Retour sur la 11ème édition de la conférence Hack In Paris (HIP 2022)

XMCO était partenaire de la 11^ème édition de la Hack In Paris. Cette édition s’est une nouvelle fois tenue à la Maison de la Chimie à Paris du 30 juin au 1er juillet 2022. Comme les années précédentes, celle-ci a débuté avec 3 jours de formation pour terminer avec 2 jours de conférences et workshops.

Nos consultants ont assisté aux différentes conférences et vous présentent un résumé de celles qui ont retenu leur attention. Vous pourrez retrouver un dossier complet sur cet événement dans le prochain numéro de l’ActuSécu.
La liste complète des conférences est à retrouver sur https://hackinparis.com/talks/.

Offensive Hunting – Using Blue Team techniques in Red Team ops (@MarcOverIP, @xychix)

Lors de cette première conférence, Marc Smeets (@MarcOverIP) et Mark Bergman  (@xychix) ont pu nous présenter les nouveaux concepts qu’ils ont apportés à leur méthodologie de Red Team. En s’inspirant des mécanismes de détection plus communément mis en place par une équipe de Blue Team, ils ont ainsi développé l’outil « REDELK », basé sur Elasticsearch, Logstash et Kibana, afin d’identifier toute tentative d’investigation par les équipes de défense et adapter leurs attaques en conséquence. Voici quelques exemples d’utilisation qui ont été présentés par l’équipe :  

• Étude des connexions à leur serveur de contrôle (Users Agent, IP étant connue pour appartenir à une Blue Team ou encore une connexion depuis un service de sécurité (Sandbox antivirus, IBM X-Force …)
• Présence du hash de l’agent au sein de Virus Total
• Changement du mot de passe des comptes compromis
• Reset du mot de passe d’un administrateur (KRBGT Reset)
• Interfaçage de REDELK et de bloodhunt pour identifier toute nouvelle élévation de privilège au cours de la mission
• Détection d’une intervention sur un système compromis (Changement de configuration au sein de Defender, lancement d’un programme provenant de Sysinternal ou un outil de sécurité, activation de log, de nouvelles gpo …)

Au travers des traces générées, l’outil apporte aussi des indicateurs de temps précis afin de connaitre la vitesse de réponse des équipes techniques de la société auditée. 

L’outil est disponible à l’adresse suivante : https://github.com/outflanknl/RedELK

« I know what your ‘Microsoft Mainframe’ did last summer!.. » HacKtive Directory Forensics (@Yossi_Sassi) : 

Le chercheur en sécurité Yossi Sassi, dont l’une des principales spécialités est le forensic d’environnement Windows, a pu présenter ses derniers outils permettant l’identification de traces moins communes de compromissions.

Il est revenu notamment sur les différentes attaques pouvant amener à la compromission d’un AD, le manque de chiffrement de certains protocoles d’authentification, les problèmes d’autorisation propres à Windows et leur identification via l’un de ses outils : Get-ADPrincipalKerberosTokenGroup https://github.com/YossiSassi/Get-ADPrincipalKerberosTokenGroup : Script Powershell permettant d’identifier toute différence entre les groupes appartenant à l’utilisateur et le token d’autorisation qu’il obtient.

En effet, un attaquant pourrait profiter de ce type de défaut depuis un simple utilisateur afin d’exploiter une réplication du droit admin et ainsi élever ses privilèges.

De plus lors de la réalisation de timeline de compromission, en cas d’absence de traces ou de compromissions de celles-ci par un attaquant, Yossi Sassi nous propose une nouvelle source de réplication : msds-Repl* au sein du NTDS.dit, où y sont stockés tous les changements opérés depuis la création de l’AD (https://github.com/YossiSassi/AD-Replication-Metadata), permettant ainsi l’identification rapide d’événements pertinents en cas de réponse à incident : AdGroupChange / memberAdminCount …

Un dernier outil (nommé GoldFinger-Suspicious_TGT_Hunter) nous a été présenté afin d’identifier toute trace d’utilisation douteuse d’un Golden Ticket ou d’exploitation d’un Pass-The-Hash. Un exemple concret avec l’utilisation de l’outil Mimikatz, montre que les tokens générés sont d’une taille anormale et donc facilement identifiable au sein des traces. Et même si un attaquant prenait le temps de définir une taille standard pour ce type de paquet, d’autres éléments comme les suites de chiffrements, une durée de vie anormale, le nom de la session différent du nom du client, peuvent être décelés.

