VAASeline une suite d'outils d'automatisation pour exploiter massivement VNC via une interface RPC simulée

Par Xavier Poli, secuobs.com
Le 09/04/2009

---

Résumé : Une suite d'outils sera bientôt disponible afin d'exploiter massivement VNC via une interface pseudo-RPC permettant d'exécuter à distance des commandes arbitraires par l'intermédiaire de scripts d'automatisation utilisant uniquement le protocole RFB. - Lire l'article



Rich Smith ( Immunity - lien ) devrait présenter, lors de la prochaine Black Hat Europe, une méthode générique permettant d'exploiter VNC ( lien ) via des scripts d'automatisation utilisant le protocole Remote Frame Buffer ( lien ) sur lequel VNC repose. Lors de la réalisation d'un audit et plus particulièrement lors de la phase d'énumération des services recensés, un grand nombre de serveurs VNC potentiellement exploitables sont habituellement découverts sur des systèmes par ailleurs sécurisés.

Outre les vulnérabilités applicatives déjà publiées ( lien ), VNC est une cible privilégiée car ses accès serveur sont régulièrement soumis à des mots de passe faibles voir vides ou tout simplement à aucune authentification. En général, ils ne se conforment donc pas à la stratégie interne du domaine pour les mots de passe et l'authentification. Bien que la conception même du protocole RFB puisse conférer une apparence simple à la réalisation de scripts de cette nature, cela peut s'avérer finalement plus complexe que prévu en raison des caractéristiques aveugles de ce protocole.

Caractéristiques concrétisées par les événements d'entrées souris/clavier et de sortie avec les mises à jour de l'affichage qui limitent les contrôles puisque les conséquences ne sont pas directement visibles depuis le script attaquant. La technique présentée devrait elle consister à utiliser le presse-papier partagé d'une cible VNC avec un script reposant sur la manipulation des paquets RFB ClientCutText et ServeurCutText ( lien ). Permettant ainsi à l'attaquant d'interagir avec la cible et de surveiller les évolutions comme s'il disposait d'une interface RPC ( lien ) fonctionnant au dessus d'un protocole ASCII extensible.

Celui-ci l'autorisant à effectuer des actions arbitraires sur des serveurs WIN32 VNC en utilisant uniquement le protocole RFB. Développée en Python et placée sous LGPL ( lien ), une librairie autorisera cette technique à être facilement utilisée dans des scripts personnalisés. Cette librairie sera publiée lors de la conférence, au même titre que plusieurs autres outils. Parmi eux, on devrait retrouver un utilitaire (Passive Clipboard Sniff) autorisant un attaquant à capturer de façon passive le contenu du presse-papier partagé au niveau serveur et clients associés.

Devrait ensuite venir un autre outil (Active Clipboard Sniff) pour surveiller activement le presse-papier d'un système VNC ciblé, l'attaquant devant néanmoins s'authentifier pour cela. Le dernier élément (VNC Auto Auth) permettra des attaques se basant sur des fichiers dictionnaire ou sur de la force brute pour récupérer le mot de passe d'accès d'un serveur VNC utilisant ce type d'authentification. Ces outils devraient permettre aux auditeurs de se mettre dans une situation propice à utiliser les techniques VNC RPC précédemment citées et bientôt présentées.

Ces outils peuvent être facilement combinés eux-même dans des scripts complexes afin d'évaluer entièrement et automatiquement la sécurité des serveurs/clients VNC, incluant ici les processus de découvertes de mots de passe et l'exécution d'actions arbitraires. A noter que ces éléments devraient également être applicables au protocole RDP ( Remote Desktop Protocol - lien ), cependant la librairie le permettant est toujours en cours de développement et n'est pas encore tout à fait prête pour être publiée dès maintenant.

Source : Black Hat ( lien )