Donnez votre avis !
Depuis votre smartphone, sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
Traitement des incidents
SSIPhilippe VIALLE
Ingénieur senior sécurité, support EMEA
Microsoft
Sécurité
C|EH, CISSP
http://www.microsoft.com/fr-fr/security/default.aspx
Traitement des incidents
SSIPatrick Chuzel
Ingénieur senior sécurité d’escalade, support EMEA
Microsoft
Sécurité
MCSD
http://www.microsoft.com/fr-fr/security/default.aspx
Sécurité
AgendaMardi 12 février 2013, 17h30
Partie 1 Introduction
Partie 2 Retours d’expérience sur les incidents
Partie 3 Rootkit, le Retour
Démo / questions
Equipe européennne de
sécurité – CSS SecurityQue faisons-nous ?
Sécurité
Sécurité
• Bulletins de sécurité – France / EMEA
• Support de l’antivirus postes et serveurs– FCS, FEP, SCEP.
• Traitement des incidents de sécurité France / EMEA– Traitement des intrusions, attaques.
– Traitement des alertes virales.
– Analyse de machines (“est-elle compromise ou non ?”).
• Formateurs sécurité et investigation NTIC– Conférences web, générales ou ciblées sur produits.
– Sessions présentielles (plusieurs jours).
Equipe CSS Sécurité France / EMEA
Partie 1
Les incidents SSI
Sécurité
Ph. Vialle
Sécurité
Des cibles ? (publiques)
Sécurité
• « APT » = Advanced Persistent Threat.– Menace persistante, s’appuyant sur panoplie d’outils (pas
forcément avancés…).
• Bien plus rare que ce qu’on peut en lire !– NB : traitement en cours au Support de quelques cas
réellement « hors du commun »…
• Information & outils d’attaque disponibles :– Vulnerabilités + codes d’exploitation prêts à l’emploi.
– Environnements de dev gratuits (y compris pour codes malveillants), ou prestation de service.
Des tendances marketing : APT
Sécurité
• « 100% des correctifs Microsoft déployés = parc sécurisé. »– Non !
• Cf rapport SIR v13 : Oracle Java, Adobe PDF & Acrobat…
– /!\ Urgence à déployer les correctifs non Microsoft
• « Antivirus déployé = parc sécurisé »– Non !
• Sécurité en multi-couches
• Antivirus = « liste noire », 100% efficace = impossible
• Nb: Antivirus ciblé par attaquants.
Des idées reçues à abattre
Sécurité
Défense en profondeur (« DiD »)
Sécurité
• « Machines Linux / Unix / Apple = indifférentes au risque viral »– Sauf si hébergement de ressources accessibles via protocole
compatible SMB !
• « panier viral » persistant !
• Sécurisation complexe via clients uniquement.
– Codes malins avec téléchargeur :
• Version compilée MacOS, si système est Apple,
• Version compilée Win32/64, si système est Microsoft.
– NB : MS SCEP supporte MacOS et Linux…
Des croyances à oublier
Sécurité
• « La menace ne vient que de l’extérieur… »– Clé USB, disque dur / mini-NAS
• (perso ?)
– PC portable perso connecté au LAN
– PC portable prestataire connecté au LAN
– Ordiphone personnel connecté au LAN
• 3/4G, WiFi, Blue-Tooth, connectivité USB, etc.
– Liaison ADSL achetée, « non cadrée » (isolation)
– Duperie des utilisateurs,
• pour contourner la sécurité à leur insu.
Des idées à abattre
Sécurité
Histoire d’un site web « simple »
Sécurité
• Visibilité supérieure– (Impact si déni de service ?)
• Vrai CMS pour le contenu du site web
• Vraies données à afficher, et à rafraîchir
• Interconnexion avec d’autres services internes
• Population cible élargie– Internet, mais aussi… interne !
– Pourquoi refaire l’architecture pour l’usage interne ?
Evolutions…
Sécurité
L’histoire se poursuit…
Sécurité
• Site Internet devient extranet…
• Site Internet devient également… intranet !– Quid des niveaux de risque respectifs ?
• Intranet = interne = « niveau de risque minimum » ?
• Intranet exposé aux risques Internet ?– Niveau de risque différent de celui du LAN
• Besoin de sécurité différent de celui historique !
– Peu de changements sécurité au final…
• Coûts de la sécurité ?
• Évolution « au fil de l’eau », sans mise à plat / audit.
Mais la gestion sécurité…?
Sécurité
• Injection, depuis Internet, de code dans les pages du site « inter/intranet »– 1 à plusieurs codes d’exploitation.
• (ou) Injection d’une bannière pointant sur source externe :– Code viral / codes d’exploitation.