L’ensemble de ces outils est disponible aux adresses suivantes : https://hacktivedirectory.com https://github.com/YossiSassi

Strong Story to Tell: Top 10 Mistakes by Administrators about Remote Work par Paula Januszkiewicz

Dans cette présentation, Paula Januszkiewicz, fondatrice de la société CQURE, présente les 10 erreurs les plus couramment commises par des administrateurs depuis la démocratisation du travail à distance.

Pour commencer la présentation, Paula explique que depuis l’arrivée du COVID-19, une augmentation de 300% des attaques informatiques a été observée et que cela est en partie lié au développement du télétravail. Selon elle, voici les 10 erreurs les plus courantes :

1. Mauvaise configuration des services de communication réseau
2. Utilisation de mots de passe et questions de sécurité trop simples
3. Manque de segmentation du réseau
4. Absence de signature SMB
5. Absence de whitelisting
6. Absence de politique bloquant l’exécution de code inhabituel
7. Utilisation d’anciens protocoles avec les paramètres par défaut
8. Utilisation de solutions sans connaître leurs faiblesses
9. Utilisation des outils dangereux ne respectant pas les bonnes pratiques
10. Absence de restrictions des accès fournis aux prestataires externes

Parmi ces 10 points, une partie de la présentation a porté sur les vulnérabilités issues de l’utilisation de solutions à risque. En effet, Paula explique que trop souvent les faiblesses des outils utilisés par les entreprises ne sont pas connues. Par exemple, le gestionnaire de mot de passe intégré à Google Chrome sur Windows utilise DPAPI pour chiffrer les mots de passe de l’utilisateur. La clé utilisée pour chiffrer ces mots de passe est accessible par toutes les applications s’exécutant dans le contexte de l’utilisateur, ce qui représente donc un premier risque. Mais il existe une autre clé qui permet de déchiffrer tous les secrets chiffrés à l’aide de l’utilitaire DPAPI, cette clé est stockée au sein du contrôleur de domaine et prend la forme d’un certificat PFX. Un attaquant qui parvient à extraire cette clé peut donc extraire les identifiants Chrome de tous les utilisateurs du domaine, ce qui représente un risque majeur.

Suite à cette présentation, de nombreux outils permettant d’exploiter les erreurs courantes des administrateurs ont été rendus publics par l’entreprise de Paula et sont accessibles depuis le lien suivant : https://resources.cqureacademy.com/tools (Identifiant : student / Mot de passe : CQUREAcademy#123!)

Exploiting Volatile Memory Analysis Challenges for Fun & Profit par Solomon Sonya

Après avoir passé plusieurs années à effectuer de l’analyse forensique, Solomon Sonya nous propose un outil, ou plutôt un framework, permettant d’effectuer l’ensemble des tâches d’analyse de mémoire en un même endroit : le framework Xavier.

Les analyses mémoires utilisent habituellement tout un ensemble de plugins différents qui complexifient la tâche de l’analyste qui doit jongler avec une multitude d’outils. Solomon Sonya propose ici d’agréger tous ces outils au sein de son framework Xavier afin de pouvoir également cross-référer les résultats des différents plugins et améliorer l’analyse forensique.
Au moment de la conférence, l’outil se présente sous la forme d’une application Java basée sur Volatility, fonctionnant principalement sur les systèmes Windows. Un portage UNIX est à prévoir dans les prochaines semaines et le code source est disponible sur GitHub (cf. références).

Solomon a profité de la conférence pour nous présenter des rapports générés avec son outil, avec par exemple l’analyse des DLL chargées par les processus analysés afin d’identifier l’utilisation de meterpreter.

Son outil a pour but l’automatisation d’une partie du processus d’analyse forensique afin que l’utilisation du big data puisse également venir l’enrichir dans le futur.

