Comme chaque année, Intrinsec est présent à la conférence de sécurité la plus attendue en France : le SSTIC.

Voici un compte-rendu de la première journée du SSTIC par Nicolas Roux et Erwan Péton.

« Chemins de contrôle en environnement Active Directory » – Emmanuel Gras & Lucas Bouillot

Emmanuel Gras et Lucas Bouillot ont développé une méthode et un outil permettant d’analyser des permissions dans un domaine Windows. À partir de données récupérées sur l’Active Directory et sur les machines appartenant au domaine, leur outil permet de générer un graphe montrant les relations entre différents éléments (utilisateurs, groupes, GPO, etc.). Ainsi, des relations complexes et parfois inattendues sont mises en évidence visuellement. A titre d’exemple, ils ont identifié lors d’un audit qu’un utilisateur lambda avait le droit de modifier des GPO, qui sont elles-mêmes appliquées sur le poste d’un administrateur de domaine. Cet utilisateur possèdait donc, indirectement, des droits d’administrateur de domaine.

« Analyse de la sécurité d’un Active Directory avec l’outil BTA » – Joffrey Czarny & Philippe Biondi

Joffrey Czarny & Philippe Biondi ont effectué une présentation de leur outil BTA, qui avait été présenté lors d’une rump du SSTIC 2013. Cet outil a été publié sous licenceGPLv2.

Pour rappel, l’outil est développé en Python et s’appuie sur une base MongoDB dans laquelle il est possible d’importer le contenu du fichier « ntds.dit » d’un AD que l’on souhaite auditer. Après importation du fichier, des « miners » sont lancés afin d’effectuer des tâches d’audit définies. Ces miners peuvent être regroupés en groupe de « miners » et plusieurs groupes peuvent ainsi composer un programme d’audit élaboré.

Le but de l’outil est d’aider les entreprises, petites ou grosses, utilisant Microsoft Active Directory, à conserver une certaine hygiène de celui-ci. L’outil est ainsi utilisé pour rechercher des mauvaises pratiques en place sur l’AD, des entrées oubliées (comptes inutilisés depuis X mois ou n’ayant jamais servie), des signes de compromission, etc. L’outil est ainsi à même de comparer deux clichés d’un même AD afin de détecter de possibles changements illégitimes et d’offrir la possibilité d’un nettoyage du système d’information sans avoir à reconstruire l’AD.

Contrairement à l’outil AD-permissions qui « explore » l’AD, BTA exécute des procédures fixes, produisant des résultats déterministes. Étant un logiciel Open Source, nous sommes d’ailleurs invités à contribuer aux projets avec de nouvelles procédures d’audit, autrement dit de nouveaux « miners ».

 

« Secrets d’authentification épisode II : Kerberos contre-attaque » – Aurélien Bordes

L’implémentation Microsoft de Kerberos utilise un élément PAC (Privilege Attribute Certificate) qui contient entre autres les groupes auxquels appartient un utilisateur. Ce PAC est présent dans les tickets TGT qui sont chiffrés avec le hash NTLM de l’utilisateur krtgt et dans les tickets de services qui sont chiffrés avec le hash NTLM de la machine. Par conséquent, si un attaquant a dumpé les hashs NTLM de tous les « utilisateurs » du domaine, il est en mesure de créer des tickets TGT ou des tickets de service valides contenant n’importe quel PAC (PAC indiquant par exemple que l’utilisateur X est administrateur du domaine). L’objectif de la présentation était de démontrer qu’en cas de compromission d’un domaine (dump des hashs NTLM), renouveler les mots de passe de tous les utilisateurs n’est pas suffisant.

« Analyse sécurité des modems des terminaux mobiles » – Benoit Michau

En utilisant des « front-end » 2G, 3G et 4G, et en développant un « cœur de réseau » léger, Benoit Michau a été en mesure de proposer un service d’opérateur limité à des terminaux du commerce, le tout en environnement restreint (cage de Faraday). À partir de cet environnement, un scan des protocoles supportés et un « fuzzing » de ceux-ci ont été réalisés.

