Donnez votre avis !

Depuis votre smartphone, sur :

http://notes.mstechdays.fr

De nombreux lots à gagner toutes les heures !!!

Claviers, souris et jeux Microsoft…

Merci de nous aider à améliorer les TechDays

http://notes.mstechdays.fr

Traitement des incidents

SSIPhilippe VIALLE

Ingénieur senior sécurité, support EMEA

Microsoft

Sécurité

C|EH, CISSP

http://www.microsoft.com/fr-fr/security/default.aspx

Traitement des incidents

SSIPatrick Chuzel

Ingénieur senior sécurité d’escalade, support EMEA

Microsoft

Sécurité

MCSD

http://www.microsoft.com/fr-fr/security/default.aspx

Sécurité

AgendaMardi 12 février 2013, 17h30

Partie 1 Introduction

Partie 2 Retours d’expérience sur les incidents

Partie 3 Rootkit, le Retour

Démo / questions

Equipe européennne de

sécurité – CSS SecurityQue faisons-nous ?

Sécurité

Sécurité

• Bulletins de sécurité – France / EMEA

• Support de l’antivirus postes et serveurs– FCS, FEP, SCEP.

• Traitement des incidents de sécurité France / EMEA– Traitement des intrusions, attaques.

– Traitement des alertes virales.

– Analyse de machines (“est-elle compromise ou non ?”).

• Formateurs sécurité et investigation NTIC– Conférences web, générales ou ciblées sur produits.

– Sessions présentielles (plusieurs jours).

Equipe CSS Sécurité France / EMEA

Partie 1

Les incidents SSI

Sécurité

Ph. Vialle

Sécurité

Des cibles ? (publiques)

Sécurité

• « APT » = Advanced Persistent Threat.– Menace persistante, s’appuyant sur panoplie d’outils (pas

forcément avancés…).

• Bien plus rare que ce qu’on peut en lire !– NB : traitement en cours au Support de quelques cas

réellement « hors du commun »…

• Information & outils d’attaque disponibles :– Vulnerabilités + codes d’exploitation prêts à l’emploi.

– Environnements de dev gratuits (y compris pour codes malveillants), ou prestation de service.

Des tendances marketing : APT

Sécurité

• « 100% des correctifs Microsoft déployés = parc sécurisé. »– Non !

• Cf rapport SIR v13 : Oracle Java, Adobe PDF & Acrobat…

– /!\ Urgence à déployer les correctifs non Microsoft

• « Antivirus déployé = parc sécurisé »– Non !

• Sécurité en multi-couches

• Antivirus = « liste noire », 100% efficace = impossible

• Nb: Antivirus ciblé par attaquants.

Des idées reçues à abattre

Sécurité

Défense en profondeur (« DiD »)

Sécurité

• « Machines Linux / Unix / Apple = indifférentes au risque viral »– Sauf si hébergement de ressources accessibles via protocole

compatible SMB !

• « panier viral » persistant !

• Sécurisation complexe via clients uniquement.

– Codes malins avec téléchargeur :

• Version compilée MacOS, si système est Apple,

• Version compilée Win32/64, si système est Microsoft.

– NB : MS SCEP supporte MacOS et Linux…

Des croyances à oublier

Sécurité

• « La menace ne vient que de l’extérieur… »– Clé USB, disque dur / mini-NAS

• (perso ?)

– PC portable perso connecté au LAN

– PC portable prestataire connecté au LAN

– Ordiphone personnel connecté au LAN

• 3/4G, WiFi, Blue-Tooth, connectivité USB, etc.

– Liaison ADSL achetée, « non cadrée » (isolation)

– Duperie des utilisateurs,

• pour contourner la sécurité à leur insu.

Des idées à abattre

Sécurité

Histoire d’un site web « simple »

Sécurité

• Visibilité supérieure– (Impact si déni de service ?)

• Vrai CMS pour le contenu du site web

• Vraies données à afficher, et à rafraîchir

• Interconnexion avec d’autres services internes

• Population cible élargie– Internet, mais aussi… interne !

– Pourquoi refaire l’architecture pour l’usage interne ?

Evolutions…

Sécurité

L’histoire se poursuit…

Sécurité

• Site Internet devient extranet…

• Site Internet devient également… intranet !– Quid des niveaux de risque respectifs ?

• Intranet = interne = « niveau de risque minimum » ?

• Intranet exposé aux risques Internet ?– Niveau de risque différent de celui du LAN

• Besoin de sécurité différent de celui historique !

– Peu de changements sécurité au final…

• Coûts de la sécurité ?

• Évolution « au fil de l’eau », sans mise à plat / audit.

Mais la gestion sécurité…?

Sécurité

• Injection, depuis Internet, de code dans les pages du site « inter/intranet »– 1 à plusieurs codes d’exploitation.

