Symposium sur la sécurité des technologies de l'information et des communications

Conférence d'ouverture. Le nom de l'orateur et le contenu seront précisés ultérieurement.

L'article propose une exploration approfondie des techniques utilisées par les attaquants pour exploiter une vulnérabilité ciblant le moteur Javascript V8. L'analyse se concentre sur la démystification des différentes étapes de l'exploitation, depuis le déclenchement de la vulnérabilité jusqu'à l'aboutissement de l'exécution de code arbitraire. Cette investigation se déroule dans le contexte des mécanismes de sécurité en constante évolution de V8, mettant en avant l'implémentation du projet V8 Sandbox.

La famille des typer bugs est utilisée comme exemple concret pour illustrer les techniques discutées. En examinant en détail les tenants et aboutissants de l'exploitation, l'article met en évidence les défis posés par les mesures de sécurité telles que la compression de pointeurs et l'isolation des objets Javascript, soulignant l'importance cruciale de protéger les pointeurs sensibles pour atténuer les menaces potentielles, tout en mettant en évidence la nécessité croissante d'intégrer des protections matérielles.

L'analyse va plus loin en soulignant la capacité d'adaptation des attaquants face aux innovations des développeurs, mettant ainsi en lumière l'évolution continue des attaques et des mesures de protection dans l'écosystème des navigateurs. Trois techniques d'évasion modernes sont présentées avec les techniques développées dans la sandbox pour y remédier.

crypto-condor est un outil pour tester des implémentations de primitives cryptographiques. Il vise tout d'abord à vérifier que ces implémentations sont conformes, tant au référentiel comme aux recommandations préconisées par l'ANSSI.

Il s'agit d'une librairie Python qui inclut une interface en ligne de commande (CLI). Elle vient accompagnée d'une documentation (détaillée) qui répertorie les fonctionnalités de la librairie, donne des exemples d'utilisation et inclut des guides sur les primitives supportées. Ces guides offrent un aperçu des caractéristiques à connaître, ainsi qu'une liste des règles et recommandations de l'ANSSI concernant la primitives donnée. Les primitives post-quantiques en cours de standardisation par le NIST sont parmi les primitives documentées.

Frinet est un projet qui vise à faciliter la rétro-ingénierie et la recherche de vulnérabilités à partir de traces d'exécution. Il combine une version améliorée de l'explorateur de traces Tenet avec un traceur basé sur Frida, supportant iOS, Android, Linux, Windows sur x86/x64 et arm/arm64. La fonctionnalité Stalker de Frida est notamment utilisée pour la génération de traces. Son fonctionnement sera brièvement évoqué durant la présentation. La présentation mettra également en avant les fonctionnalités du plugin Tenet et de nos ajouts dans celui-ci.

Un article plus complet a été rédigé sur le sujet : https://www.synacktiv.com/publications/frinet-reverse-engineering-made-easier

Le projet est disponible publiquement sur GitHub, sous licence MIT, depuis décembre 2023. L'usage du tracer est entièrement gratuit, mais l'usage du plugin nécessite le logiciel IDA Pro.

https://github.com/synacktiv/frinet

La suite logicielle de l’éditeur Prim’X, comprenant les archives Zed!, le chiffrement de fichiers (locaux ou en réseau) ZoneCentral et le chiffrement de volume Cryhod, est un des moyens – le seul accessible à tous – pour les entreprises et le public souhaitant envoyer et stocker de l’information dite « Diffusion Restreinte » (DR). Elle est donc critique dans l’écosystème français, car déployée dans les entreprises sensibles (toutes celles ayant à traiter de l’information DR) tout en représentant une surface d’attaque externe (au moins pour les archives Zed! reçues de l’extérieur). Une étude de ces logiciels, en particulier Zed! et ZoneCentral, a donc été menée, sans connaissances préalables de la solution. Cet article aborde la méthode et les outils utilisés pour en comprendre le fonctionnement, ainsi que les vulnérabilités qui y ont été trouvées et leurs corrections.

Finding function correspondence between two binaries is essential in reverse-engineering as software are constantly evolving over time. However, this task is notoriously difficult, despite the large number of research papers on this subject. In this work, we present a modular differ called QBinDiff and establish a comparison between state-of-the art differs on standard binaries and show that QBinDiff performs better than the existing differs, notably thanks to its modularity. We also emphazise that QBinDiff may be used to diff anything that can be expressed as a graph with a structure and a similarity over their nodes.

