Fuzzing

Bonjour à tous,

Cela fait pas mal de temps que nous n'avons pas mis à jour notre blog sécurité R&D par manque de temps et sur le fait que de nombreux travaux réalisés ne peuvent être publiés .....

Nous revenons aujourd'hui sur un sujet assez spécifique concernant le reverse et la création d'un module John The Ripper sur un algorithme de hashage assez peu connu utilisé sur des bases de données SYBASE. Nous savons qu'à partir de la version 15.0.1 les hash sont générés via SHA-256 mais pour les versions antérieures (<= 12.5), encore très utilisées en entreprise, l'algo utilisé n'a jamais été reversé jusqu'au bout (FEAL-8).

C'est donc le sujet de ce papier qui va permettre via un cas client de développer un module John The Ripper pour les hash de type SYB-PROP

Après une longue période de vacances, voici un nouvel article sur notre blog.

Cela fait un moment que l’on n’a pas parlé de Reverse Engineering sur le blog, il est temps d’y remédier.

Aujourd’hui nous allons nous intéresser aux applications Windev que nous avons découvertes lors d’un audit. WinDev est un langage de développement développé par PcSoft, société Française.

L'objet de cet article concerne plus précisément l’outil WDModfic.exe qui a pour objectif de modifier les fichiers d'analyse d'une application WinDev et qui est embarqué avec toute application WinDev.

Il est important de savoir que WinDev utilise 2 grands types de fichiers :

  • Un fichier d'analyse permettant de décrire la structure des fichiers de données
  • Les fichiers de données eux-mêmes

Le but de ce Reverse est d’arriver à prendre la main sur les fichiers de données de l'application protégés par une couche de chiffrement supplémentaire basée sur un mot de passe paramétré directement dans WinDev. Ce mot de passe est souvent identique à celui configuré sur le fichier d'analyse de l'application WinDev (en tout cas dans les applications WinDev que l'on a audité)

Le processus d'attaque est le suivant :

  1. Téléchargement de l'outil wdmodfic.exe
  2. Reverse Engineering de ce dernier
  3. Découverte de la vulnérabilité
  4. Extraction du mot de passe embarqué dans l'outil wdmodfic.exe
  5. Récupération des données contenues dans les fichiers de données dans le cas ou le mot de passe du fichier d'analyse est le même que celui du fichier de données

Ceci permet donc via un utilitaire WinDev disponible librement de prendre le contrôle de n'importe quelle application développée sous WinDev.

Attention ceci n'est valable que pour la version 16 de WinDev (qui est plutôt récente et datant de Juin 2011). Nous n'avons pas réalisé le test sur WinDev 17

Dans ce premier opus du blog nous allons parler kernel, déréférencements de pointeurs, de reverse engineering et un tout petit peu de système de fichier. Beaucoup de choses techniques mais rien de très compliqué. Notre cas d’étude sera l’outil de détection de rootkits GMER, il a la capacité de détecter de nombreux rootkits en noyau Windows et ce sans utiliser de signatures ! Un administrateur système utilisera donc cet outil pour détecter un possible virus d’ores et déjà installé sur sa machine. Nous avons voulu savoir si le fait d’utiliser cet outil (de protection à l’origine) ne peut pas ouvrir des axes d’attaques supplémentaires.