=========================================== Réunion OSSIR groupe sécurité Windows Lundi 13 janvier 2003 =========================================== Ordre du jour : 1 - Présentation des outils de sécurité distibués par CoperNet (Arnaud AUBERT / CoperNet) 2 - Présentation des produits eEye (Benoit ROUSSEL, Edouard LORRAIN / eEye) 3 - Revue mensuelle des vulnérabilités Windows (Nicolas RUFF / EdelWeb) ==================================================== 1 - Présentation des outils de sécurité par CoperNet (Arnaud AUBERT / CoperNet) ==================================================== CoperNet est une société française qui importe et distribue en France des outils Windows de tout type, les plus connus étant probablement FileMon et RegMon de SysInternals. Les outils retenus pour la présentation car à vocation sécurité sont : --------------------------------- FileAudit (IS Decisions) --------------------------------- Outil permettant une exploitation "humaine" des entrées d'audit concernant l'accès aux fichiers. Q: Avec quelles versions de Windows cet outil est-il compatible ? R: NT/2000/XP/.NET --------------------------------- UserLock (IS Decisions) --------------------------------- Outil permettant d'éviter le logon multiple dans un domaine Q: UserLock exploite-t-il une base centralisée ? R: La première version de UserLock se basait exclusivement sur le journal d'audit des contrôleurs de domaine, mais avec Windows 2000 ceci n'est plus possible à cause du mécanisme de tickets du protocole Kerberos. Les évolutions apportées (et financées par le principal client du produit, à savoir le DoJ) sont : - Remplacement de la GINA Windows 2000 - Stockage des informations dans une base propriétaire Ce produit connaît encore des évolutions majeures actuellement. --------------------------------- Enterprise Security Reporter (SmallWonders Software) --------------------------------- Outil de collecte et d'analyse "offline" des permissions sur les fichiers, les partages et la base de registre. L'outil collecte aussi des informations locales comme les groupes et comptes locaux. La collecte s'effectue à des horaires programmables et ne nécessite pas d'agents sur les postes. L'ensemble des résultats est stocké dans une base de données SQL. Des requêtes prédéfinies (personnalisables) permettent d'extraire des rapports complets, différentiels, par groupe, par utilisateur, etc. qui permettent par exemple de déterminer rapidement les utilisateurs qui sont administrateurs de leur poste ou les fichiers dont les permissions ont été modifiées récemment. --------------------------------- Security Explorer (SmallWonders Software) --------------------------------- Permet de gérer efficacement les permissions sur les fichiers, les partages et la base de registre. Des permissions peuvent être ajoutés/clonées/révoquées rapidement, par lot sur des ensemble filtrés. L'outil exploite le droit de backup/restore et ne prend pas possession des fichiers auxquels l'administrateur n'a pas accès en standard. Q: Quels avantages des outils précédents par rapport à l'outil SubInAcl du Kit de Ressources Techniques ? R: Les outils proposés sont beaucoup plus conviviaux et puissants pour traiter de gros volumes de fichiers. L'outil SubInAcl nécessite un important enrobage de scripts pour permettre les mêmes fonctionnalités. ==================================================== 2 - Présentation des produits eEye (Benoit ROUSSEL, Edouard LORRAIN / eEye) ==================================================== eEye est une société de sécurité américaine connue pour ses avis de sécurité Windows, issus du développement des outils phares de notoriété internationale "SecureIIS" et "Retina". --------------------------------- SecureIIS --------------------------------- SecureIIS est un outil de sécurisation IIS (comme son nom l'indique). Il se présente sous la forme d'un filtre ISAPI ce qui lui permet de ne pas toucher à la configuration du serveur (contrairement à IISLockDown) et de pouvoir intégrer des changements de configuration sans redémarrage du serveur IIS. Cet outil