Cette conférence a pour but de présenter le rôle de la rétro-ingénierie des codes malveillants dans le domaine du renseignement sur la menace cyber ou Cyber Threat Intelligence (CTI). Après un bref rappel de ce que c’est que la CTI, nous partirons d’un cas réel d’investigation autour de la chaîne d’infection du code Flowcloud lié au mode opératoire adverse TA410. Cette conférence présentera les mécanismes de protection de ce code : mécanismes anti-analyse et chiffrement des différentes étapes de la chaîne d’infection. Les résultats de ces travaux seront ensuite utilisés afin de créer une nouvelle règle de détection Yara qui permettra de trouver un nouveau variant disposant de zéro de détection sur VirusTotal.

Tous les ans depuis 2019, l'ANSSI organise le FCSC, une compétition CTF en ligne dont un des buts est de constituer une équipe nationale qui participera à l'ECSC organisé par l'ENISA. Depuis sa création il y a cinq ans, le FCSC a évolué, s'est structuré et quelques projets connexes comme Hackropole ont vu le jour. Au-delà d'être apprécié par les joueurs de CTFs, le FCSC permet également de répondre à des objectifs de l'ANSSI et mobilise chaque année une trentaine de personnes. Dans ce document, nous revenons sur cet événement, sur l'organisation de l'équipe nationale ainsi que sur la mise en place d'archives des épreuves passées.

Cette présentation est un retour d'expérience d'un exercice Red Team durant lequel une approche APT a été adoptée face à une cible présentant une surface d'exposition restreinte. Elle détaille les vulnérabilités 0-day découvertes puis exploitées afin de compromettre un déploiement MobileIron/Ivanti EPMM, solution commerciale de gestion de flotte mobile. Au-delà de l'obtention d'un accès initial, elle aborde également les techniques de rebond sur le réseau et de post-exploitation, dont certaines reposent sur des fonctionnalités légitimes de la solution, ayant mené à la compromission de l'infrastructure interne.

L’extension de sécurité DNSSEC, devenue incontournable dans l’Internet moderne, souffre d’un sérieux problème de conception pourtant connu des initiés : ses réponses NSEC et NSEC3 divulguent petit à petit le contenu des zones protégées par une technique nommée "Zone Walking". Cependant, certaines zones DNS résistaient encore à l’extraction de par leurs tailles conséquentes : les TLD tels que .com, .org et .fr qui contiennent des millions d’entrées. Mon travail consiste à faire la revue des 1500 TLD pour évaluer les mitigations implémentées contre le zone walking, la conception d’un outil optimisé pour une utilisation quotidienne sur la totalité des TLD, ainsi que la tâche paradoxalement compliquées du crackage des noms de domaines.

Le protocole DHCP permet de configurer automatiquement les machines d'un réseau et de leur fournir une adresse IP. Il permet également d'ajouter des routes dans leurs tables de routage. Cet article abuse de cette dernière fonctionnalité pour détourner du trafic à son avantage. Combinée à des erreurs dans la logique de génération des règles de filtrage de certains pare-feux, un attaquant peut accéder à des ressources qui lui sont en théorie inaccessibles. Cette attaque a été testée avec succès sur différents pare-feux du marché.

Landlock's goal is to make it possible for Linux applications to sandbox themselves. On Linux, many traditional access control mechanisms are only available to the system administrator, which do not follow the principle of least privilege. As a result, sandboxing policies were created independently of an actual program execution, leading to unnecessarily broad policies. With Landlock, unprivileged processes can safely create sandboxing policies well-tailored to the expected needs of a running application. Landlock also solves the organizational aspect of keeping policy and software in sync with each other, by putting the policy definition and maintenance in the developer's hands.

The development of Landlock happened in three steps: design, integration in the Linux kernel, adoption by distributions and developers. This talk gives our feedback on all these steps, which are all crucial to widely protect users.

