabriquer et exporter de faux mdicaments.
Les raisons expliquant cette relative simplicit et ce fort
sentiment dimpunit sont multiples :
Concernant le spam, le laboratoire indien Tulip Lab a Publicit dune campagne de prvention russe : Une de
pu tre li avec certitude plusieurs programmes daffilia- ces glules est une contrefaon. Devine laquelle ?
tion tels que GenBucks mais aussi Evapharmacy.
Tulip Lab existe-il rellement ? Bien que les botes de m-
dicaments reues par les internautes mentionnent avoir
t fabriques par le dit laboratoire, il est fort possible que
cette information soit fausse. Les contrefacteurs condi-
tionnent ou reconditionnent en effet leurs marchandises
comme ils le souhaitent et nauraient srement pas pris le
risque dindiquer leur vritable lieu dapprovisionnement.
Contrefaon gauche
> Conclusion
Face un march de la contrefaon en pleine expansion,
est-il bien raisonnable de lgifrer sur la vente de mdica-
ments sur Internet ? Ne vaudrait-il pas mieux que ce type
Aguettant dapprovisionnement reste illgal et prohib, de peur que
les internautes ne se perdent entre ces milliers de phar-
macies virtuelles ?
Contrefaon 21
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Mdicaments et Internet,
les liaisons dangereuses
Rfrences
(1) http://www.robert-schuman.eu/question_europe.
php?num=qe-86
(2) http://www.danger-sante.org
(3) http://www.legitscript.com
(4) http://www.pharmalot.com/2011/08/google-for-
feits-500m-over-online-pharmacy-ads/
(5) http://www.securingpharma.com/obama-seeks-ac-
tion-on-online-pharmacies-domain-names/s40/a567/
(6) http://www.theregister.co.uk/2008/05/01/spam_30/
(7) http://www.dw.de/dw/article/0,,15351039,00.html
(8) http://www.economywatch.com/business-and-eco-
nomy/pharmaceutical-industry.html
22
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Confrences scurit
Le mois de Fvrier et Mars furent marqus par plusieurs confrences franaises et interna-
tionales auxquelles nous avons assistes. Au menu, GSDays, la Blackhat Amsterdam et les
JSSI.
par Charles DAGOUAT, Stphane AVI, Marie GARBEZ, Yannick HAMON, Pierre TEXIER et
GSDays/Blackhat
JSSI
paiements apparaissaient ainsi aux yeux de tous dans une Le chercheur a ensuite dtaill les diffrentes techniques
stupfaction gnrale. utilisables pour protger un programme de son analyse
(statique et dynamique). Une prsentation des diffrents
Renaud Lifchitz a ensuite dtaill comment un pirate pour- outils permettant de manipuler et danalyser un pro-
rait rcuprer de nombreuses donnes bancaires en se pro- gramme issu de .NET est venue conclure cette tude. Au
menant tout simplement dans le mtro muni dun ampli- final, il savre que le peu doutils vraiment aboutis et
ficateur permettant doutrepasser la limite de porte de la matures complexifient largement ltude de ce type de
carte de trois centimtres. programme.
25
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Le constat est donc le suivant : la menace principale est mise en sommeil durant plusieurs annes. Aprs deux ans
maintenant diffuse, opportuniste et cible. La gestion de de travail, ses membres lont relance au cours de la der-
crise doit donc voluer en consquence. Les incidents de nire JSSI (Journe de la Scurit des Systmes dInforma-
scurit ne concernent maintenant plus que la direction des tion) de lOSSIR. Aprs avoir fait un rapide retour sur lvo-
systmes dinformation, mais aussi les mtiers . lution du monde de la scurit au cours des 20 dernires
Il est donc important de les faire intervenir dans la prpara- annes, et les constatations qui ont pouss la cration
tion de la gestion de la crise, tout comme la direction gn- de cette fdration, les deux intervenants ont prsent la
rale. De plus, les attaques cibles que lon peut observer constitution de lassociation et principalement de ses l-
dsormais sont complexes dtecter, puisquelles sont le ments fondateurs : le comit dthique constitu de RSSI,
plus souvent composes dune multitude dattaques silen- les principes fondateurs, la charte de lintrusion et enfin
cieuses. Enfin, les crises stalent de plus en plus dans la la dmarche associe. Ce groupe, constitu uniquement
dure : il est difficile den dcerner le dbut et la fin. de personnes morales, a pour vocation dune part de don-
ner une reprsentation ayant du poids la profession en
la FPTI, constitue uniquement France, ainsi que de garantir un niveau de prestation lev
de personnes morales, a pour vocation aux clients de socit ralisant des tests dintrusion.
dune part de donner une reprsentation En effet, le cur de lassociation est le comit dthique,
ayant du poids la profession en France, ainsi qui sera, la suite du dpt dune rclamation, en mesure
que de garantir un niveau de prestation lev de juger si le membre de lassociation a respect lthique
aux clients de socit ralisant des tests et le contrat moral que les membres sengagent respec-
dintrusion. ter en adhrant la FPTI. Lassociation nattend plus que
les candidatures des futurs membres et des RSSI souhaitant
Les consquences de ces volutions sont nombreuses. On prendre part au comit dthique !
peut lister par exemple la ncessit de mettre en place une
organisation adapte sa gestion. Dans certains cas, il peut
tre ncessaire de grer une crise de faon compltement
dconnecte du systme dinformation, lorsque les boites
aux lettres ont t compromisses par exemple, et quil est
donc impossible dchanger par ce canal concernent les
mesures de remdiation mises en place, sous peine de les
voir contourner ds leur mise en place. Il peut aussi tre n-
cessaire de dfinir des plans de reconstructions compltes
du SI, en dfinissant des zones dassainissement.
