Veille Technologique Sécurité - cert devoteam

More documents

Recommendations

Info

Avril 2001 C’est probablement pour cette raison que ce document restera une référence dans l’art et la manière de sécuriser (ou plus exactement renforcer) un système d’exploitation Windows 2000. Complément d'information http://www.systemexperts/com/win2k.shtml http://www.systemexperts.com/win2k/hardenW2K11.pdf TECHNIQUES CHALLENGE ARGUS SYSTEMS Description Le 5 ième défi initié par la société Argus Systems concernant son logiciel d'isolation 'PitBull' a été remporté par un groupe de 4 hackers Polonais. Dans son communiqué de presse, et contrairement aux habitudes, Argus fait le panégyrique du 'professionnalisme' ce groupe portant le doux nom de LSD, acronyme bien connu de … Last Stage of Delirium … Dans les faits, la lecture de ce communiqué de presse est d'autant plus intéressante que le rapport écrit par LSD, détaillant les principes mis en œuvre, n'est pas publiquement accessible pour des raisons déontologiques. L'analyse des événements à l'origine du succès de l'attaque menée par LSD proposée par Argus Systems est cependant suffisamment détaillée pour déterminer la vulnérabilité exploitée ! As a conscientious member of the security community, Argus owes a professional obligation to operating system vendors supporting the Intel x86 architecture - the most widely-deployed system architecture in the world. Via the LSD exploit, Argus has become aware of the vulnerability in the architecture and must notify system vendors and afford them an opportunity to take corrective action if necessary prior to Argus releasing the details of this exploit. Complete details will be delivered to the public domain as soon as our professional obligations have been satisfied. Notons qu'Argus Systems utilise ce communiqué pour exposer sa doctrine largement inspirée par le rapport 'The Inevitability of Failure: The Flawed Assumption of Security in Modern Computing Environments' déjà mentionné à propos de 'LINUX SE'. This successful exploit is concrete and dramatic validation of the message we have been trying to deliver to the market, namely: operating system security is absolutely mandatory in today's environment. Users cannot even dream of securing their sites without immediate and appropriate consideration of operating system security. Le défi lancé mi-avril consistait à acquérir des privilèges autres que ceux accordés au titulaire d'un compte licite. A cette fin, un certain nombre de comptes libres d'accès ont été ouverts par Argus sur un système Solaris x86 sécurisé par PitBull. En pratique, pour remporter ce défi, LSD a dû contourner la protection apportée par PitBull en attaquant au plus bas niveau, c'est à dire celui de la gestion de l'architecture du processeur INTEL par le noyau du système d'exploitation Solaris. Il semble que LSD ait adapté son attaque pour tirer parti d'un problème 'subtil' dans la gestion des descripteurs de contexte LDT (Local Data Table), problème ayant fait l'objet d'une alerte en environnement NetBSD. A subtle bug in validation of user-supplied arguments to a syscall can allow allow user applications on the i386 platform to transfer control to arbitrary addresses in kernel memory, bypassing normal system protections. Il s'agit probablement de l'alerte 'x86 USER_LDT validation' publiée en février 2001. Cette alerte n'a jamais fait l'objet d'une reprise dans un environnement autre que NetBSD et pourtant LSD vient de démontrer qu'au moins un autre système est vulnérable … Complément d'information http://www.argus-systems.com/events/infosec/#Rules http://www.lsd-pl.net/aboutus.html http://www.linuxsecurity.com/advisories/netbsd_advisory-1157.html ADMMUTATE Description L'annonce, en début de mois, de la disponibilité d'un outil permettant d'échapper aux mécanismes de détection d'intrusion (IDS) a fait l'effet d'une bombe dans la presse spécialisée provoquant une réponse 'laconique', voire 'fallacieuse', de la part de certains éditeurs. Le coupable est 'ADMMutate', une librairie développée par un hacker canadien, connu sous le pseudonyme de K2 (du nom d'un célèbre sommet de l'himalaya), membre du groupe ADM, groupe à l'origine de nombreux outils d'attaques 'remarquables' dont le vers ADMw0rm (Mars 1999). En pratique, 'ADMMutate' exploite une faiblesse inhérente à la génération actuelle des systèmes de détection d'intrusion: l'utilisation d'une stratégie basée sur la recherche d'une signature connue et invariante. A ce titre, et sans vouloir encenser la communauté des hackers, force est de constater que la polémique déclenchée autour de cet 'outil' aura permis de faire prendre conscience des limitations des produits d'IDS. Il est fort probable que de nouvelles stratégies d'analyses soient rapidement intégrées dans ces produits, reproduisant le phénomène constaté il Veille Technologique Sécurité N°33 Page 40/59 © APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001 y a quelques années avec les produits anti-virus. 