dimanche 11 juillet 2010

Le “kriegspel” adapté au MITM

Selon les experts en sécurité, une attaque réussie est composée d’un peu de code et d’un protocole d’attaque. Dans cet article nous allons nous intéresser au protocole d’attaque dans le cadre d’une attaque MITM (Man In The Middle).

Comme vous le savez tous, une attaque MITM en HTTPS génère un warning dans le navigateur de la cible car l’autorité de certification qui a généré le certificat du serveur ne fait pas partie des autorités de certification de confiance stockées dans le navigateur.

Notre protocole d’attaque consiste donc à insérer le certificat de l’autorité de certification utilisée par le pirate dans le navigateur de la cible. Si notre attaque réussit alors notre pirate pourra réaliser son MITM sans que le navigateur de la cible ne le détecte.

Dans ce qui suit nous faisons l’hypothèse que l’attaquant est en contact direct avec la cible. Il va ainsi pouvoir exécuter le code malicieux permettant de stocker le certificat de l’autorité de certification “pirate”.

Les moyens à la disposition du pirate peuvent s’appuyer sur une clef USB, un CD ou un DVD (si l’autorun n’est pas désactivé sur le poste de la cible) ou sur le partage d’une application embarquant notre code malicieux (un jeu, un utilitaire,…) via une clef USB, un CD ou un DVD (cf l’article La clef USB: le maillon faible ?)

Voici le code permettant de stocker le certificat de l’autorité de certification:


ScreenShot006

Le code permet de:

  • couper le son sur la machine cible pour éviter les bips puis le réactiver en fin de traitement
  • stocker le certificat de l’autorité de certification du pirate
  • confirmer automatiquement le chargement du certificat en cliquant “Yes” sur la fenêtre '”Security Warning”
  • désactiver momentanément l’écran pour dissimuler les interactions (code actuellement en commentaires car cette option semble ne pas fonctionner pour toutes les configurations). L’option choisie dans l’implémentation courante consiste à détourner l’attention de la cible durant les quelques secondes nécessaires à l’opération

Le code utilise AutoIt, un langage de script qui permet d’interagir avec les pop-up générés par les applications ou le système d’exploitation. Le code a été testé sur Windows XP SP3.

Ce code fonctionne bien entendu quel que soit les droits de l’utilisateur (“Users” ou “Administrators”).

En conclusion, une attaque ciblée combinant le social engineering et un peu d’imagination a une très forte probabilité de réussir. Alors, prudence…!


Tags:

del.icio.us Tags: ,
Technorati Tags: ,
BuzzNet Tags: ,

Aucun commentaire:

Enregistrer un commentaire

Partager avec...