Conclusion
Blackhat 2012
Aprs avoir eu lieu Barcelone pour son dition 2011, > Jour 1
la BlackHat Europe sest droule cette anne Ams-
terdam. Comme dhabitude, les confrences proposes HTML5 Top 10 Threats: Stealth Attacks and Silent
taient au nombre de trois sur chacun des crneaux Exploits - Shreeraj Shah
horaires.
+ Slides
https://media.blackhat.com/bh-eu-12/shah/bh-eu-12-
28
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Shah_HTML5_Top_10-Slides.pdf En effet, il peut tre envisageable dans certains cas de
casser ce schma des fins de contrle. Ainsi, il a expliqu
Premier jour, premire confrence de la journe. Pour comment certains outils tels que les proxies dintercep-
nous mettre en bouche, Shreeraj commence par une tion font une sorte de man in the middle afin dtre
revue complte de ltat de lart des attaques existantes en mesure de procder lanalyse du contenu chang.
sur HTML5. Au final, celle-ci napporte rien de nouveau,
mais lavenir nous en dira peut-tre plus sur cette nou-
velle norme.
+ Whitepaper
https://media.blackhat.com/bh-eu-12/Jarmoc/bh-eu-
taque de type Man In The Middle est ralise sur lqui-
pement charg de contrler le contenu des changes ?
12-Jarmoc-SSL_TLS_Interception-WP.pdf Nous vous recommandons vivement de lire les ltude
+ Slides
https://media.blackhat.com/bh-eu-12/Jarmoc/bh-eu-
associe ce travail de recherche si vous utilisez lune de
ces technologies au sein de votre systme dinformation.
Pour conclure cette prsentation, Jeff a propos un
12-Jarmoc-SSL_TLS_Interception-Slides.pdf outil permettant de tester les diffrents scnarios pr-
+ Media
https://media.blackhat.com/bh-eu-12/videos/bh-eu-
sents lors de la confrence. Celui-ci est disponible
ladresse suivante : https://ssltest.offenseindepth.com
12-Ritter-Future-of-Security-Protocols.mp4
The IETF & The Future of Security Protocols: All the
Cette confrence, qui sest droule sur le second cr- Signal, None of the Noise - Tom Ritter
neau horaire de la journe a t mene par Jeff Jar-
moc, chercheur senior chez Dell SecureWorks. Aprs Tom Ritter, consultant scurit chez iSEC Partners, a
nous avoir rappel les grandes caractristiques des prsent les limites des protocoles de scurit. DNS-
protocoles SSL et TLS, et leur principale utilisation SEC, TLS, ou encore des nouveaux systmes tels que la
dans le domaine de la protection de la vie prive, le Content Security Policy utiliss au sein des navigateurs.
chercheur nous a prsent dautres cas dutilisation.
29
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Blackhat Amsterdam
HDMI: Hacking Displays Made Interesting - Andy Davis Dissecting Smart Meters - Justin Searle
Aprs un repas pris sur place autour dun buffet bien garni
(avec de trs bons desserts ;), Andy Davis a expos le
+ Whitepaper
https://media.blackhat.com/bh-eu-12/Searle/bh-eu-12-
fruit de ses recherches sur HDMI. Les diffrents protocoles Searle-Smart_Meters-WP.pdf
ont dabord t introduits, puis les vulnrabilits poten-
tielles ont t prsentes. Ces recherches tant encore
en cours, aucune preuve de concept na t prsente.
+ Slides
https://media.blackhat.com/bh-eu-12/Searle/bh-eu-12-
Searle-Smart_Meters-Slides.pdf
FYI: Youve got LFI - Tal Beery La pause caf passe, Justin Searle, Managing Partner
chez UtiliSec, prsente les techniques de test dintrusion
Le prsentateur sest content de nous faire (re)d- sur les Smart Meters, les compteurs intelligents uti-
couvrir les LFI et les RFI au sein des applications PHP. liss aux tats-Unis dans la rgulation lectrique. Ces
appareils sont considrs comme critiques, et une tech-
nique daudit spcifique doit donc tre mise en place.
A Sandbox Odyssey Vincenzo Iozzo Les tests dintrusions se divisent en quatre parties. La plupart
des serveurs contrlant les Smart Grid tournent sous des
Nous voil en plein milieu de la premire jour- systmes dexploitation connus, tels que Windows et Linux.
ne avec la confrence Vincenzo sur la sandbox de Une partie relativement classique est donc les tests dintru-
Mac OS Lion. Au dbut de sa prsentation, celui-ci sion ciblant les serveurs et leur systme dexploitation.
est revenu sur le fait que Apple a oblig les dve-
loppeurs utiliser la sandbox pour toutes les applica-
tions mises disposition au travers de lApple Market.
Toutes ses recherches se sont bases sur les recherches de
Dion Blazakis. Il a commenc par expliquer le fonctionne-
ment de celle-ci, en introduisant les diffrents composants
qui la constituent. Ainsi, chaque action effectue par une
application est proxifie au travers de modules chargs
de valider les autorisations associes aux profils utiliss.
Cependant, en regardant bien toutes les fonctionnalits
offertes par le systme ne peuvent pas tre sandboxes.
