XMCO était partenaire de l’édition de la SHTack 2018 à Bordeaux. Cette édition s’est tenue pour la première fois à la cité du vin le 14 septembre 2018.
Nos consultants ont assisté aux différentes conférences et vous présentent un résumé de celles qui ont retenu leur attention. Le résumé de l’ensemble des conférences auxquelles nous avons assistées sera disponible dans le prochain numéro de l’ActuSécu.
AFL, QBDI ET KSE SONT SUR UN BATEAU… Par GABRIELLE VIALA
La présentation de Gabrielle Viala a porté sur un composant du kernel Windows, le KSE (Kernel Shim Engine). Peu de chercheurs semblent s’intéresser à ce composant peu connu. En effet, le KSE permet de gérer les « shim », des mini bibliothèques permettant d’intercepter les appels d’API.
Malgré la volonté de Microsoft de renforcer la sécurité de ce composant, il est toujours possible d’intercepter les appels et de modifier le comportement de ces drivers sans invalider leur signature ou de déclencher des mesures de sécurité.
Le fait que le KSE soit initialisé au boot de la machine fait qu’il ouvre des vecteurs intéressants au niveau de la persistance.
Malheureusement, le fuzzing de ce genre de composant pose des problèmes de stabilité et de rapidité.
La conférencière nous a expliqué son approche peu conventionnelle et peu optimisée pour rechercher des vulnérabilités au sein de ce composant du noyau Windows. En effet, elle commence par porter cette fonctionnalité kernel vers le userland Windows, puis elle porte ce résultat vers Linux.
Une fois ces opérations terminées, elle a pu fuzzer à l’aide de l’outil American Fuzzy Lop (AFL). Les résultats ont ensuite été analysés via framework Data-Based Individualization (DBI).
INTRODUCING THE OWASP ZAP HUD Par SIMON BENNETTS
Simon Bennetts, développeur chez Mozilla, nous a présenté une nouvelle fonctionnalité du proxy OWASP ZAP.
Pour rappel, ZAP est un produit gratuit et open source, utilisé pour faire des audits de sécurité.
Ils ont travaillé sur l’outil dans le but de rendre son utilisation plus conviviale. Pour cela ils ont implémenté un “Heads Up Display (HUD)” permettant d’utiliser toutes les fonctionnalités du proxy sans quitter la page du navigateur Web.
Le HUD est encore en beta, il permettra d’éviter les aller et retour entre le logiciel de proxy et le navigateur web.
Le HUD est sous la forme de HTML/JS/CSS injecté dans les pages visitées et permettra d’accéder à toutes les fonctions du proxy telles que :
- Les fonctionnalités pour rejouer les requêtes dans le proxy ou dans le navigateur
- L’accès à l’historique des requêtes
- L’accès à l’arborescence de l’application web
- L’activation des champs cachés
- L’activation du mode “Attaque”
- Etc …
Ce nouveau module est personnalisable. Un auditeur peut développer ses propres fonctionnalités et modifier l’apparence du HUD.
Le HUD est déjà fonctionnel, mais la version bêta souffre de bugs lors de l’utilisation sur plusieurs onglets du navigateur. Une fois corrigé, l’outil sera mis à disposition des internautes.
PWNER PWNED par LIONEL BIAMI
Lionel BIAMI a travaillé sur l’exploitation d’une vulnérabilité de type RCE dans les versions inférieures à 3.5.1 du logiciel Cobalt Strike.
Pour rappel, Cobalt Strike est un outil utilisé dans les tests d’intrusion de type « Red Team », et les audits de sécurité.
Lors de son fonctionnement normal, Cobalt Strike nécessite d’être lancé avec les droits root.
Cobalt Strike permet d’envoyer des « beacon », l’équivalent des payload sous Metasploit, pour prendre le contrôle d’une machine vulnérable via des communications chiffrées.
La vulnérabilité permet à une victime de reprendre le contrôle lorsqu’un pirate lance une attaque à son encontre.
L’attaque se déroule de la manière suivante :
- L’attaquant envoie un beacon auprès de la machine de la victime
- La victime reçoit la clé de chiffrement publique lors du ping du beacon
- Grâce à cette clé, la victime envoie une notification auprès du serveur de contrôle (machine de l’attaquant)
- Les notifications sont sauvegardées sur la machine de l’attaquant au sein du répertoire suivant : /Downloads/@IP/C:/
/ mais l’adresse IP envoyée par la victime n’est pas vérifiée par Cobalt Strike - Une victime peut donc sortir de ce dossier en envoyant une adresse IP contenant les caractères “../” et télécharger des fichiers de son choix sur la machine de l’attaquant
- La victime peut alors obtenir un reverse shell sur la machine de l’attaquant