• (ou) Injection d’une bannière pointant sur source externe :– Code viral / codes d’exploitation.

• Puis ? Laisser faire le temps…– Déploiement sur le parc… de l’attaque

Bonus : utilisation du site internet compromis comme canal de contrôle de BotNet…

« Et là, tout s’enchaîne… »

Sécurité

Nouveaux flux ?

Sécurité

• Comment déployer un code malin / une porte dérobée, en entreprise :– dans le temps,

– discrètement,

– avec une portée globale sur l’entité ciblée,

– « gratuitement » ?

• En le faisant via les outils de gestion de parc !– Gestion de parc / administration = cibles.

• Création / modification de paquetages de déploiement.

Variantes

Sécurité

• Mots de passe administrateur local, commun de machines en machines (pire : en DMZ).– Aussi dangereux qu’un compte admin du domaine.

• AD identique en DMZ et sur le LAN de prod.– Aucune isolation, rebond possible sur prod !

• Mauvaise cartographie des flux :– Confusion entre flux de supervision et malveillants.

• Filtrage réseau faible :– Règles pare-feu autorisant… toute session TCP.

– Détection (NIDS), mais pas de blocage, ni supervision.

La vie, la vraie…

Sécurité

• Suite accès à serveur intégré à l’AD, et via un compte disposant du privilège SeDebug :– Énumération des comptes ayant ouvert une session

(interactive ou non)

• Dont administrateur du domaine, ou local ?

– Extraction / vol des condensats des mots de passe

• Pass the hash (avec réutilisation de l’identité AD)

• Keyloggers fréquents.

– Propagation de l’intrusion :

• Exploration d’autres machines,

• Création/modification de comptes.

Le point d’entrée…?

Sécurité

• « Isolation AD = entre domaines »– Frontière du modèle de sécurité AD = forêt

• Aucune isolation entre domaines

– Multi-forêt recommandée

• Notamment 1 pour administrer

• « Pas de risque si accès uniquement à des sites partenaires / connus »– Possibilité de compromission à leur insu…

– Possibilité de détournement de l’accès réseau…

• Résolution de nom, etc.

D’autres idées à abattre

Sécurité

• Cloisonnement réseau :– Sans lui, inventaire réseau du code malin = plus précis que

celui de la DSI…

– Peu souvent mis en œuvre

• /!\ routage dynamique…

• Principaux ennemis ?– À la frontière entre intrusion logique et physique :

• La clé USB !– RExp Conficker, Stuxnet, etc.

– Insuffisance de cartographie des flux.

Des retours d’expérience

Sécurité

• Zones d’échange métier = cibles !– MS Exchange

• Quantité/diversité de données insoupçonnée…

– SharePoint

– Partages réseau SMB

• Douloureux, peu anticipé, criticité sous-estimée…

• Mais sont également ciblés :– AD : annuaire de personnes

• Exfiltré en HTTP(s), flux sortants (donc peu contrôlés…)

– Journaux de sécurité

• Si activés et pas seulement en échecs…

Autres retours d’expérience

Sécurité

• Cloisonnement réseau à 100% = utopie– Interconnexion = fondement même réseaux IP

• Mais sans cloisonnement :– Compromission transverse, et non pas de zone !

• Pare-feu = statique = premier barrage– Insuffisant (un routeur pourrait faire l’affaire…)

• Sonde NIDS / NIPS = filtrage dynamique, adaptable– WAF = protection applicatif web

Quelques rappels opérationnels

Sécurité

• Ne pas télécharger des outils bien connus– Mais récupérer code source + compiler en local

• Plus discret par rapport aux systèmes de filtrage

• Identifier le moteur antiviral utilisé par la cible– Remodeler code malin existant pour y échapper

• Même variante, empaqueteur différent !

• Se propager via les zones de synchro de l’AD– Sysvol / Netlogon

• Cibler des systèmes ou des matériels particuliers…

Des choses plus « exotiques » ?

Partie 2

Rootkit, le retour

Sécurité

P. Chuzel

Sécurité

• Décembre 2012– 20 millions de logiciels potentiellement malins,

analysés

• 100 000 ont mené à création de signatures

• Blocage de 4 millions de fichiers (uniques)

– Base complète : 72 millions de fichiers détectés.

• Collecte de données sur 1 milliard de machines– Vision étendue des menaces en circulation !

Quelques chiffres [MMPC]

Sécurité

Merci de votre attention !

Sécurité

• http://technet.microsoft.com/en-

us/library/cc512681.aspx

• http://hackmageddon.com/2012-cyber-

attacks-timeline-master-index/

• http://www.intelligenceonline.fr/intelligence

-economique/2012/07/19/attaque-

chinoise-contre-astrium,104644072-BRE

Sources