Découvrez notre société Contactez-nous

e-Xpert Solutions Genève

109, chemin du Pont-Du-Centenaire
CH-1228 Plan-les-Ouates / Genève
SUISSE

Tel. : +41 22 727 05 55 Fax : +41 22 727 05 50

e-Xpert Solutions Lausanne

Avenue de Gratta-Paille 20
CH-1018 Lausanne
SUISSE

Tel. : +41 21 802 26 78 Fax : +41 22 727 05 50
Contactez notre support : +41 22 727 05 56
Envoyez votre message

Swiss Security Hackademy

Suivez notre blog bilingue en sécurité informatique !

Retour aux articles

BlueHat 2019 Tel Aviv : feedbacks !


Auteur : Michael Molho

Date de publication : 25 février 2019 - Dernière mise à jour : 25 février 2019


Cette année nous avons eu l’honneur de participer, mon collègue David.R et moi-même, à la conférence BlueHat organisée par Microsoft à Tel Aviv (Israël). Cette conférence internationale réunit chaque année de plus en plus de professionnels et de passionnés autour des sujets de la sécurité informatique.

C’est l’occasion pour les chercheurs du monde entier d’exposer leurs dernières trouvailles et pour nous, l’opportunité de nous maintenir à jour sur les dernières nouveautés en termes d’attaque/défense.

Notre objectif est de maintenir notre équipe SOC à la pointe des recherches actuelles, aussi bien pour permettre aux équipes R&D d’améliorer en continu nos méthodes de détection, que pour donner à nos analystes un background technique complet leur permettant d’appréhender efficacement tout type d’attaque.

Cette année, Microsoft a vu grand !
Un espace de 2500m2 entièrement décoré pour l’occasion.
Tags recouvrant tous les murs, décoration vintage/nerd poussée à son maximum, immense scène et des talks/CTF de très haut niveau... Le tout pour accueillir les ~500 personnes présentes par jour.

BlueHat 2019 Tel Aviv : feedbacks !

Dans ce bulletin, je vous propose un bref résumé des conférences que nous avons trouvé particulièrement intéressantes.

The AMDFlaws Story: Technical Deep Dive

Deux chercheurs de CTS Labs (Israël) ont dévoilé en exclusivité les résultats de 8 mois d’étude sur les processeurs AMD. Leurs recherches portaient sur le sous-composant « PSP » des processeurs AMD, très peu connu, ni documenté. Ce composant existe au sein même de toutes les nouvelles générations d’AMD et permet d’apporter des sécurités supplémentaires implémentées au niveau hardware, telles que le support de TPM ou le secure boot hardware.

Pour assurer ses fonctions, ce composant possède des privilèges très élevés au niveau du matériel, tels que des accès en lecture/écriture n’importe où en mémoire. Ces accès sont directs, indépendants de l’OS, et donc par conséquent, impossible à surveiller par un software de type antivirus ou IDS. De plus ce composant est impossible à désactiver et reste actif même lorsque l’ordinateur est éteint. Intéressant n’est ce pas … ?

Les résultats de cette étude montrent que les chercheurs ont trouvé pas moins de 13 vulnérabilités sur le PSP. En combinant plusieurs d’entres elles, ils ont réussi à écrire un POC d’exploitation qui flash le microcode du PSP afin d’obtenir un accès complet à la mémoire physique. Grâce à cela, il serait possible par exemple de faire de l’évasion de machine virtuelle ou de conteneur.

Pour leur démonstration, les chercheurs ont réussi à bypasser Credential Guard de Windows afin d’obtenir les mots de passe en clair des utilisateurs connectés.

Bien que ces attaques soient très impressionnantes et les recherches intéressantes, le champ d’application reste limité. En effet pour réaliser ce type d’attaque, il faut posséder un accès « Administrateur » sur la machine ciblée, sachant que toute erreur dans le script d’exploitation engendrerait un crash complet de celle-ci.

Le constat est que les recherches en vulnérabilités se tournent de plus en plus vers le hardware étant donné que les softwares et les OS implémentent aujourd’hui de nombreuses techniques de mitigation (NX, ASLR, stack cookies, credential gard …). En effet, la sécurité du hardware repose malheureusement trop souvent sur le fait que l’architecture n’est pas connue, pas ou peu documentée.

Supply Chain Security: "If I were a Nation State...”

Cette présentation fait suite au « scandale » lancé par Bloomberg en 2018 au sujet de composants microscopiques qui seraient secrètement implantés dans des hardwares de différents constructeurs.

À ce sujet, Andrew Huang, expert en hacking hardware nous expose son point de vue. Sa présentation détaille toutes les méthodes existantes pour modifier un hardware après sa fabrication. Chaque méthode est plus ou moins onéreuse (<1$/pièce et quelques secondes jusqu’à >1M$/pièce et plusieurs mois de R&D) et plus ou moins difficile à détecter.

Les techniques principales sont :

  • Ajout d’un composant
  • Remplacement d’un composant
  • Ajout d’un chip à l’intérieur d’un composant
  • Remplacement d’un chip à l’intérieur d’un composant
  • « Hard IP » : modification du masque du circuit en post traitement

Certaines de ces techniques sont tellement avancées qu’elles sont presque impossibles à détecter même avec une analyse aux rayons X du hardware.

Concernant l’affaire Bloomberg, l’analyse du speaker est simple : les détails techniques sont incohérents. Par conséquent, l’affaire est probablement fausse. La fameuse puce décrite dans l’article est très onéreuse à fabriquer et simple à détecter. Peu probable donc …

Notons tout de même qu’il nous alerte sur la possibilité voire la facilité à mettre en œuvre ce type d’attaque pour un état. Les techniques sont nombreuses et efficaces, avec des possibilités de modifications depuis la chaîne de fabrication à la fourniture d’un produit.

