{"id":6725,"date":"2020-05-06T10:37:40","date_gmt":"2020-05-06T10:37:40","guid":{"rendered":"https:\/\/www.erroussafi.com\/?p=6725"},"modified":"2020-05-06T10:37:40","modified_gmt":"2020-05-06T10:37:40","slug":"technique-audit-le-dll-highjacking","status":"publish","type":"post","link":"https:\/\/www.erroussafi.com\/index.php\/2020\/05\/06\/technique-audit-le-dll-highjacking\/","title":{"rendered":"[Technique Audit] – Le DLL Highjacking"},"content":{"rendered":"

Dans cet article, nous allons introduire une technique de manipulation sur windows qui se base sur une id\u00e9e tr\u00e8s simple : le DLL highjacking. Nous allons ensuite introduire un outil pour auditer les binaires Windows qui sont vuln\u00e9rables \u00e0 cette typologie d’attaque apr\u00e8s avoir introduit une d\u00e9finition des librairies DLL et de la technique du DLL Highjacking pour une exploitation du binaire.<\/p>\n

D\u00e9finition des DLL :<\/h2>\n

Une Dynamic Link Library (en fran\u00e7ais, biblioth\u00e8que de liens dynamiques) est une biblioth\u00e8que logicielle dont les fonctions sont charg\u00e9es en m\u00e9moire par un programme, au besoin, lors de son ex\u00e9cution, par opposition aux biblioth\u00e8ques logicielles statiques ou partag\u00e9es dont les fonctions sont charg\u00e9es en m\u00e9moire avant le d\u00e9but de l’ex\u00e9cution du programme.<\/p>\n

.dll est une extension de nom de fichier utilis\u00e9e par des fichiers contenant une Dynamic Link Library.<\/p>\n

Ces biblioth\u00e8ques logicielles ont \u00e9t\u00e9 invent\u00e9es dans Multics en 1964 et existent dans Windows depuis 1985. Elles constituent une des fondations des syst\u00e8mes d’exploitation Windows et sont utilis\u00e9es pour les interfaces de programmation, les pilotes, les widgets et les polices de caract\u00e8res.<\/p>\n

Le d\u00e9tournement de DLL, ou DLL Highjacking<\/h2>\n

Windows a un chemin de recherche pour les DLL dans son architecture sous-jacente, il s’agir de variables d’environnement PATH. Si vous pouvez d\u00e9terminer quelles DLL un ex\u00e9cutable demande sans chemin absolu (d\u00e9clenchant ce processus de recherche), vous pouvez ensuite placer votre DLL hostile quelque part plus haut dans le chemin de recherche afin qu’elle soit trouv\u00e9e avant la version r\u00e9elle, et Windows sera heureux envoyez votre code d’attaque \u00e0 l’application.<\/p>\n

Imaginons donc que le chemin de recherche des DLL de Windows ressemble \u00e0 ceci:<\/p>\n

    \n
  1. r\u00e9pertoire de travail actuel de l’ex\u00e9cutable, priorit\u00e9 la plus \u00e9lev\u00e9e, premi\u00e8re v\u00e9rification<\/li>\n
  2. Windows<\/em><\/li>\n
  3. Windows\\system32<\/em><\/li>\n
  4. Windows\\syswow64<\/em> <- priorit\u00e9 la plus basse, derni\u00e8re v\u00e9rification<\/li>\n<\/ol>\n

    et un executable “Foo.exe” qui fait appel \u00e0 “bar.dll”, qui se trouve dans le sous-r\u00e9pertoire syswow64 (4). Cela vous donne la possibilit\u00e9 de placer votre version malveillante en 1), 2) ou 3) et elle sera charg\u00e9e dans l’ex\u00e9cutable.<\/p>\n

    utiliser le chemin absolu n’est pas d\u00e9nu\u00e9 de danger non plus, \u00e0 noter que l’attaque consiste \u00e0 modifier le comportement d’un DLL “populaire” pour avoir le plus de change d’\u00eatre ex\u00e9cut\u00e9e par les diff\u00e9rents programmes de Windows.<\/p>\n

    Microsoft Windows prot\u00e8ge les chemins d’acc\u00e8s syst\u00e8me comme System32 \u00e0 l’aide du m\u00e9canisme de protection des fichiers Windows, mais la meilleure fa\u00e7on de prot\u00e9ger l’ex\u00e9cutable contre le d\u00e9tournement de DLL dans les solutions d’entreprise est:<\/p>\n

      \n
    1. Utiliser un chemin absolu au lieu d’un chemin relatif<\/li>\n
    2. Si vous avez la possibilit\u00e9 d’utiliser les proc\u00e9dures de verifications, signez vos fichiers DLL et v\u00e9rifiez le signe dans votre application avant de charger la DLL en m\u00e9moire. sinon v\u00e9rifiez le hachage du fichier DLL avec le hachage DLL d’origine.<\/li>\n<\/ol>\n

      Et bien s\u00fbr, cela n’est pas vraiment limit\u00e9 \u00e0 Windows non plus. Tout syst\u00e8me d’exploitation qui permet la liaison dynamique de biblioth\u00e8ques externes est th\u00e9oriquement vuln\u00e9rable \u00e0 cela.<\/p>\n

      Outil d’exploitation : ROBBER<\/h2>\n

      ROBBER utilise un m\u00e9canisme simple pour d\u00e9terminer les DLL susceptibles d’\u00eatre d\u00e9tourn\u00e9es :<\/p>\n

      1) Analyser la table d’importation d’un binaire et trouver les DLL li\u00e9es \u00e0 l’ex\u00e9cutable.
      \n2) Recherchez les fichiers DLL plac\u00e9s \u00e0 l’int\u00e9rieur de l’ex\u00e9cutable qui correspondent \u00e0 la DLL li\u00e9e
      \n3) Si une DLL est trouv\u00e9e, scannez la table d’exportation du th\u00e8me
      \n4) Comparer la table d’importation de l’ex\u00e9cutable avec la table d’exportation de la DLL et si une correspondance a \u00e9t\u00e9 trouv\u00e9e, l’ex\u00e9cutable et les fonctions communes correspondantes sont marqu\u00e9s comme candidats au d\u00e9tournement de DLL.<\/p>\n

      \"Capture<\/p>\n

      Fonctionnalit\u00e9s de ROBBER :<\/h3>\n