Il existe de nombreuses failles chez de nombreux fabricants permettant notamment de faire basculer une communication chiffrée dans un mode sans chiffrement ni signature.

Diverses failles ont été remontées et corrigées par les constructeurs. Toutefois, les terminaux vieux de plus de 2 ans (cycle de vie du marché) ne voient pas souvent la mise à jour arriver ce qui reste regrettable …

 « How to play Hooker : Une solution d’analyse automatisée de markets Android » – Dimitri Kirchner & Georges Bossert

Dimitri Kirchner et Georges Bossert ont développé un outil Open Source permettant d’analyser de façon statique (via Androguard) et dynamique (via Substrate) un grand nombre d’applications Android pour en faire ressortir des statistiques macroscopiques telles que les ports TCP/UDP les plus utilisés, les permissions réellement utilisées, etc. et détecter ainsi de possible anomalies.

« Investigation numérique & terminaux Apple iOS – Acquisition de données stockées sur un système fermé » – Mathieu Renard

Mathieu Renard s’est intéressé aux méthodes permettant d’accéder au système de fichier d’un terminal iOS. S’il existe des outils publics pour les versions inférieures à iOS 4, la tâche est plus complexe pour les versions récentes. Pour iOS 6, il est nécessaire d’utiliser une vulnérabilité pour accéder au système de fichier et pour iOS 7, il est nécessaire d’en utiliser plusieurs. De plus, il est nécessaire que le terminal soit déverrouillé.

« Catch Me If You Can – A Compilation Of Recent Anti-Analysis In Malware » – Marion Marschalek

Marion Marschalek est revenue sur les différents types de malware disponibles sur le marché et sur les nombreuses techniques d’anti-debug et d’anti anti-debug utilisés pour, respectivement, se protéger des analystes et réussir à analyser les malwares. Elle est aussi revenue sur un cas particulier d’un malware doublement packé, via un packeur C++, mais aussi un packer Visual basic 6 bien que ce langage ne soit plus supporté, mais bien peu pratique à analyser.

Présentation courte : « Analyse de sécurité des box ADSL » – Eric Alata & Jean-Christophe Courrege & Mohammed Kaaniche & Vincent Nicomette & Yann Bachy & Yves Deswarte

Benoit Michau s’est intéressé à six box ADSL. Pour deux d’entre elles, le protocole HTTP est utilisé pour récupérer la configuration et les mises à jour. Ainsi, en utilisant son propre DSLAM et son propre modem, il se met en coupure entre la box et le DSLAM légitime et est en mesure de modifier la configuration de la box : passage d’appels surtaxés, prise de contrôle de la box, etc.

Présentation courte : « Sécurité des ordivisions » – Frédéric Basse

Frédéric Basse s’est mis en tête d’analyser les boites noires que représentent les ordivisions (terme apparemment en cours de validation) de la marque Philips. Lors de son analyse, celui-ci a pu prendre le contrôle de l’équipement, notamment en exploitant une vulnérabilité de la libupnp pourtant remontée en 2012, mais non corrigée dans le firmware de 2014. D’autres vulnérabilités ont été aussi détectées et le système de mise à jour dont les packages sont chiffrés et signés a été aussi analysé.

Présentation courte : « La radio qui venait du froid » – Alain Schneider

Alain Schneider a retracé l’historique des outils disponibles pour intercepter les connexions sans-fil de nos clavier et souris de ce type. Un composant sur étagère largement répandu dans ces périphériques, mais couplé avec d’autres équipements permet d’intercepter les messages pour une modique somme. Via une démonstration, il a démontré qu’en 2014 Microsoft chiffre toujours les communications de ces périphériques avec un simple XOR et l’ID de l’équipement …

 

Première journée se terminant autour d’un cocktail convivial mis sous le signe de le mémoire de Cédric Blancher (« Sid ») malheureusement disparu.