Le code source du framework Xavier est disponible à l’adresse suivante : https://github.com/solomonsonya/Xavier_MemoryAnalysis_Framework

OPSEC – The Discipline of the Grey Man par Robert Sell

Le terme « Grey Man » est issu du monde l’espionnage et fait référence à une personne qui est présente mais dont on ne se souvient pas, un fantôme.

Le travail du speaker, Robert Sell, consiste à aider les organismes gouvernementaux américains (les Law Enforcement Agencies) à retrouver des personnes disparues en utilisant des techniques d’OSINT. Durant sa conférence, il revient sur l’importance de la sécurité opérationnelle ou OpSec.

Pour les besoins de son travail, Robert crée des identités virtuelles appelées « sock puppets ». Ces fausses identités possèdent des réseaux sociaux sur lesquels elles sont actives, interagissent avec de vraies personnes, et donnent leurs opinions sur des sujets variés.
L’OpSec est donc un sujet particulièrement important aux yeux de Robert afin qu’il conserve une séparation complète entre ses identités virtuelles et son identité réelle. La compromission de son identité réelle pouvant dans le pire des cas se traduire par des menaces sur sa vie.

Un processus d’OpSec traditionnel regroupe les étapes suivantes :

1. Identification des informations critiques
2. Analyse des menaces externes
3. Analyse des menaces internes
4. Évaluation des risques
5. Application des mesures appropriées

Robert nous présente ici sa vision sur les principes de l’OpSec qui sont à la fois vrais sur Internet mais aussi dans la vie réelle :

1. Adopter une approche « Zero trust » : de base, ne pas faire confiance, toujours douter et vérifier les informations
2. Créer un environnement de travail réutilisable et adapté : par exemple une machine virtuelle dédiée aux travaux d’OSINT
3. Examiner son empreinte : indices sur la localisation, éléments de langage distinctifs, syntaxe, trafic sur des sites, etc.
4. Ne pas réutiliser des informations entre les différentes identités fictives que l’on crée : la réutilisation de pseudos peut par exemple être à l’origine de soupçons
5. Prendre le temps d’alimenter nos « sock puppets » et de les faire vivre pour les rendre plus crédibles : participer à des débats, développer une personnalité, créer une opinion
6. Comprendre nos objectifs et ceux de nos adversaires
7. Faire attention à l’adversaire qui n’était pas attendu : conserver l’approche « Zero trust »
8. Avoir une stratégie si notre « sock puppet » est compromis

Weaponizing Rsync 0Day Vulnerability par Ege Balcı et Taha Hamad

Dans cette présentation, Ege Balcı, chercheur en sécurité au sein de la société Prodaft, a présenté une vulnérabilité découverte au sein de l’outil de transfert de fichiers rsync. Cette vulnérabilité, identifiée depuis plusieurs années, permet à un serveur rsync malveillant d’écraser des fichiers sur le système d’un client lors d’un transfert entre les deux entités.

La vulnérabilité provient du fait que le client rsync ne vérifie pas que le nombre de fichiers reçu est correct et correspond au nombre de fichiers attendus, ce qui permet donc à un attaquant d’ajouter des fichiers arbitraires lors du transfert. Ainsi, une victime qui croit télécharger un fichier précis, risque de récupérer d’autres fichiers lors du transfert.

Lors d’une démonstration, le chercheur a prouvé le danger que représentait cette vulnérabilité en prenant l’exemple d’un client qui utiliserait le binaire rsync depuis son dossier /home pour télécharger un fichier sur un serveur distant. Dans le cas où le serveur ciblé par le client aurait été compromis par un attaquant, un scénario d’exploitation pourrait être d’utiliser la vulnérabilité afin d’inclure un fichier .bashrc contenant du code arbitraire dans le transfert, afin d’écraser celui déjà présent dans le dossier /home du client et donc d’exécuter du code sur le système lors de la prochaine ouverture d’un shell.

En conclusion, l’auteur a expliqué que malgré une prise de contact avec les mainteneurs du projet rsync, aucun correctif n’a été implémenté pour le moment.