protège IIS (protocoles HTTP et HTTPS, contrairement aux filtres "externes" de type "reverse proxy"), ainsi que les extensions OWA et FrontPage, contre les attaques connues et inconnues. En effet l'outil ne repose pas sur une base de signatures mais sur des "classes d'attaque" à savoir : buffers, methods, shellcode, keywords, protect, folders, web apps, errors. Chacune de ces classes comprend des filtres paramétrables par l'utilisateur. * Buffers : limite de taille sur la plupart des headers HTTP * Methods : méthodes HTTP utilisables * ShellCode : recherche de caractéristiques d'un shellcode (ex. code ASCII > 127) * Keywords : recherche de mots clés dans le flux * Protect : protection contre des attaques diverses (inclassables) * Folders : restriction des fichiers/répertoires accessibles * Web Apps : support des applications Web (telles que OWA) * Errors : permet d'afficher des erreurs personnalisées sur incidents de sécurité SecureIIS permet de plus d'auditer l'accès à des fichiers sensibles du serveur Web (tel que CMD.EXE) et de générer des statistiques d'utilisation. Q: Quelle est le nombre de vulnérabilités IIS depuis 2 ans ? R: Ne sait pas mais 50% d'entre elles ont été découvertes par eEye :-) La politique de eEye est de ne publier que des vulnérabilités pour lesquelles il existe un correctif de l'éditeur. Marc Maiffret, responsable du labo de R&D, a prévu un voyage en France et se fera sans doute un plaisir de répondre aux questions des participants. Q: La protection contre les "buffer overflows" est-elle efficace, compte-tenu du grand nombre de composants susceptibles d'être vulnérables à une telle attaque ? R: Jusqu'à présent la configuration par défaut a arrêté 100% des attaques en "buffer overflow" connues. Q: SecureIIS est-il un pur filtre ISAPI ou modifie-t-il une partie de la metabase ? R: Il s'agit d'un pur filtre (dont la priorité est relativement haute mais inférieure au décodeur HTTPS par exemple) Q: Existe-t-il une méthode d'apprentissage des headers HTTP non standard ? R: Non, la liste standard est figée et ne peut évoluer que par upgrade du produit. Q: Comment se comporte le produit vis-à-vis des headers inconnus ? R: Ils sont passés tels quels, mais il est possible de limiter le volume global des headers. Q: Où est stockée la configuration du logiciel ? R: Dans un fichier INI. Q: Le logiciel protège-t-il contre le Cross Site Scripting ? R: Oui éventuellement par filtrage du mot-clé "script", ou plus radicalement sur les caractères '<' et '>'. Q: Le logiciel protège-t-il contre les trous de sécurité PHP ? R: Non, il s'agirait d'une protection de niveau applicatif. SecureIIS est un filtre applicatif se limitant au contenu des requêtes HTTP/HTTPS. Q: Est-il possible d'autoriser explicitement au lieu d'interdire ? R: Oui pour le module "folders". Q: eEye a-t-il accès au code source de Windows pour ses recherches de vulnérabilités ? R: Non Q: eEye recherche-t-il aussi des vulnérabilités IIS contre lesquelles le produit SecureIIS est inefficace ? R: La recherche de vulnérabilités est une activité à temps plein dont les retombées marketing sont importantes. Elle concerne toutes les vulnérabilités, toutefois eEye ne publie pas de vulnérabilités sans correctifs ou d'intérêt mineur. --------------------------------- Retina --------------------------------- Retina est un scanner réseau de vulnérabilités, qui comprend deux parties : une base de données au format Access de plus de 1100 vulnérabilités Windows/Unix, et un module générique ("CHAM") permettant de détecter des vulnérabilités de type "buffer overflow" dans des services inconnus du logiciel. La détection d'OS est basée sur NMAP v3. La détection de service se base sur le port mais aussi sur le protocole lorsque celui-ci est un protocole "classique" (HTTP, FTP, SMTP, POP3). Ainsi il est possible de détecter un serveur POP exécuté sur le port 80. Retina 5 est prévu au 2ème trimestre 2003. Q: Comment est alimentée la base de vulnérabilités ? R: La veille eEye utilise les sources classiques (BugTraq, ...). Un filtre par pertinence et par catégorie (MS, Apache, Oracle, ...) est ensuite appliqué. Q: Quelle est l'architecture du logiciel ? R: Le module d'analyse est standalone (pas d'agents ou de proxies) mais il est possible de centraliser les logs de plusieurs scanners avec la console REM. Q: Quel est le type de scan par défaut ? R: Par défaut il s'agit d'un SYN Scan sur environ 2000 ports TCP et/ou UDP. Il est possible de lancer un scan sur des ports choisis par l'utilisateur (voire tous) et/ou un Connect Scan. Q: Comment détecte-t-il que le système est réellement vulnérable sans tester la vulnérabilité ? R: Le logiciel ne se base uniquement pas sur la bannière, mais il analyse aussi la base de registre pour vérifier la présence de patchs (si possible), ainsi que les échanges spécifiques de paquets. Les méthodes utilisées sont globalement confidentielles et font la force du produit. Q: Qu'est-ce que CHAM (Common Hacking Attack Methods) ? R: Il s'agit d'un testeur de "buffer overflow" générique sur les protocoles FTP, POP3, SMTP, HTTP. Q: Comment se présente la base de vulnérabilités ? R: Il s'agit d'une base Access avec des plugins sous forme de DLL lorsqu'un test réseau est nécessaire. Q: Quels sont les avantages de Retina vs. Nessus, ISS ? R: Vs. Nessus : tests non intrusifs et support utilisateur Vs. ISS : simplicité, licences par volume et pas par adresse Q: Y a-t-il un engagement contractuel sur le non-crash des machines scannées ? R: A priori non. Q: Existe-t-il des licences avec plage d'adresses illimitée ? R: Il existe 2 types de licences : * Licence IP Pack (client final) : Il existe des Licences pour un volume fixe d'IPs (16, 32, 64....). Le client n'a le droit de scanner que les IPs qu'il possède. La maintenance vient ensuite s'ajouter à partir de la 2ème année et donne accès au support et aux mises à jour. * Licence Traveling (Consultant) : Il y a 3 licences : 1- Volume de 256 IPs (annuel) 2- Volume de 65536 IPs (annuel) 3- Volume de 256 IPs (2 semaines) Les mises à jour et l'accès au support sont de la même durée que la licence. Il n'y a pas de notion de maintenance. Q: Comment est affecté le niveau de criticité ? R: Ce taux est affecté par eEye mais peut être personalisé dans la base Access. Q: Quel est le taux de "false positive" ? R: Il s'agit d'un facteur de différenciation avec la concurrence sur lequel eEye fait baucoup d'efforts. Dans la base actuelle, 7 tests sur 1105 peuvent engendrer un "false positive". --------------------------------- Retina + REM => EVA --------------------------------- EVA est un produit en version Beta, prévu pour le 2ème trimestre 2003. Il s'agit d'un outil de centralisation et de traitement des scans issus de Retina. Toutes les informations servant à la génération des rapports sont stockées dans une base SQL. Il est ensuite possible de faire des scans complets ou différentiels, d'assigner et de suivre les tâches d'amélioration du niveau de sécurité, de suivre ce niveau dans le temps sous forme graphique, etc. Remarque : la base SQL et le serveur IIS supportant l'application EVA peuvent être distincts. Q: L'assignation des tâches est-elle basée sur une définition de rôles ou définition de groupes ? R: Une définition de groupes (les rôles sont prédéfinis : administrateur, support, etc.) Q: L'outil s'intégre-t-il avec des outils de Help Desk ? R: C'est prévu avant la sortie officielle du produit. Q: Comment sont rapatriés les rapports d'analyse depuis les clients ? R: Par un tunnel chiffré. Une PKI (fournie) installée sur le serveur permet la génération de clés pour les clients Retina. Remarque : le stockage de l'information est en clair dans la base SQL centrale : cette base est à protéger correctement. ==================================================== 3 - Revue mensuelle des vulnérabilités Windows (Nicolas RUFF / EdelWeb) ==================================================== Les vulnérabilités les plus récentes des environnements Windows sont passées en revue. La prochaine réunion du groupe est fixée au lundi 10 février 2003. Le groupe est ouvert à toute proposition d'intervention et/ou d'hébergement.