SSTIC 2017 – WSUSpendu

Kevin Boulom Conférences, Etude - Recherche

Le SSTIC

Le SSTIC (Symposium sur la sécurité des technologies de l’information et des communications)  est une conférence Française qui s’est déroulée du 7 au 9 juin 2017 dans la ville de Rennes pour sa 15e édition.

Des consultants de Devoteam y ont participé et ont souhaité partager des résumés sur les sujets suivants :

  • WSUS pendu – Romain Coltel & Yves Le Provost
  • Désobfuscation binaire : Reconstruction de fonctions virtualisées – Jonathan Salwan, Marie-Laure Potet & Sébastien Bardin
  • CrashOS : Recherche de vulnérabilités système dans les hyperviseurs – Anaïs Gantet
  • Binacle : indexation « full-bin » de fichiers binaires – Guillaume Jeanne

 

WSUSpendu :

Speakers :

Romain Coltel

Yves Le Provost

https://www.sstic.org/2017/presentation/wsus_pendu/

Les serveurs Windows Server Update Services (WSUS), permettent le contrôle des mises à jour d’un parc informatique. Ainsi, les clients viendront se synchroniser avec le serveur WSUS afin de recevoir leurs mises à jour. Le Serveur quant à lui, ira récupérer les mises à jour, soit directement auprès du serveur Microsoft Update, soit d’un autre serveur WSUS sur le réseau (réseau découpé en VLAN).

Les services de mises à jour Windows devant parfois interagir avec les drivers, le service tourne avec les privilèges system. Partant de ce postulat, les serveurs WSUS peuvent aisément être considérés comme critique dans un système d’information.

Historiquement, peu d’attaques sont connues. Le seul outil permettant l’attaque sur ce genre d’infrastructure de mise à jour est WSUSpect, présenté à la BlackHat 2015 par Paul Stone et Alex Chapman.

Cette attaque consiste en une altération des communications entre un client et un serveur par une attaque MITM (Homme du milieu), en considérant que les communications entre ces deux derniers s’effectuaient via HTTP (une communication entre client et serveur en HTTPS est bien évidemment configurable).

On peut donc rapidement apercevoir les limites de l’outil. WSUSpect, permets de contourner ces limitations en considérant que le serveur hébergeant le service WSUS est compromis par un attaquant.

Ce nouvel outil permet d’injecter des mises à jour et d’ainsi distribuer celles-ci, dans le but de backdoorer toutes les machines du système d’information, avec les privilèges system sur toute les machines compromises.

Il est à noté que les mises à jour sont signées, mais pas les arguments passés aux binaires, ce qui empêche l’injection de n’importe quel binaire. Cependant, il existe des binaires déjà signés par Microsoft qu’il est possible d’injecter et qui permettent d’exécuter des commandes arbitraires, telles que PsExec et BgInfo, issues de la suite sysinternals.

Les nouvelles mises à jour, sont stockées sur le serveur WSUS dans une base de données (SQL Server ou WID). La mise à jour en elle même est sous la forme de plusieurs fichiers XML, contenant plusieurs données, tels que le titre de la mise à jour, sa description, l’adresse du binaire, son hash, les arguments à passer au binaire, …

Une fois la mise à jour malicieuse créée et rajoutée dans la base de données via les procédures stockées, il reste une approbation à avoir pour que la mise à jour soit transmise à tous les clients, celle ci peut être manuelle, ou automatique dans certains cas. Il n’est pas rare qu’une « mise à jour importante de sécurité » avec une priorité haute soit automatiquement approuvée par les scripts d’automatisation, ou encore par les administrateurs.