« Down the Rabbit Hole: A journey towards a weakness in Chrome & a new hacking technique » par Gil Cohen

Dans ce talk, Gil Cohen retrace son procédé pour découvrir, selon lui, un nouveau type de vulnérabilité : le « Frontend Server Hijacking ».

Après un bref rappel sur les injections CRLF, Gil nous expose un comportement étrange identifié au sein de Google Chrome lors de l’injection d’un en-tête Location via une injection CRLF. En effet, lors de tests sur des sites similaires, une injection CRLF sur l’un des sites aboutissait à une erreur Chrome ERR_RESPONSE_HEADERS_MULTIPLE_LOCATION alors que sur le second site, une redirection avait lieu. Ce comportement a motivé Gil a effectuer des recherches plus approfondies.

Le fruit de ses recherches a permis d’identifier que dans le premier cas, l’application ne communiquait qu’à l’aide de HTTP/1.1 alors que dans le second, HTTP/2 était utilisé.

Ce « bug » est valable au sein de tous les navigateurs basés sur Chromium (Google Chrome, Microsoft Edge, Brave, etc.) car l’erreur en question était mal gérée pour HTTP/2. Mais l’exploitation de ce dernier nécessite aussi que le serveur vulnérable se trouve derrière un reverse proxy modifiant l’ordre des en-têtes au sein de la réponse fournie par le serveur afin que l’en-tête Location injecté par l’attaquant se retrouve en première position et que la redirection ait lieu.

En continuant ces recherches, Gil a découvert une autre vulnérabilité similaire. Lors d’injection CRLF sur certains serveurs se trouvant derrière des reverse proxy, les en-têtes injectés ne sont pas injectés dans la réponse, mais bien dans la requête émise par reverse proxy vers le serveur cible. En particulier, les reverse proxy nginx utilisant les variables $request_uri, $uri et $document_uri au sein d’une directive proxy_pass ont été identifiés comme vulnérables.

Un exemple de configuration vulnérable est le suivant :

location / {
	proxy_pass https://monserveur.tld$uri
}

Cette configuration permet donc d’injecter un en-tête Host par le biais d’une injection CRLF dans la requête émise par le reverse proxy afin de le rediriger vers un site malveillant.

Le reverse proxy, au lieu de transmettre la requête initiale au serveur légitime et de renvoyer la réponse fournie par ce serveur au client va donc transmettre la requête vers le site de l’attaquant et fournir en réponse le contenu du site de l’attaquant.

La réponse fournie par le site malveillant sera donc affichée sous le nom de domaine du site requêté initialement ce qui permet notamment la mise en place de campagne de phishing très réaliste ainsi que le vol d’informations via des XSS sur le domaine vulnérable par exemple.

Maintaining Reliable systems: How to minimize Incident impact? Zoom in on incident management and postmortems par Ayelet Sachto

Ayelet Sachto est Site Reliability Engineer chez Google et durant sa présentation elle décrit les principes majeurs permettant d’améliorer la fiabilité d’un système.

Dans sa présentation, Ayelet détaille comment il est possible d’améliorer la gestion des incidents en se basant sur les principaux indices permettant de mesurer l’efficacité des processus en place, à savoir :

• Le temps de détection d’un incident
• Le temps de réparation d’un incident
• Le temps entre les incidents

Afin de minimiser l’impact d’un incident et d’assurer la fiabilité d’un système, il convient donc de réussir à faire évoluer ces différents indices. L’objectif étant logiquement de réduire le temps de détection et le temps de réparation tout en augmentant la durée entre les incidents.

Une solution proposée durant la présentation consiste à réaliser des analyses postmortems après chaque incident afin d’en étudier le déroulement et d’enrichir les processus de gestion pour minimiser l’impact des prochains incidents.

Cyber experts trapped: 5 misconceptions. How to expand your mind to thrive, without mushrooms or yoga par Sylvan Ravinet

Sylvan Ravinet, fondateur des entreprises Cyberbrief et CaptainCyber, est revenu lors de sa présentation sur 5 fausses idées touchant le monde de la Cybersécurité.