Last year, we saw a resurgence of vulnerabilities impacting the logo parsers of various boot chains, leading to complete secure boot bypasses. While these researches, such as LogoFail, impacted mainly desktop environments, mobile platforms are not immune to this type of issues. During our past research analyzing the Android Data Encryption Scheme, we dived into the boot chain of Samsung low-end mobile devices, which are based on Mediatek System-on-Chips. Some parts of the implementation, including the jpeg logo parsing of the bootloader, quickly raised our interest as they had a good potential for bugs.

In this paper, we present a small bug chain that can be used by an attacker with physical access to the device to bypass the secure boot, execute code on the chip and ultimately leak the secret keys protected by the hardware-backed keystore.

This article brings together two important concepts of modern mobile architecture: the secure boot and the Trusted Execution Environment. It gives a comprehensive view of how these features work and how they can be targeted by security researchers, focusing on the offensive approach.

Ce papier présente un type d’attaque peu étudié dans la littérature : la communication à grande distance avec un lecteur de cartes sans contact ISO14443. Il présente le contexte, l’état de l’art dans le domaine, les enjeux sécuritaires et les contraintes techniques. Un démonstrateur a été réalisé, qui a permis de multiplier par dix la distance normale d’accès au lecteur.

Cette présentation est une adaptation de l'attaque "d'arrachage" (tearing) présentée par QUARKSLAB au SSTIC en 2021. Dans cette dernière, différentes fonctions sur les cartes RFID avaient été détournées, dont des compteurs monotones. Les tags RFID de la famille des ST25TB n'étaient pas concernés par les précédentes découvertes. AMOSSYS propose une méthodologie pour compromettre les compteurs monotones de ces cartes, communément utilisées comme titres de transport dans de nombreuses villes françaises. Cette attaque est non-intrusive, demande moins de 50 euros de matériel, et peut être exécutée en quelques minutes. Elle permet de manipuler le système de billetterie, si sa sécurité repose seulement sur ces compteurs.

Face aux avancées techniques en informatique quantique de nombreux acteurs pensent que la cryptographie actuelle est en danger et doit être remplacée. Certaines directives nationales dans différents pays demandent la mise en place d'une transition vers une cryptographie résistant aux ordinateurs quantiques communément appelée Cryptographie Post Quantique. Dans cet exposé nous parlerons de la transition à la cryptographie post quantique, de la situation actuelle, de ses difficultés, et des opportunités qu'elle apporte.

Attention to securing hardware designs is intensifying due to the ubiquity of computing and communication elements in our daily lives. The continuing unveiling of previously unknown vulnerabilities, exemplified by vulnerabilities such as Spectre and Meltdown, further underlines the growing importance of enhanced security measures. Exploiting such hardware bugs presents significant security challenges, as rectifying them often necessitates modifications to the affected systems' hardware. Therefore, it becomes crucial to comprehend the implications of these vulnerabilities and how to detect them. Addressing this concern, the Damn Vuln IoT SoC tool provides a solution, a modular platform facilitating the seamless integration of hardware description errors into a System on Chip for FPGA. It serves as a valuable resource for understanding and navigating the identification and exploitation of such vulnerabilities.

https://github.com/Damn-Vuln-IoT-SoC

In Black Hat 22, Yuval Avrahami & Shaul Ben Hai (https://www.blackhat.com/us-22/briefings/schedule/#kubernetes-privilege-escalation-container-escape--cluster-admin-26344) explored ways of compromising clusters using dangerous RBAC permissions in a Kubernetes cluster. They tried to answer a difficult question: on which conditions a node compromission implies a full cluster compromission ? Their answer can be summarized as: it depends on the permissions of service accounts bound to the compromised node.

However, when attacking a cluster, it's not always possible to get lucky and compromise a node with interesting service accounts. As a defender, we also don't want the security of our cluster to depend on the random distribution of pods on nodes.

But is it really random? Actually, no. The positioning of pods in the cluster is governed by an essential component of kubernetes clusters: the scheduler.

In this article, we continue Yuval Avrahami & Shaul Ben Hai's work by introducing a methodical means of analyzing the pods (and consequently the service accounts) accessible from a node: the domains of feasibility.

We will then see how, in a defense-in-depth approach, we can restrict the pods accessible to a node that may have been compromised thanks to workload isolation.

