11 décembre 2019

Black Hat 2019 – Retour sur cette 19e édition

La conférence Black Hat Europe réunit chaque année plus de 2000 passionnés en sécurité des systèmes d’information à Londres, et cette année ne fait pas exception. Que ce soit pour avoir accès à des formations techniques, des conférences sur les dernières avancées en recherche dans tous les domaines de la sécurité ou encore pouvoir agrandir son réseau professionnel, les raisons sont nombreuses pour venir à cet événement qui fait parler de lui de par sa taille ainsi que l’expertise des intervenants.

Voici un résumé des conférences qui nous ont le plus marqués :

HTTP Desync Attacks – Request smuggling reborn (Par James Kettle)

Cette conférence a été présentée par James Kettle, directeur de recherche en sécurité chez Portswigger (Entreprise derrière BurpSuite). Il nous explique qu’un type d’attaque théorique avait été présenté il y a presque 15 ans à la DefCon, appelé le Request Smuggling, mais que personne ne s’était suffisamment intéressé au sujet pour arriver à des attaques pratiques et réelles à cause de sa nature dangereuse et compliquée. La conférence à laquelle il fait référence est la suivante : https://www.cgisecurity.com/lib/HTTP-Request-Smuggling.pdf

Pour comprendre cette attaque, il est nécessaire de comprendre comment fonctionne le protocole HTTP lorsque des requêtes passent par des proxys (typiquement, des load-balancers) :

Ce type de configuration et le fait que le Front End (FE) et le Back End (BE) ne gèrent pas forcément les requêtes divisées en « chunks » (morceaux en français) de la même manière introduit l’attaque « request smuggling ». En effet, cela est dû au fait que la requête va être interprétée de manière différente par le FE et le BE.

De cette manière, il est possible d’introduire de nouvelles requêtes non interprétées par la première ligne de défense qu’est le FE :

Dans l’exemple ci-dessus, l’attaquant parvient à effectuer une requête vers la page admin alors que celle-ci n’est normalement pas accessible. Cette attaque est expliquée plus en détail ici.

James finit cette explication en montrant des cas d’études ou il a exploité cette vulnérabilité avec une méthodologie qu’il a développée et a remporté plus de 80K$ de récompenses.

Les vulnérabilités qu’il a exploitées avec cette technique sont les suivantes :

  • Injection JavaScript (XSS)
  • Chaining CDN
  • Web cache Poisoning
  • Web Cache Deception++

La dernière exploitation est surement la plus impressionnante. En effet, cette dernière pourrait permettre de récupérer les mots de passe des utilisateurs en clair sur le site de PayPal et lui permet de gagner prêt de 20K$ deux fois de suite.

Plus d’informations sur ces nombreuses exploitations ici : https://portswigger.net/research/http-desync-attacks-request-smuggling-reborn

Vidéo de la présentation à la DefCon 2019 : https://www.youtube.com/watch?v=w-eJM2Pc0KI

Slides de la présentation a la Black Hat EU 2019 : https://i.blackhat.com/eu-19/Wednesday/eu-19-Kettle-HTTP-Desync-Attacks-Request-Smuggling-Reborn.pdf

Simple Spyware: Androids Invisible Foreground Services and How to (Ab)use Them – (par Thomas Sutter)

Thomas Sutter, un étudiant et assistant chercheur scientifique à l’université de Zurich (Zürich University of Applied Sciences), nous montre comment il est possible de faire un logiciel-espion (spyware) simplement sur les dernières versions d’Android.

Sa présentation commence avec une vidéo montrant le lancement d’une application sur son téléphone avec une interface simple :

Ensuite, l’application est fermée et enlevée de l’arrière-plan. Ainsi, elle ne devrait plus avoir accès à l’appareil photo ou à la localisation. Néanmoins, Thomas nous montre que l’application a bien pris des photos lorsqu’elle était fermée.

Thomas continue sa présentation en expliquant que cela est possible avec la dernière version d’Android également, malgré la nouvelle option d’Android 10 permettant à l’utilisateur de choisir lorsque l’application autorise un accès a une permission (ici, la localisation) :

Il est important de noter qu’afin que l’application puisse espionner, il est nécessaire d’accepter les autorisations de l’application en premier lieu (ici, la localisation).

