Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des chercheurs en sécurité de Microsoft découvrent une variante des attaques de type Evil Maid
Qui peut s'effectuer à distance

Le , par Stéphane le calme

44PARTAGES

6  0 
En novembre de l’année dernière, une étude menée par Ian Haken, un chercheur en informatique pour le compte de Synopsis, a conclu que le système BitLocker Drive Encryption, la spécification de protection des données développée par Microsoft et qui fournit le chiffrement de partition, pouvait être contourné par un tour relativement simple à réaliser, mais qui imposait d’avoir un accès physique au dispositif.

Dans les entreprises de grande envergure, les PC Windows sont souvent reliés entre eux en se servant de réseaux virtuels appelés « domaines ». Ces derniers vont par conséquent être constitués de tous les utilisateurs connectés au réseau partagé, mais également par un contrôleur de domaine dont le rôle sera d’authentifier les participants et de leur donner accès au réseau.

La phase d’authentification est faite à partir de mots de passe qui sont sauvegardés localement dans la mémoire cache de la machine, ainsi qu’un mot de passe unique pour la machine qui est générée pour chaque connexion client au domaine. Parce que BitLocker accorde l’accès aux données chiffrées lorsque vous travaillez sur un domaine autorisé, cela pose des problèmes si un attaquant parvient à contourner l'authentification de domaine.

Le scénario d’attaque qu’il a décrit implique de mettre un ordinateur à l’écart du réseau de l’entreprise ainsi que de son contrôleur de domaine d’origine. L’attaquant doit d’abord parvenir à s’emparer physiquement d’un ordinateur portable, puis mettre sur pied un contrôleur qui va disposer du même nom que l’original, mais avec des paramètres de temps incorrects pour simuler une expiration du mot de passe.

Lorsque l’attaquant va connecter l’ordinateur à ce domaine cloné, il lui sera demandé de changer le mot de passe de l’ordinateur qui sera également sauvegardé dans un fichier local à la place du mot de passe précédent.

Cela signifie qu’après avoir changé le mot de passe local grâce à cette technique, un attaquant n’aurait alors qu’à simplement débrancher le câble réseau, entrer son mot de passe nouvellement créé pour avoir accès aux données chiffrées de BitLocker. Parce que l'ordinateur portable est hors ligne ou hors du domaine, le mot de passe n’est validé qu’au niveau du contrôleur factice d'identification et BitLocker ne sera pas en mesure de faire la différence.

Suite à l’alerte d’Haken, Microsoft a corrigé cette vulnérabilité répertoriée comme étant CVE-2015-6095. L’entreprise a amélioré la correction en février dernier (CVE-2016-0049) lorsque deux chercheurs ont montré que le correctif n’était pas suffisant.

Ce type d’attaque est connu en sécurité informatique comme étant de type Evil Maid (ou serveur malveillant) : un exploit de sécurité qui cible un terminal informatique ayant été physiquement éteint et laissé sans attention. Une telle attaque est caractérisée par la capacité de l’attaquant à accéder physiquement à sa cible à plusieurs reprises, à l’insu de son propriétaire. Et, parce que le dispositif a besoin d’être atteint physiquement, ces types d’attaques ne sont en général pas considérées comme étant très dangereuses.

Durant l’édition 2016 de la conférence Black Hat USA qui a eu lieu à Las Vegas la semaine passée, les chercheurs en sécurité de Microsoft que sont Chaim Hoch et Tal Be'ery ont présenté une variation de cette attaque qui peut être lancée depuis internet et qu’ils ont baptisée Remote Evil Butler.


Dans leur version de l'exploit, les chercheurs ont expliqué qu’il suffit à l'attaquant de compromettre un PC sur le réseau affecté à un contrôleur de domaine.

Ils ont installé un contrôleur de domaine factice sur la machine compromise. Par la suite, ils ont recherché les machines locales avec des connexions ouvertes RDP (Remote Desktop Protocol) et ont acheminé leur trafic vers le contrôleur de domaine factice avec des outils facilement disponibles. Ici, l’utilisation des connexions ouvertes RDP remplace la nécessité d’avoir accès physiquement à l’appareil pour initialiser l’attaque.

Une fois que le cache a été empoisonné, ils ont déconnecté la machine à la fois du domaine factice et réel. Ils ont extrait le mot de passe de l'ordinateur (NTLM hash) du contrôleur de domaine réel en se servant d’outils open source de memory dump (Mimikatz par exemple). Après avoir obtenu le vrai mot de passe, il suffit que les attaquants effacent leurs traces en supprimant le cache empoisonné et en restaurant l'ordinateur au contrôleur de domaine réel.

Cette attaque est sans doute extrêmement attractive pour les groupes d’espionnage qui peuvent ainsi ajouter une méthode à leur compteur. Notons que le correctif déployé par Microsoft en février pour empêcher les attaques de type Evil Maid empêche également les attaques Remote Evil Butler. Les chercheurs ont divulgué cette variation de l’attaque originale pour faire comprendre aux entreprises la nécessité de garder à jour leur système à chaque fois.

Source : papier blanc (au format PDF)

Une erreur dans cette actualité ? Signalez-le nous !