Septembre / Octobre 2024

Misc 135

Sécurité des hyperviseurs : surfaces d’attaques & vulnérabilités

  • Concepts fondamentaux de la virtualisation
  • Analyse des surfaces d’attaque exposées
  • Exemples de vulnérabilités avec VMware Workstation et QEMU
En savoir plus

12,63 € TTC

Anciens Numéros

LIVRAISON OFFERTE en France Métropolitaine à partir de 50€
Misc 136

Misc 136

Novembre / Décembre 2024
14,59 €
Misc HS 30

Misc HS 30

Octobre / Novembre 2024
14,59 €
Misc 135

Misc 135

Septembre / Octobre 2024
12,63 €
Misc 134

Misc 134

Juillet / Août 2024
12,63 €
Misc HS 29

Misc HS 29

Juin / Juillet 2024
14,59 €
Misc 133

Misc 133

Mai / Juin 2024
12,63 €
Misc 132

Misc 132

Mars / Avril 2024
12,63 €
Misc HS 28

Misc HS 28

Février / Mars 2024
14,59 €
SOMMAIRE :

Pentest

p. 06   SCCM : Some Credentials Could be Mine
p. 18   Maîtriser l’instrumentation de code des applications Android

Exploit

p. 28   Introduction à la sécurité des hyperviseurs

Malware

p. 42   Malwares à la chaîne
p. 52   Chaîne d’infection de Rhadamanthys

Système

p. 66   OpenBSD : réduire la surface d’attaque avec pledge(2)

Réseau

p. 74   Authentification des courriels : retour d'expérience d’une implémentation « réussie » de DMARC en entreprise 

EDITO :


Suis-je surveillé ? Mon téléphone et mes données sont-ils compromis ? Ai-je la possibilité de le vérifier par moi-même ? Sans être omniprésentes, ces questions me passent régulièrement par la tête au gré de l’actualité, et des dernières vulnérabilités affectant les appareils que j’utilise au quotidien.

Le sujet de la surveillance numérique n’est bien entendu pas nouveau, mais il a évolué techniquement pour s’adapter à notre utilisation massive du chiffrement des communications de bout en bout. Ainsi, intercepter du trafic, sur Internet ou via des IMSI catchers, devient de moins en moins intéressant, seules quelques métadonnées étant encore visibles. Pour surveiller efficacement, il faut donc être au plus proche des utilisateurs, et cela implique de compromettre leurs appareils, ou d’accéder directement à leurs comptes.

La plupart de nos contenus et leurs accès sont désormais centralisés dans le cloud chez une poignée d’acteurs, appartenant à quelques grands groupes américains. Cela simplifie également les contrôles que l’on peut effectuer soi-même. En effet, certains d’entre eux mettent à disposition des outils simples de contrôle, par exemple sur une interface web dédiée recensant les alertes liées aux accès récents, et de pouvoir réagir en cas de doute. Cette centralisation implique néanmoins de faire confiance à ces acteurs, et d’espérer que les données ne peuvent pas être consultées en dehors d’un cadre légal.

Auditer ses appareils personnels est à l’inverse beaucoup plus complexe, et loin d’être à la portée de tout le monde. Une poignée d’outils comme Mobile Verification Toolkit et iVerify permettent de contrôler plus ou moins simplement des téléphones sur Android et iOS, et rechercher des indicateurs de compromission, mais ce ne sont ni des fonctionnalités natives, ni exhaustives. Pourtant, les révélations sur les logiciels espions, comme Candiru, Pegasus et Predator, ont démontré qu’il est désormais nécessaire de pouvoir aisément contrôler des téléphones.

Contrairement à ce qu’affirment leurs concepteurs, ces logiciels espions ne sont pas seulement utilisés pour lutter contre les criminels et les terroristes, mais bien pour surveiller des journalistes, des activistes, et des opposants politiques. Ils représentent des menaces pour l’ensemble de la société civile, et les gouvernements les ayant acquis n’hésitent pas à les utiliser en dehors de leurs frontières. Qui plus est, la campagne Operation Triangulation renforce encore la paranoïa, car des chercheurs de Kaspersky en ont été la cible, et l’on peut aisément imaginer que d’autres ont pu être ciblés à leur insu.

Le sujet est préoccupant, et plusieurs actions en justice, notamment à l’initiative d’Apple et de WhatsApp sont en cours, et visent à interdire l’usage des ces logiciels contre leurs utilisateurs. Au-delà d’actions issues du secteur privé, plusieurs pays se sont rencontrés début 2024 dans le cadre du processus de Pall Mall afin de lutter contre la prolifération et l’usage irresponsable de ces logiciels espions. L’actualité évolue très vite et, fin juillet 2024, Microsoft et Google ont indiqué soutenir les victimes internationales de ces logiciels espions pour intenter une action en justice aux États-Unis.

À notre niveau, il me semble désormais crucial d’obtenir les moyens de mieux contrôler l’usage de nos appareils, et l’accès à nos données. Il est également essentiel de soutenir les initiatives visant à réguler l’usage des logiciels espions et d’inciter les concepteurs de nos téléphones à plus de transparence pour les utilisateurs.


Guillaume VALADON 
 
@guedou – guillaume@miscmag.com

La publication technique des experts de la sécurité offensive & défensive

Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.

Introduction à la sécurité des hyperviseurs
MISC n°135

Cet article étudie les hyperviseurs du point de vue d’un attaquant qui cherche à s’échapper d’une machine virtuelle compromise pour prendre le contrôle du système hôte. Après quelques rappels sur certains concepts de virtualisation, il fournit une vue complète de la surface d’attaque exposée à une machine virtuelle compromise. Pour conclure, il présente des exemples concrets de vulnérabilités découvertes et exploitées dans VMware Workstation et QEMU.

Maîtriser l’instrumentation de code des applications Android
MISC n°135

Qui a dit qu’une fois compilée, une application ne pouvait pas être modifiée ? Cela est rendu possible grâce à l’instrumentation de code qui permet de modifier/ajouter/supprimer du code assez facilement. Par exemple, un analyste peut décider d’ajouter des instructions de journalisation directement dans le code d’une application pour extraire des informations de couverture de code durant l’exécution. Ces informations peuvent être les noms des classes instanciées, les méthodes exécutées, etc. Dans cet article, nous verrons pourquoi l’instrumentation de code des applications est facile et comment elle peut être utilisée par des analystes légitimes et des attaquants pour propager du code malveillant.

Chaîne d’infection de Rhadamanthys
MISC n°135

Au cours de l’analyse d’un document malveillant, nous avons identifié un comportement atypique. L’infection se fait par de nombreuses étapes, bien plus qu’habituellement, et chaque étape utilise des techniques d’obfuscation différentes. Le but est de rendre l’analyse plus compliquée. Ce comportement a retenu notre attention et nous avons décidé de faire une analyse plus approfondie de la chaîne d’infection.

Ce magazine est intégralement disponible sur Linux Magazine Connect
© 2024 - LES EDITIONS DIAMOND