30
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Enfin, la dernire partie, et la plus difficile sont les tests > Jour 2 Hack In Paris vs SSTIC
dintrusion sur les systmes embarqus. Les diffrentes
actions ralises durant cette phase comprennent lana- Offensive Threat Modeling for Attackers: Turning
lyse des composants lectriques, la rcupration de la Threat Modeling on its Head - Rafal Los et Shane
mmoire, lanalyse de celle-ci, lanalyse et fuzzing des MacDougall
protocoles internes, mais aussi la rcupration du fir-
mware, sa dcompilation, son analyse et lexploitation
des failles potentielles prsentes au sein de celui-ci. + Whitepaper
https://media.blackhat.com/bh-eu-12/Los/bh-eu-12-Los-
Une trs bonne confrence, rappelant que les tests Offensive_Threat_Modeling-WP.pdf
dintrusion des systmes industriels ressemblent
en grande partie aux tests dintrusion classique.
+ Slides
https://media.blackhat.com/bh-eu-12/Los/bh-eu-12-Los-
Offensive_Threat_Modeling-Slides.pdf
Hacking XPATH 2.0 - Sumit Siddharth et Tom Forbes
+Whitepaper
La deuxime journe a dbut avec une conf-
rence consacre la dfense des applications.
https://media.blackhat.com/bh-eu-12/Siddharth/bh-eu- Le dbut de la confrence a permis dintroduire le fait
12-Siddharth-Xpath-WP.pdf que les applications sont de plus en plus scurises et
+
donc de plus en plus complexes apprhender. Cepen-
Slides dant, elles sont toujours cres par nous autres tres
https://media.blackhat.com/bh-eu-12/Siddharth/bh-eu- humains Et nous sommes les premires faiblesses
12-Siddharth-Xpath-Slides.pdf Car qui met en place les dfenses permettant de prot-
ger les personnes charges de scuriser les applications
? Ainsi, le confrencier a prsent toute une dmarche
Pour la dernire confrence de la journe, nous permettant de comprendre nos dfenses et comment
avons assist une confrence sur XPATH. Le XPATH compromettre les dfenseurs de nos chres applications ;)
est un langage SQL like, permettant de rcuprer
des informations contenues au sein dun fichier XML.
Defending Privacy at the U.S. Border: A Guide for
Travelers Carrying Digital Devices - Marcia Hofmann
et Seth Schoen
+ Whitepaper
https://media.blackhat.com/bh-eu-12/Hofmann/bh-eu-
12-Hofmann-Defending_privacy_Border-WP.pdf
+ Slides
https://media.blackhat.com/bh-eu-12/Hofmann/bh-eu-
12-Hofmann-Defending_privacy_Border-Slides.pdf
31
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Blackhat Amsterdam
All Your Calls Are Still Belong to Us: How We Compro- An assortment of database goodies - David Litchfield
mised the Cisco VoIP Crypto Ecosystem - Daniel Mende
et Enno Rey Le confrencier nous a expos ses dernires recherches
dans le domaine de la scurit des bases de donnes Oracle.
+ Whitepaper
https://media.blackhat.com/bh-eu-12/Rey/bh-eu-12-Rey- Aprs stre focalis sur un chantillon tech-
Call_Belong_to_Us-WP.pdf niques dinjection SQL pour ce type de base, ce der-
nier sest intress aux investigations forensics sur
+ Slides
https://media.blackhat.com/bh-eu-12/Rey/bh-eu-12-Rey-
les injections SQL en aveugle (Blind SQL Injection).
La problmatique provient du fait que les argu-
Call_Belong_to_Us-Slides.pdf ments utiliss lors de requtes POST ne sont pas tra-
ces par dfaut au sein des journaux dvnement.
Cependant, en analysant le temps entre les requtes, Da-
Daniel Mende et Enno Rey ont prsent tout dabord les vid Copperfield a pu dmontrer quil tait possible de re-
Seven Sisters dune infrastructure scurise : contrle trouver, partir des logs dun serveur web, les informations
daccs, isolation, restriction, chiffrement, protection rcupres par un attaquant lors de lexploitation dune
physique, management scuris et visibilit. Aprs avoir faille de type Injection SQL en aveugle. Impressionnant!
prsent plusieurs exemples, les confrenciers arrivent
une conclusion simple : le chiffrement ne rsout pas
tous les problmes, mais il peut aider dans certains
scnarios, si bien sr, il est correctement implment !
La deuxime partie concernait quant elle
le chiffrement des tlphones VoIP Cisco.
Larchitecture est entirement remise en cause. Exploiting Security Gateways via their Web Interfaces
Une question de lauditoire nous a bien fait rire : - Ben Williams
Whats the Cisco point of view about this attack?
La rponse des intresss : They are working on it!
+ Whitepaper
https://media.blackhat.com/bh-eu-12/Williams/bh-eu-
:
12-Williams-Exploiting_Gateways-Slides.pdf
32
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
mot de passe trivial, dfaut de filtrage des entres uti- Data Mining a Mountain of Zero Day Vulnerabilities -
lisateurs, anciennes versions de logiciels/framework Chris Wysopal
12-DiCroce-CyberAttacks_to_SAP_systems-Slides.pdf
+ Whitepaper
https://media.blackhat.com/bh-eu-12/Atlasis/bh-eu-
+ Slides
https://media.blackhat.com/bh-eu-12/Lovet/bh-eu-12-Lo-
12-Atlasis-Attacking_IPv6-WP.pdf vet-Human_Virology-Slides.pdf
+ Slides
https://media.blackhat.com/bh-eu-12/Atlasis/bh-eu-
Cette dernire confrence de la seconde journe, anime
par Axelle Apvrille et Guillaume Lovet, tait diffrente des
12-Atlasis-Attacking_IPv6-Slides.pdf autres. En effet elle prsentait les similitudes entre un
virus biologique et les virus informatiques. Au programme
Comment ragissent les diffrents OS la fragmentation la reproduction des virus biologiques et les dfenses de
des paquets rseaux ? Comment ont t implmentes notre systme immunitaire, le tout compar leur confrre
les diffrentes piles IP ? Voil ce quoi le confrencier informatique. La question finale : Les virus biologiques
a cherch rpondre. Pour cela, il a prsent tout un traverseront-ils un jour la frontire ? Et vice-versa ?
panel de tests qui utilisent la fragmentation dans lIPV6.