Pour ce faire, l’application malveillante définit un « Job scheduler» afin de faire tourner les autorisations en arrière-plan (l’alarme manager permet également de faire ça) même si on ne l’a pas autorisé :

Il est également possible de contourner la limitation d’intervalle de 15 minutes entre chaque appel de la fonction, car le nombre de « Job » créé n’est pas limité.

Cependant, il y a normalement une notification que l’on ne peut pas enlever indiquant l’utilisation des services dits sensibles comme la localisation, car ceux-ci sont des services en premier plan :

Il est possible d’enlever simplement ce genre de notification grâce à une fonction utilisée avant les 5 secondes nécessaires pour que la notification apparaisse :

En conclusion, nous avons vu qu’il est possible en manipulant l’API Android de contourner les limitations mises en place par Google afin d’utiliser certaines permissions de manière malveillante.

Le code de son application ainsi que le contenu de sa présentation est disponible ici : https://github.com/7homasSutter/SimpleSpyware

Enfin, la CVE associée est la suivante : CVE-2019-2219

Mobile network hacking – All-over-IP edition – (par Luca Melette et Sina Yazdanmehr)

Luca, chercheur en sécurité chez SRL (Security Research Labs), nous présente ses trouvailles sur les vulnérabilités trouvées dans le protocole RCS (Rich Communication Services), mis en place récemment par Google afin de remplacer les SMS/MMS et appels. Ce protocole, utilisant HTTP et SIP, ressemblerait à des applications telles que Whatsapp, ou iMessage au niveau des fonctionnalités. Nombreux sont les grands opérateurs ayant déjà déployé cette technologie dans le monde dans plus de 67 pays :

Ensuite, Luca nous parle des attaques déjà existantes sur mobiles, qu’il a catégorisées en 5 classes et en décrit les détails des attaques :

Les attaques décrites ici sont catégorisées de la manière suivante :

  • Interceptions des appels et SMS
  • Usurpation d’identité
  • Traçage des utilisateurs
  • Fraude
  • Déni de service

En comparant à ces anciennes technologies, il nous explique que RCS présente des vulnérabilités similaires :

Comme on peut le voir, les 4 premières catégories d’attaques ne requièrent pas d’informations sensibles de la victime. On peut voir que sans information préalable il est possible de :

  • Suivre les utilisateurs
  • Usurper leurs identités
  • Modifier le trafic sur un réseau local
  • Faire du Déni de service (DoS)

Avec l’accès au fichier de configuration RCS ou via la configuration DNS, il est possible d’intercepter les messages et faire des attaques d’Homme du Milieu. Voici les méthodes possibles trouvées afin de conduire ce genre attaque :

Quelques-unes des attaques sont présentées avec des vidéos, telles que l’usurpation d’identité d’un utilisateur, l’interception de messages où un message est modifié (L’adresse PayPal de l’attaquant est insérée à la place de celle de la victime), le vol de fichier de configuration SIP via XSS, et enfin le vol d’un compte Google avec l’interception de l’OTP :

Pour conclure sur cette présentation, des attaques déjà existantes sur des technologies telles que SS7 ou encore la 2G (Edge) ont été retrouvées dans RCS. Bien que toutes les implémentations de RCS testées n’étaient pas vulnérables à toutes ces attaques, les chercheurs ont été étonnés de voir autant de vulnérabilités pour un protocole implémenté récemment, et non sans raison.

Slides : https://i.blackhat.com/eu-19/Wednesday/eu-19-Yazdanmehr-Mobile-Network-Hacking-IP-Edition-2.pdf

Article : https://srlabs.de/bites/rcs-hacking/

Cette édition de la Black Hat, regorgeant de conférences plus intéressantes les unes que les autres, de présentations d’outils en tout genre (Arsenal), et bien plus encore (conférences sponsorisées, stands d’entreprises, social event), aura une nouvelle fois été une réussite. Seul bémol pour une conférence victime de son succès, le nombre de présentations en parallèle (plus de 4 en même temps) qui empêchent les curieux d’en apprendre plus. Dans tous les cas, la qualité étant au rendez-vous, la Black Hat Europe a de beaux jours devant elle.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *