Une attaque sur Ubuntu 12.04 Desktop, via Metasploit

Brunus · Le 21/11/2012, à 13:30

Bonjour,

Je suis tombé sur un twit qui diffuse cette page de blog :
http://astr0baby.wordpress.com/2012/11/ … etasploit/

Il s'agit de la description et des scripts pouvant servir à obtenir l'accès root sur une Ubuntu 12.04 LTS Desktop.
Je précise Desktop car l'outil xinput utilisé lors de l'attaque n'est pas installé sur les version Server.
Ubuntu LTS 12.04 Server n'est pas affecté.

En bas de la page, une méthode pour éviter l'attaque :
sudo chmod a-x /usr/bin/xinput

J'ai fais ça sur un système, pour le moment pas de problèmes d'utilisation.
Mais je suppose que ça peut poser des problèmes lors de la connexion d'un nouveau périphérique d'entrée ou de pointage...aucune idée.

Protégez vous

tiramiseb · Le 21/11/2012, à 21:12

Oui enfin bon, c'est un peu n'importe quoi ce truc.

En résumé, le gars :
- a l'accès au PC de sa victime (pas faisable sans savoir se connecter au compte de la victime, donc)
- y lance un logiciel qui lui permet de se connecter à distance en "reverse" (une version tarabiscotée de "ssh -R", quoi...)
- profite de cette connexion pour faire exécuter cette connexion en "reverse" à chaque login de la victime
- utilise xinput pour enregistrer l'intégralité des touches tapées, et donc espérer capter le mot de passe de l'utilisateur : l'actualité récente nous le prouve (piratage, intranet, élysée, tout ça...)

Bien sûr, les deux premières étapes peuvent être exécutées en abusant de la confiance de la victime, mais là la faille n'est pas technique mais humaine et n'importe quel système et n'importe quelle organisation est faillible à ce niveau. En tant qu'utilisateur et surtout administrateur, il faut juste être vigilant pour ne pas exécuter n'importe quoi.
Et dans ce cas il n'est peut-être pas nécessaire de faire des trucs tellement tarabiscotés pour obtenir le mot de passe d'un utilisateur.

C'est vraiment tordu comme façon de faire, franchement. S'il a accès ne serait-ce qu'une minute à la session d'un utilisateur, c'est pas compliqué de mettre directement dans le .profile l'exécution de la commande xinput et l'envoi régulier, par exemple, à une adresse e-mail sur GMail. Pas besoin de tout ce bricolage.

Si on va dans le sens du gars, xinput existant sur tout système d'exploitation basé sur X, alors il a trouvé une "faille" cross-distros et cross-systèmes. Sauf qu'en fait c'est pas une faille, il détourne juste un outil standard pour faire quelque chose de frauduleux... Des exemples comme ça on peut en inventer plein.

Brunus · Le 22/11/2012, à 09:18

Rappel : Un très grand nombre d'attaques font appel au même mode-opératoire, envoyer un logiciel à un utilisateur ou l'installer à son insu.
Sur une Ubuntu, il suffit d'ajouter du code malicieux dans un paquet et de distribuer ce paquet sur un dépôt non-officiel.
Idem avec une simple archive, décompressée sur le bureau et contenant une arborescence dans laquelle il est facile de cacher un exécutable ou un script.

Je ne crois pas qu'on puisse dire que ce type d'attaque "c'est un peu n'importe quoi'...
Exemple, Stuxnet à été distribué sur des clés USB infectées.

Personnellement il m'arrive d'aller en Chine, et cette années j'ai accepté en cadeau une superbe clé USB en verre décorée dans le style porcelaine blanc-blue avec un dragon dessus.

Dans les grandes entreprises la première notion à connaître c'est que les virus passent à pied à travers le firewall...il se connectent de l'intérieur à partir des portables vérolés des personnes qui utilisent leurs portables hors de l'entreprise.

Fin de la leçon

tiramiseb · Le 22/11/2012, à 09:23

Je ne crois pas qu'on puisse dire que ce type d'attaque "c'est un peu n'importe quoi'...

Je précise ma pensée : c'est un peu n'importe quoi de dire qu'Ubuntu est faillible et de décrire ce mode opératoire comme démonstration. Et c'est un peu n'importe quoi de faire un "chmod a-x" pour "résoudre" cette "faille"

Un très grand nombre d'attaques se passent comme ça, comme tu le dis. Le problème ici est le facteur humain et sa trop grande confiance dans un outil qu'il ne comprend pas. Mais c'est un sujet extrêmement complexe, comme tu l'évoques, il y a des centaines (milliers?) de moyens de tromper la vigilance d'un utilisateur...

Brunus · Le 22/11/2012, à 16:41

Oui il n'y a rien de plus dangereux que d'ignorer le danger.