33
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Blackhat Amsterdam
> Jour 3
The Kelihos Botnet - Kyle Yang
Dmitry SklyarovSecure Password Managers and
Military-Grade Encryption on Smartphones: Oh Le botnet Kelihos a til survcut lopra-
Really ? - Andrey Belenko tion B79, ou est-ce juste un nouveau modle ?
Cette question tait au centre la confrence de Kyle Yang.
+ Whitepaper
https://media.blackhat.com/bh-eu-12/Belenko/bh-eu-
Celui-ci a prsent la diffrence entre les 3 versions princi-
pales de ce botnet. Architecture, chiffrement ou encore com-
12-Belenko-Password_Encryption-WP.pdf munication, tous ces lments ont t analyss afin de nous
expliquer le fonctionnement du botnet et ses volutions.
+ Slides
https://media.blackhat.com/bh-eu-12/Belenko/bh-eu-
12-Belenko-Password_Encryption-Slides.pdf Paul Royal Entrapment: Tricking Malware with
Transparent, Scalable Malware Analysis
+
et comment sont stocks les mots de passe au sein des
BlackBerry et des iPhone, les deux chercheurs ont dcid Slides
de cibler leurs efforts sur les applications pour le Smart- https://media.blackhat.com/bh-eu-12/Royal/bh-eu-
phone la pomme. 12-Royal-Entrapment-Slides.pdf
Ainsi, ils se sont amuss prendre le top 20 des appli- Le nombre de malware est de plus en plus important. Afin
cations gratuites et tester leur capacit protger nos de les analyser, les chercheurs utilisent des batteries de ma-
chers mots de passe. Au final, seulement une application chines virtuelles afin de les excuter et ainsi voir comment
protgeait les mots de passe car les autres stockaient seu- ces derniers se comportent. Malheureusement, les auteurs
lement les mots de passe dans une base de donnes de de ces codes lont compris, et on donc fait en sorte que
type SQLite. Aprs ce bilan bien pessimiste, ils se sont at- leur code dtecte lenvironnement sur lequel il sexcute.
taqus aux applications payantes. Celles-ci chiffrent toutes
leurs bases, cependant, avec des algorithmes trop faibles.
Ainsi, aucune application ne stocke rellement les mots
de passe de manire scurise. Le seul moyen davoir un
stockage des mots de passe sur est dutiliser le Keychain
du systme.
34
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Smartphones Apps Are Not That Smart: Insecure Blue Screen Of Death sur une nouvelle version du ser-
Development Practices - Simon Roses Femerling veur Citrix a t prsent pour terminer la prsentation.
+ Whitepaper
https://media.blackhat.com/bh-eu-12/Rose/bh-eu- Lotus Domino: Penetration Through the Controller -
12-Rose-Smartphone_Apps-WP.pdf Alexey Sintsov
+ Slides
https://media.blackhat.com/bh-eu-12/Rose/bh-eu-
+ Whitepaper :
https://media.blackhat.com/bh-eu-12/Sintsov/bh-eu-
12-Rose-Smartphone_Apps-Slides.pdf 12-Sintsov-Lotus_Domino-WP.pdf
> INFO
Hack in Paris dvoile son programme de formations
et de confrences
+ Whitepaper
https://media.blackhat.com/bh-eu-12/Forshaw/bh-eu-
comprendra 6 formations et 16 confrences : locca-
sion pour lcosystme de la scurit informatique
12-Forshaw-CANAPE-Slides.pdf de se former sur les pratiques de hacking et
de se runir autour dexperts internationaux
+ Slides
https://media.blackhat.com/bh-eu-12/Forshaw/bh-eu-
pour sinformer sur la ralit du hac-
king, ses enjeux et ses consquences.
12-Forshaw-CANAPE-WP.pdf
Au programme, des formations diverses (dveloppe-
Michael Jordon et James Forshaw, consultants chez ment dexploits, Rtro-ingnierie de malwares, scu-
Context, ont prsent un nouvel outil. Dnomm Ca- rit iOS, hacking IPv6...) et de nombreuses conf-
nape, il permet de regrouper plusieurs outils en un seul. rences par des grands noms de la scurit (Peter Van
Il permet de faire du Man In the middle entre deux Eeckhoutte, Mikko H. Hypponen, Winn Schwartau ...)
sources, et de fuzzer le trafic entre ces deux systmes.
Afin de prsenter les diffrentes fonctionnalits de lou- Le programme est disponible ladresse suivante :
til, une dmonstration a t ralise sur le protocole http://www.hackinparis.com/talks
ICA, utilis par les produits Citrix XenApp et XenDesk-
top. Durant plusieurs phases, la dcouverte et lexploi-
tation dune vulnrabilit trouve au sein du protocole
nous a permis de voir toute la puissance de loutil. Un
35
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Confrences scurit
Enfin, nous terminons ce tour des confrences par les JSSI organise par lOSSIR.