Finally, we'll look at attack techniques that take advantage of a lack or classic flaws in the implementation of isolation in a Kubernetes cluster. These techniques will show that it is possible to compromise a cluster, still on some conditions, without a single service account accessible from a node.

This will answer the question posed above: on which conditions does a node compromise imply a full cluster compromise? It depends on the permissions of service accounts bound to the compromised node and on the pod's isolation in the cluster.

GitHub Actions is the CI/CD environment of GitHub, allowing users to execute a specific set of tasks based on an event that happened on a repository. These tasks sometimes run in privileged contexts and may manipulate untrusted data coming from external sources that can be controlled by an attacker. This could lead to arbitrary code execution in privileged contexts allowing the attacker to steal sensitive secrets or push arbitrary code on the targeted repository. Such scenarios can be exploited without being an internal contributor of the targeted project.

First, we will introduce the different concepts of CI/CD practices. We will then expose the different elements that are present in a GitHub workflow. Some of them will play a crucial role when it comes to exploitation. We will then showcase multiple types of misconfigurations we observed on different open-source repositories. These could allow a remote attacker to steal sensitive secrets or gain arbitrary write on the different repositories.

1. Présentation de l'outil (https://gitlab.com/MadSquirrels/mobile/pyaxml)

PyAxml est un outil developpé en Python pour manipuler les fichiers AXML (Android XML). Cet outil est utile pour décoder et encoder les fichiers AXML et manipuler les fichiers AXML sous la forme d'un objet Protocol Buffers. Il est conçu pour fonctionner uniquement avec Python 3. Quelques exemples d’utilisation de l'outil sont fournis avec le projet :

- copyaxml.py qui permet de décoder et réencoder le fichier original au format AXML (https://gitlab.com/MadSquirrels/mobile/pyaxml/-/blob/main/examples/copyaxml.py?ref_type=heads)

- copyarsc.py qui permet de décoder et réencoder le fichier original au format ARSC (https://gitlab.com/MadSquirrels/mobile/pyaxml/-/blob/main/examples/copyarsc.py?ref_type=heads)

- replace_activity_name.py pour changer le nom d'une activité et la remplacer par un autre (https://gitlab.com/MadSquirrels/mobile/pyaxml/-/blob/main/examples/replace_activity_name.py?ref_type=heads)

Pour mieux comprendre comment est composé le format AXML un graphique decrivant le format AXML est associé au format drawio et svg : format.drawio, format.drawio.svg (https://gitlab.com/MadSquirrels/mobile/pyaxml/-/blob/main/format.drawio.svg?ref_type=heads)

Cette outil est déjà utilisé dans un autre outil apkpatcher, un outil permettant d'injeter des bibliothèques ou des permissions dans une application pour mener à un audit sur une application plus aisément. Dans ce cadre il est nécessaire de modifier le contenu des fichiers AXML contenu dans l'application Android. L'avantage de procédé de la sorte est d'éviter une extraction complète de l'application, lors de la reconstruction, il existe un grand nombre de cas ou la reconstruction pose problème lorsque l'on extrait l'application en entier.

1. Rump 0 (Colas Le Guernic)
2. Jouer avec les network namespaces - for fun, security and profit (Josselin Mouette)
3. Sure not to rust-up a little (Philippe Thierry)
4. Hackropole : choix techniques (Alexandre Iooss)
5. Axml by proffesor squirrel (Benoît Forgette)
6. Ponçage d'une IHM industrielle (Damien Cauquil)
7. Apache Guacamole - Extract credz (Antoine Cervoise)
8. Retours sur une formation certifiante sur mesure destinée à l’industrie automobile (Olivier Guerrier)
9. Contournement du chiffrement de disque Windows Bitlocker (Sylvain Leroy - Jérôme Maurin - Dionys Colson)
10. Casser BitLocker en 3 min. ? (Adel Allam)
11. Priorisation de vulnérabilités sur des systèmes industriels (Tanguy Pascale)
12. DenyLocker (Florian Martin)
13. The mysteries of the FUJ02B0 file (Nicolas Iooss)
14. Adieu les mots de passe, bonjour les passkey (Corentin Mors)
15. ROPing your way around the EDR (Farid Ayoujil - @faridtsl)
16. Sécurité des basebands, ou le meilleur du pire. (Apolline Zehner)
17. SELKS a 10 ans (Eric Leblond)
18. Flag4jobs - Plateforme de CTF (@xanhacks)
19. Je suis un vrai parisien mobile ! (Alexandre Chazal)
20. RF swift: a swifty tool for RF security assessments (Sébastien Dudek)
21. Scapy + eBPF = <3 (Guillaume Valadon)
22. NixOS Unleashed for (not only) Redteam/Pentest (Samy Lahfa (AkechiShiro))

