Archives mensuelles : mars 2015

Ange Albertini – Funky File Formats

Funky File FormatsDans cet épisode, Ange Albertini  qui est l’auteur de Corkami, nous explique quelles sont les problématiques liées au formats de fichiers (En référence à sa conférence du Chaos Computer Club 2014)

Après avoir suivi cette conférence, vous ne verrez plus vos fichiers de la même façon… 🙂

 

définition des termes abordés dans cet épisode  :

    • Fichier polyglotte : C’est un même fichier qui est valide pour des formats différents. Par exemple un fichier image qui peut donc être visualisé et qui est aussi un fichier jar (que l’on peut donc exécuter). Il existe plusieurs types de types de fichiers polyglottes :
    • Fichier polyglotte en mode « simple » : C’est une concaténation de fichiers
    •  Fichier polyglotte en mode « parasite » : C’est un fichier qui contient un autre type de fichier
    • Fichier polyglotte en mode « mille-feuilles » : Les couches sont alternées en contrôlant la structure interne du fichier. Par exemple, pour CorkaMix (https://code.google.com/p/corkami/wiki/mix?show=content), voici les couches (dans l’ordre) alors qu’il n’y a qu’un seul ‘fichier’ de chaque type:

Fichier Polyglotte en mode mille-feuilles

      • Fichier polyglotte en mode « chimère » : Un corps (données) et plusieurs têtes. Vu que plusieurs formats utilisent le même algorithme pour stocker les données, tel que Deflate de Zlib, le même bloc de données est utilisé par des entêtes différents. (par exemple, les pixels d’une image).  Plusieurs entêtes sont présents pour que cette image soit visible via plusieurs formats (jpg, png, ..), au sein du même fichier.​
  • Fichiers schizophrènes : Un seul type de fichier, mais contenu affiché différent (interprétation de la structure différente en fonction de l’outil qui exécute ou qui accède à ce fichier). exemple :

Fichier Schizonphrène

  • Angecryption : Le résultat d’un chiffrement ou d’un déchiffrement d’un fichier donne un autre fichier valide de même type ou de type différent

Ci-dessous, une illustration d’un fichier polyglotte (en haut à gauche), qui est à la fois un fichier image et un fichier jar (exécutable).  Lorsque ce fichier est chiffré (ou déchiffré), le résultat de cette opération donne des fichiers de différentes natures (angecryption)

NolimitSecu - Funcky File Formats

 

Les slides, la video et les POCs sont disponibles ici

Un grand merci à Ange pour sa participation à cet épisode et pour son aide à la rédaction des définitions ci-dessus.

 

 

Les Réserves Citoyennes Cyberdéfense

reserve citoyenne cyberdenseProposée comme mesure dans le rapport Cyberdéfense du Sénateur Bockel de juillet 2012, la Réserve Citoyenne Cyberdéfense (RCC) a été mise en place dès la fin 2012.

Aujourd’hui organisée en groupes thématiques, elle vise à sensibiliser les différents acteurs liés à la Cyberdéfense. Elle rédige par exemple des fiches thématiques et participe à des colloques où elle présente les nouveaux enjeux.

La RCC renforce en parallèle le lien Armée-Nation.

Dans la continuité de cette réserve citoyenne, une réserve opérationnelle est en cours de constitution. Elle permettra de mobiliser rapidement des ressources formées et adaptées en cas de nécessité (attaque informatique massive contre la France).

Chaque membre de la RCC est bénévole et s’exprime à titre personnel. Il n’est pas mandaté pour porter une propos officiel sur la RCC.

Plus d’information :

mimikatz

mimikatz_stickerDans cet épisode, nous recevons Benjamin Delpy qui est l’auteur de Mimikatz.

Nous parlons des différentes problématiques de sécurité mises en évidence avec mimkatz. Nous abordons également la problématique de la vulnérabilité ms14-068 qui permet à un attaquant de faire une escalade de privilège pour obtenir les droits de l’admin du domaine.

Afin de limiter les risques associés à ces sujets, il convient  de suivre les recommandations suivantes : https://technet.microsoft.com/en-us/security/dn920237

En synthèse :

– Ouvrir sa session et utiliser ses applications en tant qu’utilisateur standard

– Faire en sorte d’utiliser les droits d’administration les plus restreints possible

– Ne pas permettre les comptes locaux de se connecter via le réseau

– Quand vous travaillez avec un compte qui utilise les plus hauts niveaux de privilèges, ne travaillez pas à travers le réseau et configurez LSA pour limiter les risques https://technet.microsoft.com/en-us/library/dn408187.aspx

– Fermez complètement vos sessions plutôt que de simplement vous déconnecter.

– Deployer de l’authentification en mode « silos » et renforcer les silos sensibles en faisant en sorte que certains services ne soient accessibles qu’à partir de certaines machines https://technet.microsoft.com/library/dn486813.aspx

– Vos mots de passe sont comme vos sous-vêtements :  changez-les souvent, ne les prêtez à personne et ne les laissez pas trainer !

mot de passe - sous vetements

Liste des recommandations *techniques* Microsoft:
https://technet.microsoft.com/library/dn518179.aspx

http://blogs.technet.com/b/enterprisemobility/archive/2014/12/03/improve-security-with-identity-management-password-hashing-and-reports.aspx

En ce qui concerne ms14-068, voici le patch à appliquer ABSOLUMENT ! :

https://support.microsoft.com/kb/3011780

Si vous ne pouvez pas installer ce patch dès maintenant, je vous recommande de vous tourner vers des solutions qui permettent  de faire du virtual patching

 

Super Fish

SuperFish

SuperFish est le nom de l’autorité de certification qui est installée par défaut sur les machines Lenovo. Cette autorité de certification associée à d’autres composants logiciels permet d’inspecter les flux HTTPS de l’utilisateur et d’ajouter des publicités sans que des alertes SSL ne soient levées.

Pourquoi est-ce vraiment problématique ?

Parce que la clé privée de l’autorité de certification est disponible dans le kit de développement et que le mot de passe protégeant cette clé a été craqué. Par conséquent, un attaquant peut :

– Générer un certificat pour un n’importe quel nom de serveur et ce certificat sera « trusté » par le navigateur de la cible . Cela rend les opérations de fishing plus faciles pour les attaquants

– Cela peut également permettre à un attaquant de réaliser une attaque de type « man in the midle » sans que des alertes ssl ne soient présentées à la cible.

Pour supprimer toutes traces de superfish sur votre machine :

http://support.lenovo.com/en/product_security/superfish_uninstall