JSSI
Philippe Bernard, RSSI de MBDA France, nous a prsent la suite dun repas des plus copieux, Laurent Butti (Orange
un retour dexpriences sur le droulement dun audit Portals) nous a fait part dun retour dexprience sur lutili-
de scurit. Lorateur a rappel les rgles dor PRE/PER/ sation doutils automatiss pour laudit dapplications Web
POST Audit respecter. Des critres de slection du pres- en bote noire (sans identifiants sur lapplication). Celui-ci
tataire aux diffrentes tapes suivre, cette prsentation a prsent un benchmark sur les rsultats de plusieurs
fournit une excellente base aux RSSI novices sur ce type scanners open-source, en configuration par dfaut, len-
de prestation. Celle-ci rappelle/apprend galement aux contre du projet WIVET (Web Input Vector Extractor Teaser) :
prestataires de services que les aspects commerciaux ne + arachni;
sont pas les seuls critres. En effet, des lments plus + wapiti;
subjectifs tels que la rputation, la confiance en lentre- + w3af;
prise et les consultants jouent galement dans la balance. + skipfish.
Il sen est suivi dune prsentation de Thibault Koechlin, Si quelques rsultats pertinents sont remarqus sur
consultant NBS, du projet OWASP NAXSI dont il est lauteur. des sites simples, lorateur souligne que ces outils ren-
Ce pare-feu applicatif (WAF) open-source est un module contrent des difficults sur des sites complexes ou int-
pour serveur NGINX. Bas sur lutilisation de primitives, grant beaucoup de codes JavaScript (Web 2.0...). Leur
contrairement lutilisation dexpressions rgulires com- efficacit est galement trs limite vis--vis des failles
plexes, NAXSI a pour objectif dapporter une couche de pro- dimplmentation et de configuration, mais gale-
tection supplmentaire sans dgrader les performances du ment pour lvaluation des faiblesses fonctionnelles
service web. NAXSI a dj pass son baptme du feu avec des applications Web. En conclusion, les tests manuels
la mise en production du nouveau site de Charlie Hebdo demeurent indispensables afin de vrifier les faux-
suite aux rcentes attaques informatiques (dfaages puis positifs et dassurer lexhaustivit des vulnrabilits.
DoS & DDoS). Sa simplicit dutilisation a galement t
mise en vidence par son auteur. Celle-ci lui confre en Toujours dans le thme des vulnrabilits des applications
outre une capacit dindustrialisation non ngligeable. Une Web, la prsentation suivante abordait les injections No-
chose est sre, cette solution est regarder de trs prs. SQL. Nicolas Viot, consultant NGM Security, rappelle que
les bases de donnes No-SQL ne suivent aucune norme
Une confrence moins technique, mais tout aussi int- officielle, ce qui conduit une multitude de technologies/
ressante a suivi. Frdric Connes, consultant HSC, nous a langages : MongoDB, Nea4j, Cassandra, Apache CouchDB,
rappel quelques aspects juridiques fondamentaux sur SimpleDB... Cette alternative aux bases de donnes clas-
la pratique de tests dintrusion. On dcouvre alors que siques est caractrise par labsence de schma prdfini et
le clbre article 323-1 du code pnal ne peut rentrer de langage SQL ce qui assure une souplesse dutilisation et
en ligne de compte avec le consentement de laudit. un partitionnement facile des donnes entre plusieurs ser-
Toujours est-il quil faut tre en mesure de prouver ce veurs. Malgr une nouvelle technologie, la vulnrabilit et
consentement. Lorateur prsente alors les informations les consquences sont identiques : labsence de contrles
ncessaires la rdaction dune convention daudit pour sur les entres utilisateurs au sein dune application per-
finir sur un rappel du cadre dapplication de larticle 323- met de manipuler les requtes effectues sur la base de
3 relatif lutilisation et la dtention doutils dintrusion. donnes sous-jacente. Lorateur a publi un outil (nos-
qlinj.py - www.ngmsecurity.fr/outils-nosqlinjector/) afin
dillustrer ce risque sur les bases MongoDB uniquement.
Cette matine sest acheve par une table ronde anime
par Philippe Bernard (MBDA), Olivier Caleff (FPTI) et Oli- La dernire prsentation sur le thme du XML a t ef-
ver Dembour (ARJEL). Le thme portait sur les besoins de fectue par Nicolas Grgoire, Agarri. Aprs avoir rappel
rglementation de la prestation de services en scurit. la multitude dimplmentation de ce langage universel
36
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
(du RSS au XSLT), lauteur illustre les risques introduits
par lhomoiconicit (mme apparence entre le code de
grammaire ou les data) de ce langage. Une premire d-
monstration a t ralise par lencapsulation dun PDF
malform, exploitant une vulnrabilit connue, au sein de
code XDP (XML Data Package). Au final, aucun antivirus
de la plateforme VirusToral nest en mesure de dtecter
le code dexploitation public. Une seconde dmonstration,
de type Dni de Service, a t effectue par labus de
fonctionnalits (XML Bomb - CWE-776, interprtation de
chiffres romains...). La prsentation se termine sur limpl-
mentation dune relle backdoor (Meterpreter Reverse-
Shell Java) via lexploitation dune erreur de traitement
XSLT sur un serveur autorisant lupload de fichiers XML.
