Retour sur BlackHat London 2018 : Jour 2
Après le compte-rendu de la première journée de BlackHat London 2018, parlons du jour 2 !
Après une petite visite de Londres et une bonne nuit de sommeil, nous entamons la deuxième journée de BlackHat. Et de la plus belle des manières en nous rendant à la conférence probablement la plus pointilleuse techniquement. Même si nous avons eu le malheur d’arriver 5 minutes en retard et découvrir avec stupeur que notre speaker était déjà en plein reversing d’une fonction !
Straight Outta VMWare: Modern Exploitation of the SVGA Device for Guest-to-Host escapes
Avec un titre pareil, c’était la conférence qui s’annonçait la plus prometteuse. Et nous n’avons pas été déçus du tout. Un petit peu perdu au début pour être tout à fait honnête, mais loin d’être déçu !
Pendant la présentation, nous avons choisi de mettre de côté la prise de note et de nous concentrer sur le détail de cette recherche.
Zisis Sialveras nous présente donc son attaque sur le driver virtuel graphique de VMWare Workstation SVGA.
Il prend le temps de nous expliquer un petit peu le protocole utilisé par VMWare pour communiquer avec l’interface graphique de l’hôte SVGA3D.
Ensuite, nous avons le détail de son attaque qui lui permet au final d’exécuter un processus sur la machine hôte en partant de la VM.
L’attaque est complexe. C’est une chaîne d’exploits sur différents composants internes de VMware basés sur un Heap spraying permettant un leak mémoire de l’hôte et un moyen d’exécuter du code sur l’hôte.
BLEEDINGBIT: All Your APs are belong to us
Cette conférence nous a été présentée par deux chercheurs travaillant chez Armis. Elle détaille leurs recherches effectuées sur les puces BLE (Blutooth Low Energy) sur les AP (Access Point).
Ils ont également trouvé deux 0-days pendant leurs travaux qui sont désormais identifiés comme CVE 2018-7080 et CVE 2018-16986.
Dans un premier temps, nous avons un petit rappel du BLE qui est une nouvelle version du Bluetooth qui est utilisée dans plein de secteurs et principalement pour l’IOT.
Vient ensuite le lien avec les AP ! Il semblerait qu’ils supportent le BLE dans le cadre de plusieurs utilisations spécifiques telles que “l’indoor navigation” le “medical asset tracking” ou encore le shopping personnalisé avec tracking et capteurs connectés.
Concernant la première CVE sur les AP Aruba nous avons un peu plus de détails sur les technologies utilisées.
Les puces BLE sont généralement produites par Texas Instruments et Nordic semiconductor. On a ensuite une petite présentation des solutions OTA (Over The Air) proposé par les deux constructeurs respectivement OAD pour TI et DFU pour Nordic.
Il en résulte un constat alarmant puisqu’en utilisant le BLE le firmware transite en clair “over the air” la connexion GATT (Generic Attribute Profile) n’est pas authentifiée et l’intégrité du firmware n’est pas vérifié.
Les deux slides ci-dessous expliquent la différence entre une connexion GATT traditionnelle et dans le cadre du BLE.
Pour mieux comprendre comment fonctionne le custom OAD ils ont dumper le firmware via le port débug d’un AP Aruba et ce qu’il en ressort c’est que globalement c’est plutôt mal sécurisé. Il existe bien deux vérifications supplémentaires (is_oad_unlocked ? et is_write_unlocked ?) et un mot de passe, mais ce n’est pas toujours le cas.
CVE 2018-7080: Upload de son propre firware permettant évidemment de récupérer un shell voire même un bios shell en utilisant les vulnérabilités que nous avons vu précédemment
Nous avons eu le droit à une superbe démo d’une attaque via un smartphone porté par un drone pour aller attaquer un AP situé dans les derniers étages d’une gigantesque tour que l’on peut retrouver sur YouTube: https://www.youtube.com/watch?v=D5FIIqLWtYw
CVE 2018-16986: Exploit via memory corruption puisque le firmware du produit concerné n’a aucune sécurité mise en place telle que le NX bit, l’ASLR ou encore une gestion de la mémoire.
L’exploitation de cette CVE est loin d’être facile puisque le buffer ou l’exploitation est possible crash très vite et la taille du shellcode est ridiculement petite…
How to build synthetic persons in Cyberspace
Notre dernière session de la BlackHat présente le travail de deux chercheurs de Soar technology sur l’utilisation de l’intelligence artificielle pour créer des cyberagent capables de réaliser des attaques.
La conférence commence par un rappel de deux types d’intelligence artificielle
Non-symbolic AI et Symbolic AI
Et leurs différentes utilisations.
Les intelligences artificielles sont de formidables outils, mais peuvent également représenter une menace.
Dans le secteur de la guerre avec notamment l’apparition d’humain augmenté et d’intelligence artificielle au service de l’armée.
La menace des IA imparfaites qui donne des résultats parfois erronés, même discriminatoire ou raciste.
Mais aussi, bien évidemment, l’IA au service des hackers avec la présentation de différentes cyberattaques utilisant les IA
Vient ensuite la présentation de leur “cyber cognitive agent” qui est une intelligence artificielle qui est capable de réfléchir et d’agir pour attaquer une cible en fonction de plusieurs paramètres.
La démo était réussie et a permis à un Cycog agent de récupérer un secret décidé directement pendant la conférence depuis une machine vulnérable !
C’est sur cette présentation que s’achèvera notre BlackHat qui fut une réelle surprise et une grande première pour nous. Nul doute que nous allons faire tout notre possible pour y retourner l’an prochain.
