A partir du 8 avril 2014, Microsoft cessera les mises à jour de sécurité sous Windows XP. Une aubaine pour les hackers qui, en recherche constante de vulnérabilités, trouveront là un terrain de jeu facile et à la portée des plus novices d'entre eux ! Pour les entreprises qui n’auront pas encore migré ou les systèmes industriels qui ne le pourront pas, les postes sous XP deviendront un cauchemar : maillon faible du SI, ces machines seront LE vecteur d’infection privilégié pour perturber l’entreprise. Venez découvrir lors d’un atelier didactique l'ampleur du problème et étudier les alternatives qui s'offrent à vous pour gérer ce risque et trouver des parades. Session présentée par le partenaire : Arkoon-Netasq Speakers : Edouard Viot (Arkoon-Netasq)

1. La Saint Hacker tombe le 8 Avril
2014.
Saurez-vous faire face à la fin de
support de Windows XP ?
Edouard Viot
StormShield Product Marketing Manager
Arkoon-Netasq

2. Problématique fin de support Windows XP
Plus de correctif de sécurité après avril 2014
8 vulnérabilités par mois en moyenne depuis deux ans, dont de nombreuses critiques permettant de
contrôler la victime.
Des postes sans défense
Les technologies sur base de signature inefficaces contre les exploitations de vulnérabilité. Tout
nouvelle vulnérabilité restera « 0day » ad vitam aeternam.
Une recrudescence des attaques
Trouver des vulnérabilités coûte cher sur un OS non supporté. Les pirates les moins expérimentés
sauront lancer des attaques imparables contre les postes XP.

3. Le paradoxe Windows XP
•
Postes de Production
•
•
Postes de paiement CB
Postes classiques
•
•
•
Figés pour plusieurs années, perte
de garantie en cas de migration
Risque sur la production en cas de
brèche de sécurité
Nombreux et dispersés, difficiles à
migrer
Risque de perte de conformité à PCI
DSS
Plan de migration en retard
Les postes XP seront la tête de pont
idéale pour infecter le reste du
réseau

4. Scénario d’intrusion avant 2014

5. Scénario d’intrusion avant avril 2014
Network
O DAY
Network
Endpoin
t
Endpoint
PATC
H
Patch
CONNU ET MAITRISE
Patch

6. Scénario d’intrusion après avril 2014
Network
O DAY
Network
Endpoin
t
Endpoint
PATC
H
Patch
CONNU ET MAITRISE

7. Advanced Evasion Techniques

8. Fonctionnement des Advanced Evasion Techniques (AET)
Ces techniques permettent d’éviter la détection et le blocage des attaques
par les systèmes de sécurité informatique.
Les AET permettent de faire transiter un contenu malveillant sur un
système vulnérable en évitant une détection.
Utilisation de combinaisons inhabituelles de propriétés de protocoles
rarement utilisées.

9. Fonctionnement des AET : exemple d’attaque
Détection de l’attaque
sur le réseau
ATTAQUE
SIGNATURE
A
B
C
D
E
F
G
D
E
F
G
H

10. Fonctionnement des AET
Fragmentation du message d’attaque
ATTAQUE
FRAGMENTATION
A
B
A
B
C
C
D
E
D
F
E
G
F
H
G
H
ENVOI DU MESSAGE…
RECONSTRUCTION
DU MESSAGE PAR
L’IPS
A
B
C
D
E
F
G

11. Fonctionnement des AET
Exemple des techniques d’évasion
MESSAGE
FRAGMENTE
A
B
C
D
E
F
G
H
ENVOI DU MESSAGE AVEC UN LONG DELAI ENTRE CHAQUE PARTIE
ENVOI DU
MESSAGE
A
B
C
D
E
F
Objectif : provoquer un timeout de l’IPS pour qu’il arrête d’analyser le message
G

12. Faiblesse des antivirus

13. Faiblesse des antivirus
Identifier, neutraliser et éliminer des logiciels malveillants
Base de signatures comparée au fichier à vérifier
Méthode heuristique:
comportement
découvrir
un
code
malveillant
par
son

14. Faiblesse des antivirus
Fonctionnement d’une
base de signature
ATTAQUE
SIGNATURE
A
B
C
D
E
F
G
D
E
F
G
H

15. Faiblesse des antivirus
Chiffrement du code
MALWARE
NOUVEAU
MALWARE
EXECUTION
A
А
B
C
D
E
F
G
H
Routine de
Б
Ц
Д
déchiffrement
Е
Ф
Г
Х
Routine de
déchiffrement
A
А
B
Б
C
Ц
D
Д
E
Е
F
Ф
G
Г
H
Х

16. Faiblesse des antivirus
Mutation du code
MALWARE
A
B
C
D
E
F
G
H
AUTRE FORME
A
B
C
D
D
E
Z
F
E
G
Z
F
G
H
SIGNATURE
Le malware effectue la même action mais son
code est différent ou modifié

17. Faiblesse des antivirus : moteur heuristique
L’analyse heuristique se base sur un comportement pour déterminer si ce
dernier est ou non un virus.
Cette analyse se fait à l’exécution du programme.
Permet de détecter des nouveaux virus et de nouvelles variantes des virus
déjà existants.
Son efficacité est vraiment faible ou génère un nombre important de faux
positifs.
Utile sur des souches assez communes, mais pas utile pour des
malwares sophistiqués

18. Le moteur HIPS de
Identifier, neutraliser et éliminer des logiciels malveillants
Une efficacité prouvée contre les attaques 0day :
- 100% des buffer overflows sur Acrobat Reader bloqués
- 100% sur Flash
Base de signatures comparé au fichier à vérifier
- 91% de blocage pour les navigateurs
Méthode heuristique: découvrir un code malveillant par son
comportement
Des attaques célèbres bloquées par StormShield: Conficker, Aurora, Duqu,
Bercy, etc.

19. Lancer une attaque sur XP
Avant avril 2014
Après avril 2014
Chercher une vulnérabilité inconnue
ou l’acheter
Attendre la découverte d’une
vulnérabilité sous XP ou OS
supérieur
Repackager son malware pour qu’il
utilise cette vulnérabilité
Etudier le rapport et / ou le patch
pour exploiter cette vulnérabilité
Lancer l’attaque
Repackager son malware pour qu’il
utilise cette vulnérabilité
Renouveler l’opération quand un patch
aura été publié pour cette vulnérabilité
Lancer l’attaque
Entre 3 et 12 mois / Entre 10 000 et
100 000 euros
Immédiat, gratuit

20. Le risque de rebond
La plupart des attaques se découpe en deux phases :
1. Primo-infection d’une machine faible
2. Rebond vers les machines « cibles »
Les postes Windows XP, mêmes minoritaires, seront des
vecteurs d’infection massifs.

21. Comment gérer ce nouveau risque ?

22. Options
Migration
Custom support
Microsoft
Virtualisation / VDI
ExtendedXP

23. HIPS de StormShield
Service de veille

24. HIPS
« We particularly like the company's focus on advanced HIPS
techniques to block unknown threats, using a combination of
configuration policies, such as application control, very fine-grained
device control and a flexible firewall policy, as well as proactive HIPS
capabilities, such as features for blocking keyloggers and targeted
attacks designed from the ground up to work together »
Gartner

25. Offre de service
Chaque vulnérabilité est analysée afin de savoir:
• Si elle peut fonctionner potentiellement sur le poste du client
• Si StormShield la bloque de manière proactive
Pour chaque vulnérabilité, un rapport est fourni avec:
• Description de la vulnérabilité
• Si StormShield ne bloque pas, des conseils sont donnés pour être
en mesure de la bloquer (par configuration de StormShield ou du
système d’exploitation)

26. Conclusion
Appliquer une protection comportementale qui permet de
bloquer les attaques connues et non connues.
Connaître les vulnérabilités qui peuvent toucher le poste,
savoir s’en prémunir.
Il est primordial de connaître le risque auquel nous
faisons face, de savoir si nous le gérons par rapport à
l’existant, et sinon comment le traiter.

34. Merci pour votre attention
N’hésitez pas à poser vos questions
Contact:
Edouard Viot
eviot@arkoon.net
06 79 33 74 97