Rfrences
http://www.ossir.org/jssi/jssi2012/
37
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
lActualit du moment
Que sest-il pass au cours de ces dernires
semaines au sein du petit monde de la
scurit informatique ?
Project404
Analyse de vulnrabilits
Analyse des failles Java (CVE-2012-0500 et CVE-2012-
ACTUA
0507) et Proc (CVE-2012-0056)
(par Stphane JIN et Antonin AUROY)
LIT Buzz
DU
Luigi, RDP et MS12-020
(par Florent HOCHWELKER)
MOMENT
Le whitepaper du mois
Verizon et les data-breach
(par Adrien GUINAULT)
Le phishing du mois
Zeus et US Airways
(par Adrien GUINAULT)
38
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Vulnrabilits JAVA
par Antonin Auroy
Andrew Thielen
Rappel sous la forme dun module Ruby, exploitant cette vulnra-
bilit.
Courant Fvrier, Oracle publie une mise jour critique de la
machine virtuelle Java. Cette mise jour corrige de nom- Ce module met en place un partage WebDAV , via un ser-
breuses vulnrabilits dont notamment une faille affectant veur HTTP, qui hberge les fichiers ncessaires lexploita-
Java Web Start (CVE-2012-0500) et une vulnrabilit au tion de la vulnrabilit.
sein de limplmentation de la classe AtomicReferenceAr- Le premier est un fichier JNLP. Cest ce fichier qui exploite
ray (CVE-2012-0507). la vulnrabilit : il utilise largument -J pour forcer le com-
posant Java Web Start dmarrer une machine virtuelle
Ces deux failles permettent laide dune page web mal- alternative via loption -XXaltjvm. Cette option reoit un
veillante de compromettre le systme dun internaute im- chemin UNC (chemin rseau Windows) pointant vers une
plmentant une version vulnrable de Java (versions prc- dll malicieuse hberge par le serveur de partage WebDAV.
dents la version Update 31)
Cette dll malicieuse est alors excute la place de la ma-
chine virtuelle Java.
Java Web Start et les injections CVE-2012-0500
A noter que le client doit avoir le service WebClient (Web-
Java Web Start est un composant logiciel de lenvironne- DAV Mini-Redirector) activ pour que cet exploit fonctionne.
ment dexcution Java (depuis la version 5.0) qui permet
de tlcharger et dexcuter des applications Java partir
du Web. Ce composant prend en entre un fichier JNLP, qui
dcrit un certain nombre de paramtres servant lancer
lapplication, notamment la localisation de lapplication sur
le serveur web.
Rfrences
+ Rfrences CERT-XMCO
CXA-2012-0288, CXA-2012-0527
+
ment un code jug de confiance (e.g. les classes du JDK)
instancier et excuter la classe Unsafe (e.g. un applet ne Article publi par F-Secure
peut pas directement faire appel cette classe). https://www.f-secure.com/weblog/archives/00002341.
Un attaquant pourrait donc compromettre le systme dun html
40
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Vulnrabilit /proc/<pid>/mem
(CVE-2012-0056)
par Stphane JIN
Andriano Gasparri
Une vulnrabilit pouvant tre exploite par un attaquant
afin dlever ses privilges sous un systme linux a t
dcouverte et corrige au dbut de cette anne. Celle-ci
concernait plus prcisment /proc/<pid>/mem , linter-
face permettant daccder en lecture/criture la mmoire
dun processus. Code de la fonction mem_open()
La vulnrabilit, rfrence CVE-2012-0056, affectait les
noyaux linux ultrieurs la version 2.6.39. Les vrifications de permissions sont effectues au sein
des fonctions de lecture et dcriture. Ainsi pour la fonction
dcriture mem_write(), deux contrles sont raliss :
Origine de la vulnrabilit
1 - check_mem_permission() vrifie que, soit le proces-
En mars 2011, les protections mises en place afin demp- sus dsirant crire est le processus dont la mmoire sera
cher les accs non autoriss /proc/<pid>/mem ont modifie (le processus veut modifier sa propre mmoire),
t juges suffisantes, une ligne de code empchant les soit le processus qui dsire crire possde les permissions
accs en criture la mmoire dun processus arbitraire a ptrace appropries sur le processus modifier (ligne 841)
alors t supprime dans la version 2.6.39 du noyau. Cette
modification avait notamment t apporte afin de faciliter 2 - self_exec_id permet de vrifier que le processus
la manipulation de la mmoire par les debuggers. qui a ouvert le descripteur de fichiers correspond celui
qui voulait modifier la mmoire (ligne 847). En effet, le
Ainsi, nimporte quelle personne qui possdait les autorisa- self_exec_id du processus ayant ouvert le descripteur de
tions adquates tait en mesure dcrire dans la mmoire fichiers a t stock prcdemment par mem_open().
dun processus. Cependant, il sest avr que ces protec-
tions taient en fait inadaptes.
41
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Exploitation de la vulnrabilit 4 - Dans le processus parent, rediriger la sortie STDERR vers
fd (fonction dup2()) ;
Lobjectif de lexploitation de cette vulnrabilit est dobte-
par Adrien GUINAULT
nir les droits root sur le systme. Pour cela, il est nces- 5 - Dans le processus parent, aller lemplacement m-
saire de trouver un excutable SUID, et de le forcer modi- moire adquate o crire son shellcode via fd (fonction
fier sa propre mmoire. lseek()) ;
Pour sa dmonstration, Jason Donenfeld (aka zx2c4) a 6 - Dans le processus parent, excuter su shellcode afin
pris comme exemple lexcutable su. En effet, celui-ci dcrire dans la mmoire du processus du code permettant
convient parfaitement puisquil crit dans STDERR la chane de lancer un shell (fonction execl()). A ce moment, la
de caractres passe en paramtre (que lon peut contr- valeur originale de self_exec_id du processus parent est
ler) si celle-ci ne correspond pas un utilisateur valide du incrmente de 1. Or, lors de louverture de fd, la valeur de
systme. self_exec_id correspondait galement la valeur origi-
nale de self_exec_id du processus parent incrmente
de 1 (voir tape 2). La vrification n2 est alors contourne.
