Conf Archives - Page 6 sur 6

Comme chaque année depuis 2003, la conférence SSTIC vient de se terminer à Rennes.
Cette édition s’inscrit dans la continuité des précédentes, avec toujours un contenu technique de très haute qualité. Cette année apporte également son lot de nouveautés:

Les actes au format ePub (en plus du traditionnel PDF).
Le streaming en direct de la conférence. On peut espérer que les vidéos seront prochainement disponibles en ligne, car elles ont été archivées !

Difficile de résumer 3 jours de conférence et d’échanges informels (probablement la partie la plus dense de l’évènement !) en quelques lignes. D’autant que cette année, toutes les conférences étaient globalement très opérationnelles et pédagogiques, avec du contenu exclusif (ce qui est plutôt rare dans les conférences de sécurité).

Windows et Active Directory sous les feux de la rampe

Active Directory a incontestablement dominé la première matinée, avec la présentation croisée de deux outils d’investigation Open Source: BTA (développé par Airbus Group Innovations – ex. EADS Innovation Works) et un outil de l’ANSSI qui sera prochainement disponible.

Le premier outil permet de scripter en Python la recherche de backdoors « connues » (comme les modifications de l’objet AdminSDHolder présentées l’année dernière à SSTIC). C’est une sorte de Sysinternals Autoruns de l’Active Directory – il extrait l’information utile mais ne dispense pas d’une analyse humaine.

Le deuxième outil permet d’établir les chemins implicites permettant d’arriver à un objet donné (en général un compte Admin de Domaine). Il est facile de vérifier « à la main » si un compte est membre du groupe « Admins du Domaine ». Par contre comment identifier un compte qui peut modifier une GPO appliquée au poste de travail d’un administrateur de domaine ? Voire des scénarios plus compliqués ?

Ces deux outils sont parfaitement complémentaires l’un de l’autre. De plus ils fonctionnent « offline » sur une copie de la base Active Directory, donc sans impact sur la production.

Kerberos is dead, baby

Une présentation d’Aurélien Bordes sur l’implémentation Kerberos de Microsoft a fini d’achever la première matinée. Le rôle de 3 comptes Windows bien souvent délaissés par les pentesters a été explicité:

Le mot de passe du compte « krbtgt » est le secret principal du domaine ; il permet de falsifier un TGT (Ticket Granting Ticket) et donc de créer des tickets de service pour n’importe quelle ressource avec n’importe quel droit. Pas de chance: ce mot de passe ne change jamais !
Le mot de passe du compte machine (de la forme « MACHINE$ ») permet de falsifier un ticket de service valable sur cette machine sous n’importe quelle identité avec n’importe quel droit.
Le mot de passe permettant d’établir les relations d’approbation inter-domaines (de la forme « DOMAINE$ » permet également de falsifier des tickets pour le domaine cible.

Les conclusions sont sans appel:

La frontière de sécurité est la forêt, pas le domaine.
En cas de compromission, il est nécessaire de changer tous les mots de passe deux fois. Y compris le compte « krbtgt » et tous les comptes machines. Bon courage !

Vivement une implémentation de ces attaques dans Mimikatz !

Rump sessions

Difficile de résumer une trentaine de rump sessions (présentations de moins de 3 minutes) tant l’information était concentrée. S’il ne faut en retenir que trois:

Démo de l’ANSSI sur la transmission de données entre un iPhone et un PC sur un canal ultrason.
Aurélien Bordes a démontré que les entrées de calendrier Exchange marquées comme « privées » … ne le sont pas vraiment. Et c’est documenté dans MSDN.
Aurélien Francillon a reparlé de ses travaux sur les backdoors dans les disques durs … pour dire que la NSA avait déjà industrialisé la technique en 2008 ! Il a également présenté son programme de recherche systématique des backdoors dans les firmwares – qui a découvert la même backdoor dans le firmware de plusieurs caméras IP provenant de constructeurs différents !