Bypass UAC : nouvelles techniques avec eventvwr et CompMgmtLauncher

Après la récente utilisation de CleanMgr pour bypasser l’UAC de Windows, voici déjà deux nouvelles techniques découvertes.
Les deux techniques sont en fait similaire et se basent sur le fait que des process Windows avec des droits élevés vont chercher le path d’un exécutable (normalement mmc.exe) dans la ruche utilisateur (HKCU, donc contrôlable par un utilisateur non privilégié) avant de l’exécuter.

Technique avec l’Event Viewer.
Technique avec CompMgmtLauncher

Equation Group : les hackers de la NSA piratés

Tout a commencé avec le tweet d’un groupe baptisé TheShadowBrokers.
Dans un pastebin ils affirment avoir piraté l’équipe de hackers de la NSA que les firmes antivirales ont surnommé le Equation Group.

Les mystérieux hackers qui s’en prennent à la NSA ont publié un zip qui contient deux archives .tar.xz chiffrées par GPG.
L’une de ces archives est déchiffrable (le mot de passe est fournit) et contient des exploits et des softwares implants (à priori des images modifiées de firmwares pour y rajouter des backdoors) pour des firewalls et des routeurs Cisco, Junyper, WatchGuard, Fortigate
Une liste exhaustive des fichiers et leur rôle a été compilée ici.

L’un des exploits a été testé avec succès sur un Cisco ASA. Cisco s’est déjà penché sur les vulnérabilités en cause et des CVE sont déjà ouverts.

Pour les experts sécu les fichiers peuvent très bien provenir de la NSA : on connait leurs intérêts pour ce type d’équipements réseau depuis les révélations de Snowden et du code crypto présent dans l’archive de TheShadowBrokers aurait des similitudes avec du code déjà supposé lié à EquationGroup.
De plus certains noms de l’archive se retrouvent dans les documents leakés de la NSA révélés par Snowden.

La seconde archive chiffrée n’a pas de mot de passe connu, ce dernier fait l’objet d’une enchère. Les fichiers reviendront donc au propriétaire de Bitcoins le plus généreux.
TheShadowBrokers indique que s’il reçoit la somme d’un million de BTC (*cough* *cough*) les fichiers seront rendus publiques à tous.

Faut-il y voir une vrai enchère, une arnaque ou encore un rançonnage de la NSA ? L’enchère semble une vrai blague étant donné que toutes les transactions Bitcoins sont publiques. Et pour disposer d’un million de BTC il faudrait bien la force de calcul… de la NSA 😀
En tout cas des petits rigolos ont déjà envoyé des BTC à l’adresse de TheShadowBrokers pour les rickroller.

Un article complet sur cette histoire peut être lu chez RiskBasedSecurity.

Firejail : une sandbox pour Linux

Quand on pense sandbox sous Linux on pense éventuellement à Limon, Qubes ou de l’instrumentation de Qemu/VirtualBox/VMWare… quitte à sortir un peu du sujet.

Firejail est une sandbox qui peut s’utiliser à la fois pour déterminer le fonctionnement d’un programme (donc plus comme Limon) mais aussi plus simplement pour restreindre le fonctionnement d’une application légitime et réduire l’impact dans le cas d’une éventuelle exploitation (donc plus comme Qubes).

Une double vision qui devrait plaire aux utilisateurs experts comme aux novices. D’autant plus qu’un utilitaire nommé Firetools permet de lancer facilement des applications en sandbox.

Firejail se base sur les Linux namespaces, un mécanisme apparu sur le kernel Linux 3.8.

Cleanmgr.exe : une nouvelle méthode de bypass de l’UAC

Deux chercheurs sécu sont récemment tombés sur une petite pépite pour bypasser l’UAC de Windows.

Une tache planifiée destinée à l’utilitaire SilentCleanup / Cleanmgr.exe est configurée pour être exécutée sous des privilèges élevés tout en pouvant être appelée par des utilisateurs peu privilégiés.

Or à son lancement l’utilitaire copie des dlls dans le dossier temporaire de l’utilisateur (donc writable) avant de les charger rendant possible un dll hijacking et par conséquent un bypass de l’UAC.

Kor Adana, le hacker consultant sur Mr. Robot

Si elles comptent être dans le vrai les séries TV n’ont pas d’autres choix que de s’entourer de hackers pour savoir comment rendre réaliste une scène ou un scénario traitant d’intrusions informatiques.

Alors qu’un nouveau trailer pour la saison 2 de Mr. Robot a fait son apparition, le site Digital Trends a pu s’entretenir avec Kor Adana, le consultant de la série pour tout ce qui concerne le hacking.

Vous en saurez plus sur Biiinge.

FLOSS : trouver des chaines de caractères cachées dans un exécutable

Pour trouver des chaines de caractères cachées dans un exécutable (obfusquées) on peut espérer que les auteurs du binaire ont utilisé un simple XOR et compter sur les outils XORsearch / XORstrings de Didier Stevens.

Mais pour des stackstrings (chaines écrites octet par octet en mémoire) ou des astuces encore plus farfelues il n’y avait pas de solution miracle jusqu’à l’arrivée de FireEye Labs Obfuscated String Solver (FLOSS).

Cet outil pousse le bouchon plus loin (n’est-ce pas Maurice!) en désassemblant et émulant le programme.
C’est écrit en Python mais un exe Windows existe pour les feignasses et le tout est dispo sur Github.