Triple exploit au Pwn2Own 2017 pour s’échapper d’une machine virtuelle et atteindre l’hyperviseur

VM escape … oui, mais encore ?

Le groupe chinois Qihoo 360, coutumier des exploits (bien préparés) dans les concours de sécurité, à touché 105.000 dollars pour un triple exploit… chapeau !

Le scénario: un poste de travail virtualisé innocent visite un site internet au contenu malveillant (en javascript).

En trois coups, l’équipe de Qihoo à réussi à traverser les mécanismes d’isolement du navigateur, du système d’exploitation et à remonter jusqu’à l’hyperviseur.

Pourtant, tout avait l’air OK et ressemble à ce qui se fait couramment en entreprise, avec toutes les garanties apportées par les éditeurs sur la robustesse des produits…

shield-1412482-639x426

Les mesures mises en place

  Contre les sites internet malveillants ou possédés : bac à sable et navigateur moderne

  Contre les menaces: des solutions professionnelles et un système d’exploitation récent

  Pour optimiser les ressources / réduire les coûts / aller dans le cloud : virtualisation


Les failles exploitéeserreur fatale

  Bac à sable (Edge) : KO via un débordement de la pile

  Système d’exploitation (Windows 10) : KO via une faille noyau (UAF)

  Virtualisation (VMWare) : KO via une faille exploitant un buffer non initialisé

Donc, quand un internaute se promène sur un site malveillant, la ballade peut se terminer par une prise de contrôle de l’hyperviseur, puis de là potentiellement le cœur de l’infrastructure (les autres VM de cet hyperviseur et comme par exemple la VM firewall).

Cette démonstration de force, ou plutôt d’habileté à mettre en déroute la sécurité de toute la pile d’un datacenter virtuel,  rappelle que tout est piratable…

Inévitable, alors que faire ?

woman-hand-desk-office

Pour éviter l’effet domino et une telle escalade, dans la mesure du possible il faut résister à la facilité, à la tentation de suivre la mode du tout virtualisé (y compris le réseau, la sécurité).

Les principes type KISS et de la séparation des fonctions ne sont pas incompatibles avec une infrastructure moderne et économique (cher ≠ meilleur), du moins pour le moment. Car les efforts des constructeurs-éditeurs pour du « software defined » (SDN, SDS, SDDC) conduiront bien à terme à l’effacement des limites.

Le problème de fond étant la maturité de l’offre -qui ne sera par définition jamais atteinte- et donc l’empilage des couches logicielles qui rendent possible un triple exploit comme celui ci.

Il reste donc les bonnes pratiques, déjà connues mais toujours valides. L’état de l’art et le bon sens lors de la conception de solutions, ensuite les tests, mises à jour, contrôles et corrections. Pour tout cela, il faut du temps, des compétences des ressources.

Comment ont ils fait ? Mes serveurs sont ils en risque ? Que faire pour éviter que ça se reproduise, est-ce vraiment inévitable…? Et si finalement la vraie question était : quels moyens accordez vous réellement à la sécurité ?

Le point d’équilibre entre sécurité et facilité

Pourquoi est-ce si difficile de trouver le bon équilibre entre sécurité et facilité ?

Probablement parce-que, contrairement au man-standing-on-finger-jpg

principe réducteur que pose ce titre, il n’y a pas un seul point fixe d’équilibre entre sécurité et facilité d’utilisation.

Comment pourrait-il y en avoir d’ailleurs ? Chaque utilisateur, chaque métier est régit par ses propres besoins « en libertés » et sous « contraintes » de sécurité. De plus, côté client s’impose la transparence, c.a.d. la sécurité maximale et invisible pour ne pas altérer la qualité de la relation.

Et maintenant, à quelle vitesse, dans une entreprise agile, évoluent ces paramètres ?