Les fausses idées énoncées par Sylvan étaient les suivantes :

1. La cybersécurité c’est uniquement de la technique
2. Les tests de phishing sont nécessaires
3. Les humains sont la source du problème
4. Savoir comment pirater c’est savoir comment défendre
5. Il est possible de faire sa veille en cybersécurité seul

Tout l’objectif de la présentation était ensuite d’expliquer pourquoi ces idées ne sont pas des vérités absolues et pourquoi il est nécessaire de réussir à voir plus loin que cela. Pour chacune d’entre elles, voici la conclusion obtenue lors de la présentation :

1. La cybersécurité, c’est l’association de personnes, de technologies et d’organisations
2. Les tests de phishing devraient être interdits car leurs mises en place et résultats ne sont pas basés sur des approches scientifiques
3. Les humains sont la solution la plus adaptable face aux nouveaux cyber-problèmes
4. Le piratage n’est qu’une compétence parmi d’autres
5. La réalisation d’une veille en Cybersécurité est très importante requiert des compétences en matière d’OSINT et de journalisme et est en fait un métier à part entière

Parmi ces différents points, certains ont mené à des débats lors du temps consacré aux questions / réponses. Par exemple, l’interdiction des tests de phishing semblait contre-intuitive, mais Sylvan s’est basée sur une étude de l’institut de recherche ETH Zurich qui démontre que les personnes ayant réalisé des tests de phishing semblent plus susceptibles de cliquer sur les liens de phishing que les autres.

Countdown to Y2Q – Quantum Readiness for Enterprise par Mark Carney

Q-day : le 14 avril 2030. Dans l’esprit collectif, cette date correspond au moment où les ordinateurs quantiques pourront être utilisés de manière concrète pour résoudre des problèmes complexes.

Le véritable Q-day ne sera pas nécessairement le 14 avril 2030 mais à l’approche de cette date, il convient de se questionner sur les impacts et les risques qui émergeront au début de l’ère des ordinateurs quantiques.
C’est justement le sujet que Mark Carney, plein d’énergie et récemment diplômé d’un doctorat en mathématiques, a choisi de présenter lors de sa conférence au Hack in Paris 2022.

Mark revient donc sur les risques qui affecteront la cybersécurité telle que nous la connaissons à l’avènement de l’ère quantique. 4 sujets principaux ont pu être abordés :

• Quantum Computing : Mark introduit de manière vulgarisée les 2 principaux algorithmes quantiques : Shor et Grover. Le premier va venir impacter les problèmes de factorisation de grands nombres premiers, et donc menacer la validité des chiffrements RSA et par courbes elliptiques (ECC) pour sécuriser nos données. Le second permet de réduire drastiquement l’espace de recherche de solutions à un problème et pourrait réduire l’efficacité des algorithmes de chiffrement symétrique tel qu’AES (vulgairement, utiliser AES256 reviendrait à utiliser AES128).
• Post-Quantum Cryptography : Il est ici question des futurs algorithmes cryptographiques qui viendront remplacer nos systèmes actuels. Le NIST est le principal acteur dans ces recherches.
• Quantum Key Distribution (QKD) : Mark souligne le fait que les avantages théoriques de ce genre de système (les mathématiques utilisées pour rendre un QKD sécurisé sont liées au système physique sur lequel le QKD est appliqué, rendant des attaques réseau classiques inefficaces) sont mis en valeur mais que les vulnérabilités connues et démontrées en laboratoire ne sont pas relayées et donc peu connues en dehors des experts (par exemple, aucune attribution de CVE ou équivalent)
• Uses of the Quantum Advantage : Même si les technologies quantiques vont « casser » nos systèmes actuels, elles pourront également être utilisées pour les améliorer. Par exemple, les générateurs de nombres aléatoires quantiques (QRNG) pourront être utilisés dans le domaine de la cryptographie et permettront d’offrir de l’aléa, de mesurer l’aléa mais aussi de détecter si un tiers essaie d’affecter la génération des aléas.

En conclusion Mark indique donc que le meilleur moyen de se protéger contre la révolution quantique est de s’éduquer à son fonctionnement et de se préparer à son arrivée en implémentant de la cryptographie agile (modèle de cryptographie permettant de modifier rapidement l’algorithme de chiffrement utilisé par un système).