'ADMMutate' permet de modifier la forme d'un code binaire (dit ShellCode) sans pour autant modifier ses fonctionnalités. En considérant qu'une grande partie des tentatives d'intrusion s'appuient sur une vulnérabilité de type 'débordement de buffer' nécessitant la transmission d'un code binaire destiné à être exécuté sur le système attaqué, un tel outil permettra d'échapper à la majorité des systèmes d'IDS utilisant une stratégie de recherche d'une signature. Cette stratégie de camouflage n'est pas nouvelle et il est étonnant qu'elle n'est pas été mise plus tôt sur la place publique. Utilisée depuis plus de 8 ans par les virus dits 'Polymorphiques', elle a conduit les éditeurs de produits anti-virus à devoir faire rapidement évoluer leurs produits comme nous le précisions précédemment. Quatre techniques sont ainsi employées dans le cadre de l'écriture de codes malicieux de type Virus: 1. Le réordonnancement de certaines fonctions commutatives: L'ordre d'exécution de certaines fonctions est indifférent. Les codes associés peuvent donc être déplacés. MOV EAX, EBX 89D8 MOV EAX, EBX 89CA MOV EDX, ECX 89CA MOV EDX, ECX 89D8 2. Le réordonnancement de la distribution du code: Les fonctions sont chaînées et peuvent être réordonnancées selon un processus bien spécifique. F1 (JUMP F2) F1 (JUMP F2) F2 (JUMP F3) F3 (JUMP F4) F3 (JUMP F4) F2 (JUMP F3) F4 (JUMP F5) F4 (JUMP F5) 3. L'utilisation d'instructions équivalentes: Les instructions utilisées sont modifiées par leurs équivalents logiques. La taille de l'instruction peut cependant changer MOV AX, 0 B80000 XOR AX, AX 31C0 MOV AX, 0 B80000 SUB AX, AX 29C0 ADD CX, #1 83C101 INC CX 41 4. Le chiffrement à clef aléatoire Les instructions utilisées sont chiffrées en utilisant une clef aléatoire modifiée à chaque génération et stockée en tant que données dans le code. La routine de chiffrement/déchiffrement pourra être dissimulée par utilisation des techniques précédentes A B C D F G H I J B C A D G F I H J APOGEE Communications - © B.VELLE A B C D F G H I J A C H I F B G D J APOGEE Communications - © B.VELLE Veille Technologique Sécurité N°33 Page 41/59 © APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE A := 0 APOGEE Communications - © B.VELLE B := B * 2 C := C + 1 IF D > 1 THEN A := A - A B := B
Page 1 and 2: APOGEE Communications Rapport de Ve
Page 3 and 4: Avril 2001 MICROSOFT 27 NCM 27 NETS
Page 5 and 6: Avril 2001 LES PRODUITS TELEPHONIE
Page 7 and 8: Avril 2001 LES TECHNOLOGIES SYSTEME
Page 9 and 10: Avril 2001 LES INFORMATIONS CERT IN
Page 11 and 12: Avril 2001 technologiques avec des
Page 13 and 14: Avril 2001 LES SERVICES DE BASE LOG
Page 15 and 16: Avril 2001 NORMES ET STANDARDS LES
Page 17 and 18: Avril 2001 Thème Nom du Draft Date
Page 19 and 20: Avril 2001 SIP draft-ietf-simple-im
Page 21 and 22: Avril 2001 IPv6, en l'absence d'une
Page 23 and 24: Avril 2001 FORMAT DE LA PRESENTATIO
Page 25 and 26: Avril 2001 Déni de service sur les
Page 27 and 28: Avril 2001 MICROSOFT Débordement d
Page 29 and 30: Avril 2001 WATCHGUARD Déni de serv
Page 31 and 32: Avril 2001 PGP Exposition de clé p
Page 33 and 34: Avril 2001 Reprise de l'avis CERT C
Page 35 and 36: Avril 2001 OpenBSD Disponibilité d
Page 37 and 38: Avril 2001 LINUX REDHAT Annonce de
Page 39: Avril 2001 MS00-098 Indexing Servic
Page 43 and 44: Avril 2001 GET /guest/default.asp/.
Page 45 and 46: Avril 2001 Une synthèse commentée
Page 47 and 48: Avril 2001 NC 6969 3149 3163 'del s
Page 49 and 50: Avril 2001 Microsoft(R) Windows NT(
Page 51 and 52: Avril 2001 12/26/00 07:10p New Fol
Page 53 and 54: Avril 2001 C:\Program Files\Common
Page 55 and 56: Avril 2001 12/15/00 07:05p 673 lrfp
Page 57 and 58: Avril 2001 11/26/00 12:34p 0 AUTOEX
Page 59: Avril 2001 Conclusion 1. Deux vague

Veille Technologique Sécurité - cert devoteam

Create successful ePaper yourself

Delete template?

Save as template?