42
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Vulnrabilit /proc/<pid>/mem
(CVE-2012-0056)
Correction de la vulnrabilit
Rfrences
43
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Luigi, RDP et MS12-020
par Florent HOCHWELKER
Daniel Goude
Rappel de la vulnrabilit Le Buzz
Le correctif de scurit rfrenc MS12-020 impactant la Alors pourquoi tant dengouement pour cette vulnrabilit
totalit des versions de Microsoft Windows a fait norm- ? Lors de la publication du bulletin de scurit de Microsoft,
ment de bruit lors de la publication des bulletins de scurit nos timelines Twitter taient inondes de message pro-
du Patch Tuesday . pos du correctif MS12-020.
Le mardi 13 mars, Microsoft publie son bulletin mensuel de Le service RDP accessible par dfaut sur le port 3389 est de-
scurit et push les mises jours sur les Windows du puis plusieurs annes considr comme un protocole sr et
monde entier. Un mois comme un autre (?), lexception est recommand par les consultants afin dadministrer les
prs quune des vulnrabilits est exploitable distance serveurs distance. La vulnrabilit tant exploitable pre-
sans authentification sur le service Remote Desktop Proto- authentication , la totalit des serveurs Windows adminis-
col (RDP) (ou Accs bureau distance ). Ainsi, le correctif trs depuis Internet en RDP est potentiellement vulnrable.
MS12-020, a particulirement retenu lattention de len- Une recherche sur le site Internet Shodan permet de dcou-
semble de la communaut du petit monde de la scurit. vrir plus de 200 000 machines dont le port RDP (3389) est
en coute (contre 1,5 million pour le port 22/SSH). A noter
que ce service nest pas activ par dfaut.
Une recherche sur le site Internet Shodan
permet de dcouvrir que plus de 200 000 Alors oui, la vulnrabilit RDP peut potentiellement tre uti-
lise pour compromettre les 200 000 machines en coute
machines sont en coute sur le port dadmi- sur Internet, ainsi que tous les postes dun parc informa-
nistration RDP (contre 1,5 million pour le port tique sous Windows : si nous sommes en possession dun
22/SSH). code dexploitation fonctionnel, si les machines ouvertes
sur Internet ne sont pas des pots-de-miel ( honeypot )
et si bien entendu les systmes attaqus ne sont pas jour.
Pour rappel une des vulnrabilits corriges par le patch
MS12-020 a t juge critique par Microsoft avec un indice Toutes ces interrogations ont moustill un grand nombre
dexploitabilit de 1 ( Exploit code likely ). Cest--dire de chercheurs en scurit, que se soit chez les white-hat ou
quil est possible quun code dexploitation soit cr afin les black-hat. La sortie du correctif de scurit a alors sonn
de prendre le contrle distance dune machine Windows le dpart dune course contre la montre entre les hackers,
nayant pas appliqu le correctif. les entreprises devant appliquer le correctif et les socits
ditrices danti-virus, IDS/IPS, etc.
Lquipe de Microsoft a cependant indiqu que le dvelop-
pement tait complexe et quils ne pensaient pas voir sortir
un code dexploitation fonctionnel dans les 30 jours. Et en
effet, lheure o nous crivons ces lignes aucun code nest
disponible publiquement et aucune socit na annonc
tre en possession dun code fonctionnel.
44
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Luigi, RDP et MS12-020
Les POC, la fuite... Rapidement ZDI annonce tre sr et certain que la fuite
ne provient pas de chez eux. Microsoft est alors montr du
Le 15 mars (2 jours aprs le bulletin de Microsoft) une com- doigt et une rponse de leur part est attendue.
munaut sest forme afin danalyser les modifications ap-
portes par le correctif et ainsi crer une preuve de concept
(PoC) permettant de dclencher la vulnrabilit, voire de
crer un exploit fonctionnel. A noter que deux vulnrabi-
lits sont corriges par le patch MS12-020, rfrenc CVE-
2012-0152 (dni de service) et CVE-2012-0002 (excution
de code distance).
Rfrences
+ Rfrences CERT-XMCO
CXA-2012-0436, CXA-2012-0431, CXA-2012-0418, CXA-
2012-0394
+ Blog Microsoft
[3] http://blogs.technet.com/b/msrc/archive/2012/03/16/
proof-of-concept-code-available-for-ms12-020.aspx
[4] http://technet.microsoft.com/en-us/security/bulletin/
ms12-020
+ Script Nmap
[7] http://www.reddit.com/tb/rfm6d
Rfrences
http://bugslap.com/comics.htm
46
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
LE white-paper du mois
par Pierre TEXIER
C.O.D Library
Verizon - Data Breach investigation report Verizon note enfin que le niveau de complexit des attaques
demeure relativement faible. Celles-ci seraient vitables
Verizon a publi la version 2012 de son rapport intitul par de simples mesures ou contrles. cet effet, Verizon
Data Breach Investigations Report. Ce rapport a t publi met en avant des prconisations cls destines rduire
fortement les risques de telles brches :
quelques jours avant lattaque subie par Global Payment.
+ assurer un filtrage adquat des accs externes;
Ltude effectue cette anne par la socit amricaine + durcir les identifiants et mots de passe utiliss par les
ressources accessibles depuis Internet;
porte sur un peu plus de 850 incidents reports. Les investi-
+ supprimer les donnes inutiles;
gations techniques menes visent identifier les pratiques
+ suivre les vnements de scurit;
des attaquants (types de vulnrabilits exploites, catgo-
ries dquipements cibles, etc.). Lobjectif est de dgager + valuer les menaces au pralable afin de prioriser les
actions entreprendre pour anticiper ces incidents.
les tendances principales et les volutions par rapport aux
annes passes.
http://www.verizonbusiness.com/resources/reports/rp_
Selon le rapport publi, la majorit des infractions provien- data-breach-investigations-report-2012_en_xg.pdf
drait dattaques externes. Celles dorigine internes seraient,
daprs Verizon, moins dtectes ou davantage censu-
res par les entits victimes.
47
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Le Phishing du mois
par Adrien GUINAULT
kennytyy
Paul Wilkinson
Zeus et US Airways Une fois le lien suivi, linternaute est dirig vers de nom-
breux domaines diffrents :
Ce mois-ci intressons-nous une attaque de phishing + http://hotelpunakora.cl/DnAp2Ghm/index.html
perptre par le malware Zeus. Une campagne de spam + http://moscalb.ro/us.html
a t mene durant le mois davril. Lemail envoy tait + http://boemelparty.be
assez bien ficel mais vraiment trop particulier pour faire un + http://nhb.prosixsoftron.in
maximum de victime. + http://sas.hg.pl
+ http://www.vinhthanh.com.vn
Lemail suivant propose de confirmer un billet de rserva- + http://www.alpine-turkey.com
tion pour un vol pour Washington. + http://www.thedugoutdawgs.com
48
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Le Phishing du mois
http://www.scmagazine.com/flight-check-in-emails-lead-
to-zeus-infection/article/235043/
http://www.securelist.com/en/blog/208193439/A_gift_
from_ZeuS_for_passengers_of_US_Airways
http://www.net-security.org/malware_news.php?id=2054
Conclusion
49
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Blog, logiciels et Twitter
chaque parution, dans cette rubrique,
nous vous prsentons des outils libres, des
extensions Firefox, ou encore nos sites web
prfrs.
Alexis COUPE
Will Clayton
Maximilian
BLOGS OSSEC
HIDS et analyseur de logs
LOGICIELS
TWITTER
SWF Intruder
Outil daudit de fichiers SWF
Top Twitter
Une slection de comptes Twitter suivis par le CERT-XMCO
50
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Blog, logiciels et Twitter
> OSSEC
Description
51
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Blog, logiciels et Twitter
Analyseur de fichiers SWF Lapplication SWF Investigator est une suite doutils Open
Source mise disposition par Adobe. Ddie aux cher-
DISPONIBLE A LADRESSE SUIVANTE : cheurs en scurit, mais galement aux dveloppeurs,
http://sourceforge.net/adobe/swfinvestigator/wiki/ elle permet de manipuler les fichiers Flash (.swf) avec une
Home/ grande simplicit.
52
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
@NetbiosX http://twitter.com/#!/netbiosX
@SANSForensics http://twitter.com/#!/sansforensics
@webDEVIL https://twitter.com/#!/w3bd3vil
53
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Romain MAHIEU
> Remerciements
Articles
Roger Schultz
http://www.flickr.com/photos/elaws/3774497818/sizes/o/in/photostream/
Gloria Garcia
http://www.flickr.com/people/fl4y/
Taiyo Fujii
http://www.flickr.com/photos/t_trace/3028211311/sizes/o/in/photostream/
Andrew Thielen
http://www.flickr.com/photos/mag/4441573588/sizes/o/in/photostream/
Daniel Goude
http://www.flickr.com/photos/goude/2627701686/sizes/o/in/photostream/
AHT
http://www.flickr.com/photos/hturkhan/4829842649/sizes/l/in/photostream/
Adriano Gasparri
http://www.flickr.com/photos/4everyoung/220412890/sizes/m/in/photostream/
COD Library
http://www.flickr.com/photos/codlibrary/2278168996/sizes/l/in/photostream/
Projet 404
http://www.flickr.com/photos/project-404/2715871193/sizes/o/in/photostream/
Paul Wilkinson
http://www.flickr.com/photos/eepaul/4891013120/sizes/o/in/photostream/
Will Clayton
http://www.flickr.com/photos/spool32/4633177036/sizes/o/in/photostream/
Erich Ferdinand
http://www.flickr.com/photos/erix/
LActuScu est un magazine numrique rdig et dit par les consultants du cabinet
de conseil XMCO. Sa vocation est de fournir des prsentations claires et dtailles sur le
thme de la scurit informatique, et ce, en toute indpendance. Tous les numros de
lActuScu sont tlchargeables ladresse suivante (versions franaises et anglaises) :
http://www.xmco.fr/actualite-securite-vulnerabilite-fr.html
54
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
11 bis, rue de Beaujolais
75001 Paris - France
SAS (Socits par Actions Simplifies) au capital de 38 120 - Enregistre au Registre du Commerce de Paris RCS 430 137 711
Code NAF 6202A - NSIRET : 430 137 711 00049 - N TVA intracommunautaire : FR 29 430 137 711
www.xmco.fr