La présentation proposée développe une méthode d'élévation de privilèges sous Windows utilisant des appels RPC et des NamedPipes. À travers nos recherches, nous avons conçu un outil nommé "CoercedPotato" (https://github.com/Prepouce/CoercedPotato). Nous avons également écrit un article plus complet expliquant les concepts exploités : https://blog.hackvens.fr/articles/CoercedPotato.html.

ntdissector est un outil écrit en Python qui permet de transformer les entrées des fichiers NTDS ou ADAMNTDS en objets JSON. Celui-ci simplifie également le déchiffrement des secrets contenus dans de telles bases. Cette présentation abordera certaines problématiques techniques rencontrées lors du développement de l'outil, ainsi que les particularités introduites par le format ADAMNTDS.

https://github.com/synacktiv/ntdissector

AD Miner est un outil qui :

• A vocation à identifier des faiblesses au sein d'infrastructures Active Directory/Azure (chemins de contrôle, défaut de gestion et de configuration) en s'appuyant sur la théorie des graphes. A fin décembre, 60 contrôles ont été implémentés.

• Peut être utilisé tant pour des activités d'audit que pour réaliser des activités de contrôle permanent

• S'appuie en partie sur les projets SharpHound et BloodHound pour collecter les données à traiter. A ce titre, de nombreuses contributions ont été réalisées pour enrichir ces projets en vue d'ajouter des contrôles

• Fournit un rapport statique en HTML qui offre le confort d'une page dynamique

• Permet d'avoir une visualisation globale des risques mais également d'apprécier de manière détaillée les objets/pratiques déviantes tout en illustrant les impacts de manière pédagogique

• Offre une évaluation des risques et des indicateurs de suivi dans le temps

En outre:

• Un mécanisme de poids est employé pour identifier les chemins de contrôles les moins contraints (et donc les plus à risque).
• Une notation permet également de classifier les déviations qui sont les plus contributrices à la création de chemins de contrôle, pour aider à prioriser les actions de correction.
• Pour pallier l'effort requis en matière de calcul, un algorithme de parallélisation et de grappes permet de traiter des forêts avec une grande volumétrie de données.

Après deux années de développement, l'équipe a souhaité rendre l'outil libre d'utilisation et publié le code sur GitHub.

Last year we started to work on a separated deported UI designed to support an efficient secured and trusted display management with enhanced security level as alternative to technologies such as TrustZone. The goal was to be able to securely receive, manipulate and display requests from an eSE 2 in a separated, dedicated, control/data plane, with non-secure elements fully unaware of such a path. In the meantime, we have worked on a more formal specification on how to properly support a deported UI in our products, while still including our initial use cases as defined in [20]. Our work has been focused on deported trusted and secured UI architectures where an eSE drives directly an auxiliary UI component. Considering also our needs for modern UI rendering, we have then started to look on how to implement such an architecture on various MCUs,3 such as the STM32 family from STMicroelectronics, yet with portability in mind. After an in-depth review of the state of art, no convincing open solution has been identified on MCUs for hosting the firmware pieces of such deported UI. From there is born a new secure and versatile Operating System, denoted Outpost OS, conceived to support at the very same time code integration of various origins, runtime isolation, high level of robustness and security, and industrialization constraints. This article presents this new OS and its main associated concepts.

QEMU is one of the most used software to perform efficient executable files and systems emulation, and inspired multiple tools like Avatar2, Panda or the Unicorn Engine using CPU emulation for security research and training. Emulating a computer or an embedded system with QEMU is quite straightforward and documented, but emulating a board based on a microcontroller or a system-on-chip is a different story. Therefore, modifying QEMU to emulate a specific target system is sometimes the only option regarding performances and other benefits QEMU provides, but is often seen by security researchers or trainers as very difficultor impossible to do because of the complexity of QEMU.