 » Vitesse lumière Mr. Spock « 

Les contraintes

La liste est longue, prenons les grandes familles de contraintes possibles.

bibliotheque-et-livres

  • Légales, qui se déploient au gré des avancées de l’Union Européenne, puis des déclinaisons en droit local.
  • Stratégiques, à l’appréciation du comité de sécurité (ou Risk Manager, RSSI, Inspecteur/Auditeur/Contrôleur interne).
  • Systémiques, quand un ensemble d’acteur évolue dans un domaine sensible (santé, défense).
  • Réglementaires, quand le règlement intérieur ou les chartes d’usages appliquent les restrictions souhaitées par les directeurs. J’aurai plutôt tendance à classer ici les préconisations, par exemple celles de l’Agence Nationale de la Sécurité des Systèmes d’Information.
  • Techniques. Aussi surprenant que ça puisse être, quelque fois, la limitation est d’origine technique. Par exemple quand un sous ensemble du système d’information n’est pas intrinsèquement suffisamment sécurisé, et doit faire l’objet d’une mise à l’écart des accès et ressources externes.
  • Sociales, il arrive que certaines populations utilisatrices du système d’information ne soient pas à même d’apprécier les risques encourus. Alors l’entreprise, l’institution publique, est obligée de prendre des mesures de précaution, comme dans l’enseignement (utilisateurs mineurs et de tous ages).

 

Les libertés

La liberté, que l’on considère ses motivations profondes, telles que le libre arbitreabove-adventure-aerial-air, l’autonomie, le processus créatif, est dans une certaine mesure une nécessité pour la performance des entreprises. Sinon à quoi bon déployer une démarche d’entreprise agile, de transformation digitale, et vouloir être innovant sans liberté ?

Liberté nécessaire aussi car l’hyper informatisation, le sur-équipement fait que le moyen de contournement est souvent à portée de main. A moins d’avoir recours aux restrictions drastiques appliquées dans le secteur défense, à la R&D, voire chez les Opérateurs d’Importance Vitale. Exemple : abandon du téléphone mobile avant d’entrer dans la zone démilitarisée, réseaux internes et externes physiquement séparés, passerelles sous haute surveillance…

Donc ici inutile de nous lancer dans une liste, vous êtes libres de l’imaginer.

 

Les solutions ?

Actuellement, l’empilage de mesures, de couches de sécurité, de technologies de prévention, afin d’arriver à une granularité à peu près satisfaisante est franchement en train d’atteindre ses limites.

640px-swiss_cheese_model_of_accident_causation
Image par Davidmack, CC BY-SA 3.0 / Wikipedia

La preuve en est les éditeurs champions de la sécurité, qui en arrivent eux aussi à prêcher l’éducation, la formation des utilisateurs et à désigner le facteur humain comme vecteur de risque principal. Et ceux quelque soit leurs offres et les différents moyens de déploiement (on premise, cloud). Ok donc, la technologie ne suffit plus, et les fournisseurs de solution produisent d’importants efforts de R&D face aux évolutions des menaces (ransomware, APT), en étant plutôt suiveurs du moins pour le moment. Le côté positif est qu’à présent l’offre est suffisamment vaste pour outiller la problématique  (sans la résoudre durablement).

Reste que la nécessité de protection du système d’information, des données, des secrets ou de la sûreté si on pense aux processus industriels et SCADA  ne laisse aucune marge de manœuvre, et implique le déploiement du maximum de solutions que les moyens ou la raison permettent. Plus, bien entendu, les efforts de formation (des collaborateurs) et d’éducation (du grand public).

 

1789 – 2016 La prise de la Bastille

Une révolution dans le domaine de la sécurité informatique semble inévitable, car pris un par un: le firewall et l’antivirus sont dépassés. Les GPOs, les modèles RBAC … ne sont finalement qu’un ensemble de règles et outils bas niveau. Les firewall NG (IPS, Applicatifs), les HostIPS ne sont qu’une étape, déjà franchie donc quasi obsolète.

Une nouvelle étape est atteinte avec la vision globale des menaces, des vecteurs d’attaque, de leurs effets sur le

2 système d’information. Elle se matérialise dans l’offre de quelques éditeurs (FireEye).

Ce concept de clairvoyance au travers de toutes les couches systèmes, réseaux, équipements du SI ou personnels,

Ajouté d’une capacité de stockage et traitement de données massives (HP: le big data appliqué à la sécurité),

Consommés par une intelligence artificielle (IBM: Watson for Cyber Security)…

IA et Big data, voilà ce qui semble bien être l’avenir de la sécurité informatique. Ce qui, en soit, mérite une série d’articles dédiés à ce sujet…

Constructeurs, éditeurs, intégrateurs, reprenez l’initiative aux pirates, c’est à votre tour de vous lancer à l’assaut du bastion de la sécurité…!

