Actualités

VPN Pulse Secure : le stockage et le chiffrement des mots de passe étaient accessibles depuis le registre Windows !

Depuis le 22 Février 2019, Quentin Kaiser se penchait déjà sur les prémices de la vulnérabilité découlant du VPN Pulse Secure : découverte, publiquement, en Juin 2020, elle rendait instable 900 serveurs dont 677 se sont avérés vulnérables. Depuis cet époque, l’été 2020 et même la rentrée n’a pas été de tout repos pour bon nombre d’entreprises ou d’institutions qui avaient souscrit aux solutions du fournisseur de VPN : le 24 Septembre 2020, la CISA (Cybersecurity and Infrastructure Security Agency) mettait en lumière une intrusion sécuritaire exploitant la faille depuis un compte légitime Office 365. Couplé à Zerologn, l’exploit lié à Pulse Secure a permis de créer un tunnel SSH, en finalité, pour permettre un partage – et une exécution – distant(e) depuis l’adresse IP incriminée. De nouvelles informations viennent alimenter le dossier insécuritaire de la vulnérabilité : les mots de passe étaient accessibles depuis une clé de registre Windows…

 

 

J’ai utilisé procmon pour obtenir des traces de pile avant les appels à RegSetValueEXW et j’ai découvert que CryptProtectData était appelé juste avant d’enregistrer les données dans le registre. J’ai ensuite démonté le binaire principal (./JamUI/Pulse.exe) avec Radare2 et j’ai découvert que le client s’appuyait en effet sur l’API Windows Data Protection (DPAPI) pour crypter les informations d’identification […] la clé DPAPI est stockée dans C: \ Windows \ Sysnative \ Microsoft \ Protect \ S-1-5-18 \ User \ 0AB0296F-01B7-4BC3-90A2-7CBB48201253. En regardant la valeur SID (S-1-5-18), nous savons que la clé appartient au système local, ce qui est logique étant donné que le service Pulse Secure fonctionne en tant que SYSTEM. Cela signifie que nous ne pouvons pas récupérer le mot de passe en clair à moins que nous n’élevions d’abord nos privilèges“, est-il mentionné au sein du billet, le 27 Octobre 2020.

 

Si l’exploit n’est pas pleinement efficace il permet, en partie, d’avoir accès sans difficulté aucune à une partie des données sensibles relatives aux utilisateurs sous VPN Pulse Secure. Un des points qui pourra expliquer les bévues sécuritaires d’il y a quelques mois, heureusement depuis, corrigées : Pulse Secure Connect s’est estampillé des dernières versions (9.1R4, 9.0R5) qui atténuent définitivement cette vulnérabilité.

Outre les recommandations du chercheur, ce dernier signalait les dangers ou applications potentielles d’un tel exploit : “un processus malveillant pourrait s’attacher à Pulse.exe pour obtenir le texte brut lorsqu’il est entré par l’utilisateur lors de la première utilisation, ou un enregistreur de frappe pourrait simplement obtenir le mot de passe de l’utilisateur lorsque la victime le saisit. Cependant, la connexion avec un débogueur sur une machine de production en direct devrait faire beaucoup plus de bruit que le dumping d’une valeur de registre unique et l’appel d’une fonction DPAPI, du moins dans les entreprises disposant de contrôles de sécurité matures“… A veiller !

 

 

Source : Quentin Kaiser – 27 Octobre 2020 – VNP Pulse Secure : post-PoC sur les mots de passe accessibles depuis une valeur-registre Windows.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020 - v1.4.0