• Puis ? Laisser faire le temps…– Déploiement sur le parc… de l’attaque
Bonus : utilisation du site internet compromis comme canal de contrôle de BotNet…
« Et là, tout s’enchaîne… »
Sécurité
Nouveaux flux ?
Sécurité
• Comment déployer un code malin / une porte dérobée, en entreprise :– dans le temps,
– discrètement,
– avec une portée globale sur l’entité ciblée,
– « gratuitement » ?
• En le faisant via les outils de gestion de parc !– Gestion de parc / administration = cibles.
• Création / modification de paquetages de déploiement.
Variantes
Sécurité
• Mots de passe administrateur local, commun de machines en machines (pire : en DMZ).– Aussi dangereux qu’un compte admin du domaine.
• AD identique en DMZ et sur le LAN de prod.– Aucune isolation, rebond possible sur prod !
• Mauvaise cartographie des flux :– Confusion entre flux de supervision et malveillants.
• Filtrage réseau faible :– Règles pare-feu autorisant… toute session TCP.
– Détection (NIDS), mais pas de blocage, ni supervision.
La vie, la vraie…
Sécurité
• Suite accès à serveur intégré à l’AD, et via un compte disposant du privilège SeDebug :– Énumération des comptes ayant ouvert une session
(interactive ou non)
• Dont administrateur du domaine, ou local ?
– Extraction / vol des condensats des mots de passe
• Pass the hash (avec réutilisation de l’identité AD)
• Keyloggers fréquents.
– Propagation de l’intrusion :
• Exploration d’autres machines,
• Création/modification de comptes.
Le point d’entrée…?
Sécurité
• « Isolation AD = entre domaines »– Frontière du modèle de sécurité AD = forêt
• Aucune isolation entre domaines
– Multi-forêt recommandée
• Notamment 1 pour administrer
• « Pas de risque si accès uniquement à des sites partenaires / connus »– Possibilité de compromission à leur insu…
– Possibilité de détournement de l’accès réseau…
• Résolution de nom, etc.
D’autres idées à abattre
Sécurité
• Cloisonnement réseau :– Sans lui, inventaire réseau du code malin = plus précis que
celui de la DSI…
– Peu souvent mis en œuvre
• /!\ routage dynamique…
• Principaux ennemis ?– À la frontière entre intrusion logique et physique :
• La clé USB !– RExp Conficker, Stuxnet, etc.
– Insuffisance de cartographie des flux.
Des retours d’expérience
Sécurité
• Zones d’échange métier = cibles !– MS Exchange
• Quantité/diversité de données insoupçonnée…
– SharePoint
– Partages réseau SMB
• Douloureux, peu anticipé, criticité sous-estimée…
• Mais sont également ciblés :– AD : annuaire de personnes
• Exfiltré en HTTP(s), flux sortants (donc peu contrôlés…)
– Journaux de sécurité
• Si activés et pas seulement en échecs…
Autres retours d’expérience
Sécurité
• Cloisonnement réseau à 100% = utopie– Interconnexion = fondement même réseaux IP
• Mais sans cloisonnement :– Compromission transverse, et non pas de zone !
• Pare-feu = statique = premier barrage– Insuffisant (un routeur pourrait faire l’affaire…)
• Sonde NIDS / NIPS = filtrage dynamique, adaptable– WAF = protection applicatif web
Quelques rappels opérationnels
Sécurité
• Ne pas télécharger des outils bien connus– Mais récupérer code source + compiler en local
• Plus discret par rapport aux systèmes de filtrage
• Identifier le moteur antiviral utilisé par la cible– Remodeler code malin existant pour y échapper
• Même variante, empaqueteur différent !
• Se propager via les zones de synchro de l’AD– Sysvol / Netlogon
• Cibler des systèmes ou des matériels particuliers…
Des choses plus « exotiques » ?
Partie 2
Rootkit, le retour
Sécurité
P. Chuzel
Sécurité
• Décembre 2012– 20 millions de logiciels potentiellement malins,
analysés
• 100 000 ont mené à création de signatures
• Blocage de 4 millions de fichiers (uniques)
– Base complète : 72 millions de fichiers détectés.
• Collecte de données sur 1 milliard de machines– Vision étendue des menaces en circulation !
Quelques chiffres [MMPC]
Sécurité
Merci de votre attention !
Sécurité
• http://technet.microsoft.com/en-
us/library/cc512681.aspx
• http://hackmageddon.com/2012-cyber-
attacks-timeline-master-index/
• http://www.intelligenceonline.fr/intelligence
-economique/2012/07/19/attaque-
chinoise-contre-astrium,104644072-BRE
Sources
Recommended