 

 

Les coffres-forts numériques et les petites lignes du contrat 

 

Vos identifiants sont strictement personnels et confidentiels

Processed by: Helicon Filter;C’est tellement évident que cette petite phrase n’est plus systématiquement écrite sur les formulaires d’inscription, mais reléguée aux petites lignes des CGU (conditions générales d’utilisation).

De même que « jamais un employé de … ne vous demandera votre mot de passe ou code confidentiel ».

Prenons quelques exemples pour commencer.

 

Votre banquebank-safe-lease

Vous offre un coffre fort numérique pour stocker dans l’espace client vos fichiers importants (impôts, actes notariés etc). Comme par exemple Digiposte du CIC Quoi que peut-être moins courant ces derniers temps, les banques ont repris leur offre de location de coffre privé en le dématérialisant.

 

Votre cloud

Où l’hébergeur vous assure la Disponibilité, l’Intégrité, la Confidentialité des données hébergées. L’endroit idéal pour stocker votre fichier excel des mots de passe, ou mieux encore le coffre keepass,  pour le distribuer et l’utiliser sur tous vos appareils.

 

Votre gestionnaire de mot de passe

Au sens large : le trousseau iCloud d’Apple, ou celui de Firefox/Edge/Chrome a peut être déjà appris plus d’identifiants que vous ne le souhaitez sans vraiment vous en rendre compte.

Ou avec votre accord explicite dans la famille des gestionnaires de mot de passe spécialisés  à la keepass/1password/dashlane/lastpass… et dans ce cas pas forcément gratuitement, ce qui est déjà un mieux car vous avez explicitement passé un contrat pour cela avec une entreprise dont c’est le cœur de métier.

 

Tout le reste

Je ne vous apprends rien en disant que votre smartphone sait tout sur vous n’est-ce pas ?

Avec les apps de centralisation et stockage de cartes de fidélité type FidMe &  cie, les « cliquez ici pour mémoriser ces identifiants », et autres « rester connecté ». Plutôt léger (cookies de sessions) par rapport aux gestionnaires de mot de passe, mais avec le même objectif d’alléger votre charge cognitive.

Les petites lignes du contrat

Maintenant que vous avez la puce à l’oreille, à propos de qui peut avoir vos identifiants et mots de passe, vos références, demandez vous a qui d’autre à part vous même avez vous promis de les garder secrets et strictement confidentiel, de ne pas les transmettre à un tiers, et prendre toutes les mesures nécessaires pour ne pas les divulguer ?

Indices: tous vos fournisseurs de services, financiers, sites et institutions diverses qui ont blindé leur contrat et CGs…

Avant un clic sur « j’accepte les conditions », ou en retrouvant les CGs que vous avez déjà signé: Bonne lecture…!

 

Corollaire

Bon, bien sur, en cas de vol massif d’identifiants chez un fournisseur spécialisé dans les coffres forts numériques, difficile de vous en vouloir puisque c’est une défaillance de votre prestataire. Et plutôt que d’essayer de gérer votre stock de mots de passe seul ou avec de fausses bonnes solutions (le fichier excel) : en passant un contrat de service (abonnement payant) avec un des leaders du marché, vous avez déjà davantage de recours possibles pour prouver que vous avez pris les mesures nécessaires afin de protéger vos comptes. Donc il peut-être intéressant de ne pas comparer que le coût d’abonnement avant de souscrire, en vérifiant par exemple la réputation, l’historique des incidents avec la communication associée et les améliorations qui ont suivi, ou encore ce que propose votre fournisseur de coffre en cas d’incident.

 

Failles de sécurité chez un gestionnaire de mot de passe : en attendant le prochain, que faire ?

wp-1472981987629.jpg

Voilà qui incite à la formation en sécurité et la prudence pour tous Utilisateurs et Informaticiens

Car même les entreprises qui n’existent que pour la sécurité ne sont, et seront jamais à 100% … Ces spécialistes commencent à éduquer en communicant sur le fait que les pratiques à risque sont un facteur aggravant, qui est de plus en plus exploité (sans s’étendre sur le sujet, sur le blog Zataz.com ou le blog.lastpass.com vous trouverez les détails d’incidents et la réponse/remédiation des éditeurs).

Quand on considère qu’une pratique à risque, ça peut aller d’utiliser un laptop professionnel pour surfer (perso?) depuis le wifi ouvert de l’hôtel, en se débrouillant pour contourner le filtrage d’URL et autres VPNs d’entreprise, comme de consulter tout à fait normalement un site d’information ou métier depuis le bureau, et ne même pas soupçonner que les bandeaux de pub, ou ces sites propres sur eux peuvent-être détournés pour distribuer des malwares… (des logiciels réellement malveillants, pas que les fameux cookies analytiques/publicitaires, qui souvent serviront de porte d’entrée à des menaces plus élaborées).

 

Il reste quoi pour « garantir » la sécurité ?

L’illusion perdue de la perfection, c’est fait. En espérant que ce n’est pas à cette occasion que vous le découvrez. Car si ça arrive fréquemment aux acteurs de la cybersécurité eux-mêmes, statistique malheureusement normale au vu de leur nombre de l’étendue de ce marché, « ça vous est arrivé » peut se conjuguer à tous les temps.

we-need-youDonc pour tout le reste il y a : D’abord vous, moi, tout le monde en fait. Puis le bon sens, et ensuite seulement la technique, les solutions et autres logiciels.

 

Savoir interpréter les signes

Repris par le triumvirat de la presse

Bon c’est un concept assez personnel, voilà un exemple pour illustrer:

C’est le signe que même si le sujet est cryptique, au vu de son impact et du fond, il mérite d’être médiatisé y compris (et surtout) aux yeux du grand public.

Car il illustre à la fois la complexité de la sécurité informatique aujourd’hui, et le besoin impératif de la simplifier (ses impacts, ses contraintes surtout) pour la rendre vaguement supportable au quotidien sans la dévoyer ou l’affaiblir au point d’en devenir ridicule (LesEchos.fr le mot de passe le plus utilisé sur internet est 123456).

 

Que faire pour réduire ce type de risque ?

Sur-réagir : peut-être…

  Changer d’outil pour un autre gestionnaire de mots de passes : Non, car en étant simplement réaliste, chacun à son tour tombe sous le coup de vulnérabilité plus ou moins faciles à exploiter, d’un impact plus ou moins important etc.

⊗  Jouer la carte « déconnecté » : avec un programme gestionnaire et coffre fort numérique strictement local, non plus. Car vous allez bien finir par le faire voyager (vos sauvegardes sont faites automatiquement dans le cloud/NAS/drive n’est-ce pas ?). Et un exploit sur le gestionnaire ou votre système reste bien possible etc.

⊗  Abandonner le principe d’un gestionnaire de mots de passes / coffre fort numérique / gestionnaire d’identité ? Quelle idée ! Là vous ne passez même pas par la case départ et vous ne touchez pas 30€48. Cf. l’équilibre sécurité-facilité que vous venez d’annihiler, en plus des bénéfices collatéraux de ces solutions comme la traçabilité, et la conformité entre autres.

Améliorer en continu, pour limiter…

  Faire un minimum de veille, c.a.d. tout simplement rester à l’écoute de votre presse favorite, ou un petit peut mieux en ajoutant à vos flux de news une source sécurité ou informatique professionnelle.

  Partager l’information, former et informer. Là c’est probablement une de vos missions et obligations si vous lisez ceci, et c’est une de mes mesures préférées en ce moment, au vu de son efficacité large spectre et son rapport efficacité x coût x complexité avantageux. L’humain à le premier rôle dans la sécurité, donc un peu de formation, de bon sens, ça permet de partager la confiance et les enjeux plus sereinement.

  Changer d’avis:  Interrogez vous, car le choix (de logiciel, de service, de prestataire, de principe…) qui vous a paru optimal il y a quelque temps n’est peut-être plus adapté aujourd’hui face à l’évolution de la menace, de la réglementation ou de vos propres objectifs.

  Encourager et continuer l’effort: pas facile de réussir pleinement ou faire évoluer ce type de sujet en perso comme en entreprise (AAA, IAM, PAM…), est pourtant c’est à peu près tout ce qu’il y a aujourd’hui dans la boite à outil.

En attendant la suite

Les solutions qui se dessinent à l’horizon ne peuvent être que meilleures, enfin espérons.

Pour ne prendre qu’un seul exemple, l’une des entreprises qui gèrent des millions de comptes, profils, identités, droits & cie pourraient bien révolutionner cet aspect de la sécurité informatique sans même que ce soit leur cœur de métier : Usine-Digitale.fr : L’astucieuse idée (très intrusive) de Google pour remplacer les mots de passe