Vers l'infini et au-delà...! (*): juillet 2009

dimanche 19 juillet 2009

Comment gérer les applications des clefs USB sur votre bureau?

English version

Cet article vous présente un petit outil gratuit appelé "USB Grabber" développé par Prox-IA.

Cet outil permet de faire apparaître sur le bureau de votre ordinateur les raccourcis de vos applications préférées se trouvant sur vos clefs USB. Lors de l'insertion d'une clef USB, "USB Grabber" crée un raccourci sur le bureau pour les applications que vous aurez configurées. "USB Grabber" permet également d'exécuter automatiquement cette application si vous le souhaitez. Il permet aussi de créer un raccourci vers n'importe quel autre type de fichier (.ppt, .pdf, .doc,...).

Lors du retrait de la clef USB, "USB Grabber" se charge d'enlever du bureau les raccourcis des applications se trouvant sur la clef USB retirée.

Cette outil a été developpé afin de faciliter l'accès aux applications "portables" des clefs USB dans des environnements où les "autorun" sont désactivés ou avec Windows 7 qui fait disparaître la fonctionnalité d' "autorun" (cf l'article du blog sur le sujet "Plus d'Autorun dans Windows 7...!").

"USB Grabber" a actuellement été testé sur Windows XP SP2, SP3 et Windows 7. Vos commentaires, remarques, suggestions pour améliorer cet outil sont les bienvenus. "USB Grabber" est actuellement en version anglaise. Si vous souhaitez une version dans une autre langue vous pouvez nous en faire part.

Pour installer "USB Grabber" vous pouvez télécharger le programme ICI. Puis vous pouvez extraire le contenu du fichier "rar" dans le répertoire de votre choix. Et enfin si vous le souhaitez vous pouvez créer un raccourci sur votre bureau pour "USB Grabber.exe" et configurer votre ordinateur pour lancer "USB Grabber" lors du "boot".

La première étape de l'utilisation de "USB Grabber" consiste à saisir un mot de passe de 8 caractères qui permet de protéger "USB Grabber" et ses données.

Pour des raisons de sécurité, le mot de passe est demandé au lancement de "USB Grabber" et lors de l'ajout, la suppression et la modification d'une application dans "USB Grabber".

Vous trouverez plus d'informations sur les applications que l'on peut installer sur une clef USB sur le site http://portableapps.com/

mardi 14 juillet 2009

PDF: attention danger!

Régulièrement nous recevons des "PDF" par mails ou nous les téléchargeons sur internet. Puis nous les ouvrons en toute confiance sans penser que la menace peut venir d'un tel fichier.

Et bien nous avons tort. La menace est aussi présente dans les "PDF". Adobe Reader et Adobe Acrobat sont actuellement sous les feux de la rampe mais bien entendu ce ne sont pas les seules applications à présenter des vulnérabilités.

Nous allons cependant nous intéresser aux "PDF" dans le cadre de cet article.

Le scénario est le suivant. Notre cible télécharge un "PDF" sur internet et l'ouvre. En l'ouvrant un canal est établi entre la cible et le pirate. Et le pirate dispose alors d'un accès à la cible grâce auquel il peut réaliser ce qu'il souhaite.

La vulnérabilité utilisée dans cette session a été découverte en Avril 2008 par Secunia Research (Référence CVE: CVE-2008-2992). Elle est causée par une mauvause gestion des limites dans la vérification des chaînes de caractères de la fonction javascript "util.printf()". Cette vulnérabilité peut être exploitée pour causer un débordement de la pile via un PDF spécialement conçu.

C'est ce que nous allons voir dans la vidéo ci-dessous:

C'est pour toutes ces raisons que je ne saurais trop vous conseiller de mettre à jour, non seulement votre OS avec les patchs fournis, mais également vos applicatifs comme Adobe Reader et les autres. Mettre à jour vos applicatifs, c'est intégrer les corrections des dernières failles de sécurité.

Vous trouverez un outil intéressant sur le site http://secunia.com/ pour vous tenir au courant des patchs de vos applicatifs (Secunia propose un outil à installer sur votre ordinateur pour scanner les applications installées et vous prévenir des mises à jour éventuelles).

A bon entendeur...!

dimanche 5 juillet 2009

Quand Metasploit joue au Keylogger!

Au travers de cet article nous allons découvrir que Metasploit permet aussi de faire du keylogging à distance.

L'attaque se passe en trois temps. La première étape consiste à exploiter une faille présente sur la machine cible (dans notre cas un Windows XP SP2). La faille choisit est la faille MS08-067.
La deuxième étape consiste à injecter la dll qui nous permettra de faire du keylogging sur le poste cible. La dernière étape consiste à exploiter cette faille en associant le keylooging aux processus qui fonctionnent sur la machine cible et que l'on veut surveiller. Dans le cadre de la vidéo nous associons notre keylogger aux processus "explorer.exe" et "winlogon.exe".

Afin de décrire en quoi consiste la faille MS08-067, vous trouverez ci-après un extrait du bulletin de sécurité Microsoft MS08-067 paru le 23 octobre 2008:

"Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le service Serveur. La vulnérabilité pourrait permettre l'exécution de code à distance si un système affecté recevait une requête RPC spécialement conçue. Sur les systèmes Windows 2000, Windows XP et Windows Server 2003, un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sans nécessiter d'authentification. Il serait possible d'utiliser cette vulnérabilité dans la création d'un ver. Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les ressources réseau contre les attaques lancées depuis l’extérieur de l’entreprise.

Il s'agit d'une mise à jour de sécurité de niveau « critique » pour toutes les éditions prises en charge de Windows 2000, Windows XP, Windows Server 2003 et de niveau « important » pour toutes les éditions prises en charge de Windows Vista et Windows Server 2008."

Pour information les bulletins de sécurité de Microsoft peuvent être consultés à l'adresse suivante: http://www.microsoft.com/france/technet/security/bulletin/default.mspx

Sur ce site vous avez la possibilité de vous abonner aux newsletters et alertes Sécurité Microsoft.

Pour ceux qui ne sont pas familier avec les processus de Windows, l'explorateur Windows ("explorer.exe") est l'application utilisée dans le système d'exploitation Windows pour l'affichage, l'exploration et l'utilisation des fichiers et répertoires.

Quant à "winlogon.exe", c'est un composant de Windows qui gère l'ouverture et la fermeture de session, et le "Ctrl-Alt-Delete".
En particulier, il charge le profil d'un utilisateur après qu'il se soit authentifié, et il gère l'écran de veille.

Vous trouverez ci-dessous la vidéo de l'exploit:

D'une manière générale pour éviter d'être la cible de ce type d'attaque vous devez avoir un pare-feu personnel mis à jour.

Bien entendu votre pare-feu peut lui même être la cible d'attaque afin de vous laisser croire qu'il contrôle la situation alors qu'il a été désactivé. Mais ceci est une autre histoire...!

L'objectif principal de ce blog est de sensibiliser les étudiants, les développeurs et les décideurs à la sécurité: des applications web aux clefs USB. Cette sensibilisation passe par la présentation d'outils et des scénarii d'attaques les plus communément utilisés. Ce blog traite également de la sécurité "appliquée" à notre vie de tous les jours et autres sujets connexes.

Bien entendu l'usage des informations présentes dans ce blog doit uniquement se faire dans un cadre "éthique".

Note: les opinions, les prises de position et le contenu de ce blog n'engagent que son auteur, et ce, à titre personnel seulement. En d'autres termes, le contenu du blog ne représente aucunement la position officielle de mon employeur.

Vers l'infini et au-delà...! (*)