In this paper, we first briefly explain the main core concepts of QEMU including some of its internals and the QEMU Object Model. Then, we demonstrate that adding a custom board in QEMU is not a tedious task and can be done with little knowledge of its API, based on a specific board we use in trainings and hardware CTFs. Finally, we quickly demonstrate how this custom emulated board can be used for dynamic analysis and vulnerability research using QEMU debugging capabilities.

The C language has historically suffered from a lack of proper bounds-checking on all kinds of arrays. The Kernel Self-Protection Project has been addressing this issue for several years. In this presentation, we will learn about the most recent hardening efforts to resolve the problem of bounds-checking, particularly for fixed-size and flexible arrays.

We will explore the different mechanisms being used to harden key APIs like memcpy() against buffer overflows, which includes the use of some interesting built-in compiler functions. We will also talk about a couple of recent compiler options like -fstrict-flex-arrays and -Wflex-array-member-not-at-end, as well as the new __counted_by__ attribute released in Clang-18 a few weeks ago, which helps us gain run-time bounds-checking coverage on flexible arrays.

Overall, we will discuss how various challenges have been overcome and highlight the innovations developed to solve the problem of array bounds-checking in both C and the Linux kernel once and for all.

Les grands modèles de langage (ou Large Language Models, LLM) et l'IA générative ont complètement redéfini le paysage de l'intelligence artificielle ces deux dernières années. Des progrès ont été réalisés sur les architectures, les méthodes d'entraînement, et de nombreux datasets publics ont été mis à disposition par la communauté, ainsi que des modèles pré-entraînés, permettant de nouveaux usages à un coût relativement faible. En parallèle, du côté des cyberattaques l'essor des outils malveillants Powershell a conduit à trouver des méthodes innovantes pour améliorer leur détection. Nous proposons une méthode moderne et efficace de détection des scripts Powershell, en utilisant un LLM initialement entraîné sur la complétion et la caractérisation de code. Nous expliquerons les avantages de l'utilisation d'un modèle pré-entraîné, différentes façons de l'adapter à notre tâche, et présenterons les résultats. En particulier, nous expliquerons comment nous avons pu utiliser le modèle entraîné et lui demander "quand il se trompait", mettant en lumière les erreurs dans le jeu de données d'entraînement. Nous expliquerons d'où proviennent ces erreurs, et comment nous avons pu améliorer le modèle de manière itérative en les corrigeant, ce qui permettra à plus de personnes de reproduire nos découvertes et de corriger les pièges associés aux jeux de données bruités. Nous ouvrirons également la discussion sur ce que l'on peut entendre comme "malveillant" au sujet d'un fichier Powershell, selon les objectifs que l'on peut avoir.

Le code est disponible ici : https://github.com/glimps-re/PowersheLLM

Malgré le fait que Powershell existe depuis maintenant 17 ans et qu’il soit très utilisé par des acteurs malveillants, la détection de Powershell reste un défi pour les équipes de détection avec presque peu d’outils de désobfuscation ou de papier sur le sujet. Cette présentation retrace notre pierre à l’édifice avec nos différentes démarches et nos outils (qui seront rendu public juste avant la présentation à SSTIC) mises en œuvre au sein de l’équipe du CERT d’Airbus afin d’améliorer notre détection, avec pour principaux objectifs de couvrir toujours plus de schémas malveillants en réduisant le nombre de faux positifs.

Sigma est un langage de détection et de corrélation d’évènements de sécurité. Il propose un modèle de règles génériques permettant de décrire des comportements caractéristiques d’un mode opératoire adverse. Sa dernière version s’accompagne d’une évolution majeure des opérateurs de corrélation permettant aux analystes de s’adapter à une menace qui ne cesse d’évoluer.

This article presents our work on the security evalutation of the Belenios voting solution as a Certification de Sécurité de Premier Niveau, the French simple alternative to Common Criteria. We present the steps taken by the LORIA, who designed Belenios, and Quarkslab, who carried out the evaluation, as well as our exchanges with the ANSSI, who coordinated everything.

We also hope to start a more general discussion on how to evaluate the security of e-voting systems in practice, as they are difficult to compare with other types of software, and any vulnerability may have an impact at a large scale.

De la complexité, son inéluctabilité, et ses conséquences.