Une nouvelle attaque contre NTP qui remonte le temps

Sharon Goldberg, professeur associé de la faculté d’informatique de l’université de Boston, se souvient très bien de cette froide journée de février. Aanchal Malhotra, sa doctorante qui préparait une thèse sur la sécurité du routage, ne parvenait pas à concrétiser une attaque contre RPKI (resource public key infrastructure) en raison d’une réinitialisation du cache.

Sa détermination arrivait à sa fin et en dernier recours, elle décida de reculer l’heure de l’ordinateur. A sa grande surprise, cette astuce lui permit de réaliser l’attaque. Sharon Goldberg, voyant que l’attaque avait réussi, demanda à Aanchal Malhotra de lui expliquer sa méthode. Elle répondit qu’elle avait simplement changé l’heure de l’ordinateur et que tout avait fonctionné. La simplicité de la solution les avait surpris.

Sans le vouloir, Aanchal Malhotra venait de découvrir de sérieuses vulnérabilités dans le protocole d’heure réseau qui sert à synchroniser les horloges internes d’un ordinateur. Un attaquant en position « d’homme du milieu » peut les exploiter afin de retarder l’heure sur tous les ordinateurs du réseau et s’introduire dans le processus de chiffrement, provoquer un déni de service ou réduire le seuil de protection lors de l’utilisation de technologies comme DNSSEC.

Sharon Goldberg explique qu’il était étonnant que personne n’avait pensé à utiliser ce vecteur d’attaque. Nous avions compris qu’il s’agissait d’un outil puissant pour des attaques contre des systèmes où l’heure joue un rôle important. La majorité des systèmes de chiffrement utilise l’horodatage pour une raison bien précise. En cas d’erreur dans l’horodatage, il faut s’attendre à des inconvénients. »

Cette semaine, Sharon Goldberg, Aanchal Malhotra et ses collègues d’université Isaac E. Cohen Erik Brakke ont publié un article intitulé Attacking the Network Time Protocol (« A l’assaut du protocole d’heure réseau ») qui aborde les différentes options d’attaques contre NTP. Ces preuves de concept réussissent car l’authentification imparfaite et les erreurs de mise en œuvre du système de chiffrement permettent de reculer l’heure, ce qui pourrait provoquer le chaos sur Internet.

Ce n’est pas la première fois que des vulnérabilités du protocole NTP sont exploitées. Fin 2013, début 2014, des individus malintentionnés ont utilisé des serveurs NTP pour amplifier le trafic d’une attaque DDoS en substituant l’adresse IP de la source des requêtes afin d’envoyer un volumineux flux parasite vers la cible.

D’après Sharon Goldberg, les vulnérabilités détectées par les chercheurs universitaires peuvent intervenir dans des attaques de complexité diverse. La plus simple d’entre elle est le fruit de l’ exploitation du limiteur de vitesse de transfert intégré à NTP. Il suffit à l’attaquant d’envoyer un paquet spécialement créé, surnommé le « baiser de la mort » (kiss-of-death) en usurpant la source. Cela entraîne le blocage de toutes les requêtes envoyées par le client au serveur pendant de longues années et l’heure ne peut pas être réglée.

« Dans la mesure où le nombre de paquets « Kiss-o’-Death » pour chaque client attaqué est limité, il est possible de modifier le scanner de réseau standard (nmap, zmap) et de l’utiliser pour des attaques généralisées contre des clients ntpd sur Internet » écrit Sharon Goldberg sur le site de l’université de Boston, tout en fournissant des conseils sur la protection des serveurs et clients NTP.

D’après Goldberg, il serait possible d’organiser une attaque d’une telle ampleur en balayant l’espace d’adresses IPv4 et en écoutant les réponses en provenance des serveurs vulnérables. Le correctif pour NTP diffusé il y a quelques jours réduit considérablement la possibilité d’une utilisation du « baiser de la mort ».

D’après Goldberg, toutes les attaques de preuve de concept organisées contre NTP jusqu’à présent reposaient sur le principe de « l’homme du milieu ». Notamment, une version d’une attaque présentée par Jose Selvi lors de la conférence Black Hat de l’année dernière qui utilisait NTP pour contourner HSTS. Goldberg et ses collègues ont utilisé dans le cadre de leur étude un de outils de Jose Selvi: Delorean.

Sharon Goldberg constate que « ces dernières années, le nombre de travaux sur les attaques lancées depuis une fausse source a considérablement augmenté. Une attaque de type off-path n’est pas une attaque où l’attaquant se contente d’intercepter le trafic. Il envoie simplement des paquets depuis son ordinateur. Cette menace est bien plus dangereuse. »

Les chercheurs universitaires décrivent également dans leur article une attaque de déni de service qui permet de désactiver NTP sur le client de la victime, même si le correctif contre le « kiss-of-death » a été installé. « Dans ce cas-ci, l’attaquant obtient un paquet KoD valide en provenance des serveurs préconfigurés du client en ‘amorçant la pompe’, c’est-à-dire en envoyant aux serveurs un volume important de requêtes qui semblent provenir du client » peut on lire dans l’article. « Les serveurs réagissent en limitant la vitesse de transfert pour le client et envoient un paquet KoD valide en réponse à chaque nouvelle requête. Lorsqu’il reçoit le KoD, le client arrête de contacter ses serveurs et n’est plus en mesure d’actualiser ses horloges. »

La troisième attaque étudiée par les chercheurs implique un attaquant en position « homme du milieu » et permet d’intercepter le trafic envoyé au serveur NTP en détournant BGP ou DNS. L’attaque recule l’heure sur les clients afin de déjouer le seuil de panique de 16 minutes intégré à NTP. L’attaquant peut ainsi manipuler le cache du client et, par exemple, entraîner l’expiration d’un objet de chiffrement.

Il existe une autre version d’une attaque off-path avec recul de l’heure sur le client qui exploite des erreurs de fragmentations des paquets IPv4.

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *