Suite et fin de l’édition 2012 de la conférence CanSecWest:
Unveiling LTE Security – Dr. Galina D. Pildush, Juniper
Réveil difficile après Tronapalooza 2 au son des réseaux mobiles de demain. Dr. Pildush présente les principaux risques liés aux nouvelles infrastructures et systèmes de communications mis en place par cette nouvelle technologie. Elle insiste que pour sécuriser les données sur ces réseaux, il est nécessaire que l’opérateur, le constructeur et l’utilisateur final allient leurs efforts.
Vulnerability Analysis and Practical Data Flow Analysis & Visualization – Jeong Wook Oh, Microsoft
Le but de cette présentation est d’expliquer l’une des méthodes permettant à partir d’un fichier déclenchant une vulnérabilité et du fichier source, de retrouver le code responsable de la vulnérabilité.
Jeong Wook Oh explique les limitations d’une simple analyse d’un flux de données et propose d’utiliser une analyse différentielle de ce flux, ainsi qu’une analyse différentielle du flux de contrôle. L’idée étant de regarder comment un programme diffère lors d’une exécution “saine” et d’une exécution malicieuse.
Le flow d’exécution du processus est tracé lors de l’ouverture des deux fichiers et les résultats sont comparés pour trouver les instructions qui diffèrent (cf. article sur l’in-memory fuzzing dans MISC#48). Une fois les instructions identifiées, le data tainting est utilisé afin de tracer l’origine des valeurs contenues dans les registres impliqués.
Une démonstration de la technique est effectuée en analysant la faille CVE-2011-2462 du logiciel Acrobat Reader qui permet de retrouver l’origine de la faille dans le code du programme.
Playing with Network Layers to Bypass Firewalls’ Filtering Policy – Eric Leblond
La présentation démontre comment utiliser des propriétés des protocoles comme FTP et IRC dans le but de créer des ouvertures dans un firewall. Une attaque impliquant une machine interne forgeant des paquets contenant les commandes FTP/IRC en spoofant l’adresse IP du serveur, pour ouvrir d’autres ports depuis l’externe, est démontrée.
Les attaques montrées ciblent le logiciel Netfilter, mais a également été démontrée sur des implémentations non sécurisées de Checkpoint. A savoir que si la protection contre l’IP Spoofing n’est pas activée, un firewall Checkpoint est vulnérable à ce type d’attaque.
New Threat Based Chinese P2P Network – Jun Xie McAfee Labs
Présentation du réseau P2P chinois Xunlei, aussi connu sous le nom de Thunder Network, ainsi que de plusieurs vulnérabilités l’affectant, dont notamment la possibilité de voir l’historique des fichiers téléchargés par un utilisateur ou encore la possibilité d’effectuer une attaque DDoS passive en enregistrant des fausses données au sein du réseau. L’idée étant d’amener un maximum d’utilisateur à télécharger un fichier inexistant sur un site ciblé afin de le faire tomber de manière anonyme.
Scrutinizing a Country using Passive DNS and Picviz – Sebastien Tricaud and Alexandre Dulanoy
Les deux chercheurs ont fusionné des recherches sur le Passive DNS ainsi que la visualisation de données en masse afin de permettre l’analyse de noms de domaines malicieux. Leurs recherches ont permis entre autre de découvrir que Google trace les requêtes DNS des gens en insérant leur adresse IP au sein des réponses DNS de leurs serveurs.
The WOW Effect – Christien Wojner
Une dernière conférence fort intéressante pour clore CanSecWest2012 sur les aléas de l’utilisation de programmes 32 bits sur une plateforme Windows 64 bits. WOW, ou Windows on Windows est une technique implémentée par Microsoft permettant de faire tourner des logiciels 32 bits sur un OS 64 bits. L’idée est qu’un répertoire %WINDIR%SysWOW64 va contenir les fichiers 32bits nécessaires aux applications 32bits (Il s’agit d’une copie du répertoire System32, qui lui contient les fichiers 64bits…). Les problèmes surgissent lorsqu’on veut analyser des fichiers se trouvant dans le répertoire System32 de Windows. En effet, si l’on prend par exemple IE qui par défaut se lance en 32 bits et que l’on veut envoyer un fichier du répertoire System32 vers VirusTotal pour analyse, il se trouve que le fichier réellement envoyé est celui se trouvant dans le répertoire SysWOW64. Il paraitrait qu’au moins un logiciel anti-virus est compilé en 32bits et de ce fait ne peut pas scanner le réel répertoire System32. Le présentateur prétend par contre qu’il ne sait pas de quel anti-virus il s’agit.
Résultats Pwn2Own et Pwnium
Cette année, les règles de la compétition Pwn2Own ont changé afin de permettre une compétition plus équitable, mais au final cela semble avoir simplement découragé certaines personnes de participer. Ainsi, seules deux équipes ont pris part au concours, et c’est l’équipe française de VUPEN Security qui l’a emporté en présentant un 0day sur Chrome et un autre sur IE. La deuxième équipe a quant à elle présenté un 0day sur Firefox.
Pour ce qui est de Pwnium, deux personnes ont présenté des 0days distincts pour Chrome et sont chacun repartis avec 60’000$ de prix.
Il faut noter qu’il y a eu un peu de tension entre les deux compétitions, surtout dû au 0day de VUPEN présenté sur Chrome. Les organisateurs des deux compétitions n’étant pas d’accord sur l’origine de la faille présentée.
Alain & Julien