Le fait est qu'avec la diffusion de cette méthode d'attaque, par l'utilisation de xinput, va forcément donner des idées aux petits malins, du genre une certaine frange de la population de 4chan ou pire.
Autant qu'un maximum d'utilisateurs soient au courant que le système qu'on leur à vanté comme mieux sécurisé qu'un windows a aussi ses faiblesses.
Xinput fait sans doute partie d'autres distributions et il est évident que Ubuntu n'est pas la seule distribution vulnérable mais c'est peut être aujourd'hui la plus répandue (avec ses clones).
Cela à donc du sens d'alerter à ce sujet.

En ce qui concerna la solution par le chmod, l'auteur de la démo précise bien que c'est une solution "quick and dirty", et c'est vrai qu'il y a certainement mieux à faire.

Zakhar · Le 22/11/2012, à 18:56

Allez je vais arbitrer en faveur de ... tiramiseb !

Brunus, je dirais que la bonne foi et l'écoute ne sont certainement parmi tes points les plus forts.

Cependant, tu as tout à fait raison, 80% (voire plus) des attaques, viennent de l'intérieur, que l'attaquant l'ait fait exprès ou se soit fait berner. Et cette statistique est indépendante de toute faille et de tout système.
Ton argument est donc correct, mais sans aucun lien avec la faille dont tu parles.

Cet argument en tête, je discutais un jour avec un fille qui travaille chez Interpol. Chez eux, il y a un (1) PC connecté à l'internet public. Ce PC n'est pas relié au réseau local et n'a aucune unité amovible (USB, CD/DVD, floppy, etc...).
Les autres PC reliés au réseau local n'ont pas accès au web et pas non plus d'unités amovibles.

Là, comme ça, tu es à peu près sûr que ça limite (j'ai pas dit annule...) les risques. Après tu peux aussi mettre le PC dans une cave protégé par une cage de Faraday pour éviter les espionnages du rayonnement électromagnétique.

... bref, c'est pour dire, à partir du moment où tu as accès physique au PC et que celui-ci a des entrées "amovibles", ou que tu as accès au Web, tout est possible sur tout système. Il est clair que beaucoup de gens n'ont pas conscience de ça et on a bien dit que la première cause de virus est assis entre la chaise et le clavier.

A partir du moment où quelqu'un a eu accès à ta session et ton PC a accès à l'extérieur ou dispose de supports amovible, tout système sera impuissant à contrer cette faille humaine.

On peut donc même généraliser la faille que tu rapportes, et faire la même chose avec Windows + Cygwin, et probablement l'équivalent avec Mac ou tout système.
Ca ne prouve donc absolument rien !..

Quant au mot de passe root... bah oui, c'est si l'utilisateur le tape, puisque tu écoutes tout ce qu'il tape au clavier... et c'est pareil sur d'autres systèmes si tu mets un keylogger.
Dans mon entreprise, les gens s'étaient piqués des mots de passe, pourtant on a des cartes à puce (mais la faille est que le PIN de la carte était tapé au clavier du PC), tout simplement en mettant l'enregistreur Windows. C'est un machin qui existe depuis... euh... Windows 3.1, et qui permet de capturer des mouvements souris/frappe clavier pour les rejouer et automatiser des tâches.
On a dû mette un "hook clavier" au moment de la frappe du PIN pour boucher la faille !..

Et donc avec ce petit utilitaire Windows, fourni de base et en standard, je peux faire absolument la même chose.

Dernière modification par Zakhar (Le 22/11/2012, à 18:58)

Pseudo supprimé · Le 22/11/2012, à 20:10

Personnellement il m'arrive d'aller en Chine, et cette années j'ai accepté en cadeau une superbe clé USB en verre décorée dans le style porcelaine blanc-blue avec un dragon dessus.

'hum, venant d'un chinois, ... , je garde le dragon en porcelaine et je te laisse la clef usb ...
Statistiquement, les chinois sont des gros pourvoyeurs d'attaques sur nos serveurs informatiques ...
alors sur un desktop, pourquoi pas, surtout si tu représentes un bon bifsteak ...
[exit]Ok, je sors [/exit]

Brunus · Le 22/11/2012, à 22:33

@zakhar
Oui...c'est pas faux...

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 21/11/2012, à 13:30

Une attaque sur Ubuntu 12.04 Desktop, via Metasploit

#2 Le 21/11/2012, à 21:12

Re : Une attaque sur Ubuntu 12.04 Desktop, via Metasploit

#3 Le 22/11/2012, à 09:18

Re : Une attaque sur Ubuntu 12.04 Desktop, via Metasploit

#4 Le 22/11/2012, à 09:23

Re : Une attaque sur Ubuntu 12.04 Desktop, via Metasploit

#5 Le 22/11/2012, à 16:41

Re : Une attaque sur Ubuntu 12.04 Desktop, via Metasploit

#6 Le 22/11/2012, à 18:56

Re : Une attaque sur Ubuntu 12.04 Desktop, via Metasploit

#7 Le 22/11/2012, à 20:10

Re : Une attaque sur Ubuntu 12.04 Desktop, via Metasploit

#8 Le 22/11/2012, à 22:33

Re : Une attaque sur Ubuntu 12.04 Desktop, via Metasploit

Pied de page des forums