Transmogrifying Other People's Marketing into Threat Hunting Treasures Using Machine Learning Magic

Bhavna Soman, chercheuse au sien de l’équipe sécurité de Microsoft, présente ses résultats de recherche dans l’utilisation du NLP (Natural Langage Processing) et du machine learning pour extraire des Metadata depuis des articles de blogs.

Ce sujet de recherche est particulièrement intéressant d’autant qu’il est basé sur un constat simple : la majorité des informations connues sur les activités des groupes de hackers, les analyses de malwares, les IOC (URL, Hash, Domaines …) ainsi que les liens entre tous ces éléments sont majoritairement décrits dans des articles techniques ou dans des billets de blogs.

Ces informations étant non formatées, elles sont donc très difficilement exploitables de manière automatisée à large échelle. Bhavna travaille sur un programme capable d’analyser des textes écrits en langage naturel et d’en extraire automatiquement les metadata.

Prenons l’exemple de la phrase suivante (d’un article X):

"In summer and fall of 2017, we observed Pown Storm targeting several organizations with credential phishing and spearphishing attacks."

La phrase est automatiquement traduite en metadata de la façon suivante :

  • Malicious Actor = Pown Storm
  • Techniques = Credential Phishing / Spearphishing

Bien entendu, cette méthode n’est pas parfaite, elle connait encore un taux non négligeable d’erreurs. Cependant, les résultats sont très prometteurs et si cet algorithme se perfectionne, il sera bientôt possible d’analyser massivement des résultats de recherche à des fins de threat hunting ! Du pain béni pour notre équipe SOC 😊

You (dis)liked mimikatz? Wait for kekeo

Benjamin Delpi, auteur entre autres du célèbre Mimikatz, est l’un des précurseurs dans les attaques de type Pass the Hash, Pass the Ticket, Golden Ticket etc … Il partage ses dernières trouvailles sur son environnement préféré : Windows ! Comme à son habitude, c’est de la très haute voltige. Cette fois, il a jeté son dévolu sur Kerberos , et pour cela il a développé un nouvel outil dédié à Kerberos : kekeo.

En quelques mots ci-dessous, les 4 principales attaques exposées lors de sa présentation :

Exploitation du TSSSP afin d’obtenir les mots de passe en clair des utilisateurs connectés. TSSSP est le protocole sous-jacent permettant de ne pas avoir à saisir son mot de passe sur RDP (Single Sign On RDP). Pour que cela soit possible, la machine cliente doit envoyer le mot de passe de l’utilisateur au serveur. Benjamin a réussi à détourner cette fonctionnalité afin de récupérer le mot de passe de l’utilisateur connecté.

Exploitation du PKInitMustiness. Cette attaque cible les authentifications par SmartCard, et plus particulièrement, le mode d’authentification « RSA+Diffie Helman ». Ce mode souffre d’un important problème de conception. En effet, il suffit d’obtenir une Smartcard pendant quelques secondes, pour pouvoir générer à l’avance des AP-REQ Kerberos valides, utilisables dans le futur. Par conséquent, il est ensuite possible d’usurper l’identité d’une personne à l’infini sans être en possession de la Smartcard.

Attaque permettant de changer le mot de passe d’un utilisateur sans connaitre l’ancien. Pour cela, il suffit d’avoir un TGT (Kerberos Granting Ticket) qui peut être obtenu par d’autres types d’attaques implémentées par Mimikatz.

• Et enfin, Benjamin nous rappelle la criticité d’un serveur PKI sur une infrastructure Microsoft. En effet, si le serveur PKI est corrompu, il est possible d’usurper l’identité de n’importe quel utilisateur ou n’importe quelle machine sur le domaine. Il a également réussi à générer des certificats valides signés par la PKI d’entreprise qui sont invisibles des administrateurs et donc irrévocables. Pour arriver à ses fins, il a utilisé les API de cryptographie bas niveau de Microsoft, en bypassant complètement les API dédiées à la partie PKI. Par conséquent, il est possible de faire signer un certificat de manière invisible et indétectable.

Sur ces points, nos équipes R&D du SOC at-Defense travaillent activement sur l’intégration de ces types d’attaques dans nos moteurs de détection.

No Code No Crime: UPnP as an Off-the-Shelf Attacker's Toolkit

L’UPnP est un très vieux protocole, dont les vulnérabilités sont connues depuis plus d’une dizaine d’années. Dans ce talk, @x0rz nous rappelle que ces vulnérabilités sont toujours d’actualité en 2019. L’UPnP est un protocole simple permettant à plusieurs équipements sur un même LAN de dialoguer entre eux afin d’offrir aux utilisateurs une expérience « Plug And Play ».

Par exemple, cela permet à un client de VoIP d’ouvrir dynamiquement des ports sur le routeur Internet afin de faire passer le flux voix ou vidéo. Le problème vient de l’authentification de ce type de service … @x0rz nous apprend que ~2 millions d’appareils sont ouverts en UPnP depuis Internet dont 12% (~260 000) sans aucune authentification.

De cet état de fait, ces 12% pourraient potentiellement être utilisés comme des proxies afin d’accéder sans aucun contrôle au LAN derrière le routeur, il serait possible de changer les serveurs DNS du LAN et ainsi de suite… finalement d’accéder à tous les services offerts par UPnP depuis Internet sans aucun contrôle.

Et bien d’autres sujets….

Sans oublier les challenges !

BlueHat rime aussi avec challenges ! Comme à l'accoutumée, les organisateurs avaient concocté des challenges de sécurité en parallèle des conférences, pour notre plus grand plaisir !

Petit indice … e-Xpert Solutions a défendu l’honneur en finissant dans les 10 premières équipes 😉

BlueHat 2019 Tel Aviv : feedbacks !