Dora Vision - Fotolia
Comment Broadpwn commence l’exploration d’une nouvelle surface d’attaque
Lors de la conférence Black Hat, Nitay Artenstein, chercheur chez Exodus Intelligence, a levé le voile sur cet exploit qui expose des milliards de terminaux à ce qui pourrait être le premier ver Wi-Fi.
Pour constituer un véritable exploit à distance, un exploit doit afficher trois caractéristiques : il ne doit requérir aucune interaction avec l’utilisateur pour s’exécuter ; il doit pouvoir fonctionner sans nécessiter de configuration spécifique de la cible ; et il doit la maintenir dans un état stable pour éviter toute détection.
Et Broadpown, présenté par Nitay Artenstein, d’Exodus Intelligence, à l’occasion de la conférence Black Hat, la semaine dernière à Las Vegas, présente chacune de ces caractéristiques. Il s’appuie sur plusieurs écueils de conception pour détourner un contrôleur Wi-Fi signé Broadcom, largement répandu dans les terminaux iOS et Android.
En fait, ces deux systèmes d’exploitation mobile ont considérablement évolué depuis leurs origines, et élaborer des exploits à distance pour eux est devenu très difficile. Dès lors, Artenstein et ses collègues ont commencé « à regarder dans le voisinage » des terminaux mobiles dans l’espoir d’y trouver d’autres points d’entrée. Ce qui les a conduits au fameux contrôleur réseau de Broadcom. Car lui n’intègre pas de mécanismes de protection comme la randomisation de l’allocation de la mémoire ou la prévention d’exécution de données.
Les équipes de recherche d’Exodus ont alors engagé un processus de rétro-ingénierie et d’étude du firmware du contrôleur Wi-Fi. Un exercice facilité par plusieurs facteurs, dont l’absence de vérifications d’intégrité du firmware ou encore la disponibilité, sur Internet, du code source d’anciennes versions de celui-ci.
L’équipe s’est en particulier penchée sur le processus d’association des spécifications 802.11. Artenstein explique ainsi que les terminaux mobiles émettent des paquets de requêtes pour sonder leur environnement Wi-Fi et cherchent à se connecter automatiquement aux points d’accès connus – où à ce qu’ils pensent être un point d’accès connu. Mais il y a là des vulnérabilités, notamment au sein du processus d’authentification dans la séquence d’association. Et là, il est possible à un attaquant d’utiliser l’exploit Broadpwn pour leurrer un appareil et le conduire à se connecter à un point d’accès malicieux.
« Aucune interaction n’est nécessaie », explique Artenstein : « tant que la victime s’est connectée à un point d’accès par le passé, et si vous restez à proximité pendant une minute ou deux, vous devriez pouvoir observer ces requêtes. Et la beauté de la chose est qu’il n’y a aucune authentification dans ce processus ».
L’exploit met également à profit les extensions du standard dédiées au multimédia (WMM), qui aident à accorder une priorité plus élevée au contenu transmis en flux. Là, un bug permet de lancer des attaques en dépassement de mémoire tampon : de quoi envoyer à un appareil des données corrompant la mémoire du contrôleur Broadcom, sans que l’utilisateur ne puisse s’en rendre compte. Sa mémoire tampon pour paquets réseau a permis aux équipes d’Exodus de concevoir une petite charge utile à délivrer à l’appareil alors même qu’il recherche des points d’accès auxquels se connecter. Cette charge utile ne contente pas d’infecter un appareil : elle peut utiliser ce point de départ pour chercher à contaminer d’autres terminaux mobiles environnants. De quoi en faire un ver Wi-Fi.
Artenstein reconnaît que la conception de l’exploit Broadpwn a demandé une importante quantité de recherche. Mais son équipe n’a pas manqué d’une certaine chance : plusieurs défauts de conception ont facilité le travail : « c’est très simple, très clair. Et ça a été notre jour de chance ».
Des mises à jour – dont la récente version 10.3.3 d’iOS – protègent de l’exploit Broadpwn. Et il convient dès lors de les installer au plus vite. Mais pour Artenstein, il convient aujourd’hui d’être particulièrement prudent : « Les hackers de la vieille école regrettent souvent le ‘bon vieux temps’ du début des années 2000, lorsque les bugs exploitables à distance étaient abondants, qu’aucun remède ne pouvait les bloquer, et vers et logiciels malveillants proliféraient. Avec de nouvelles recherches ouvrant des surfaces d’attaque précédemment inconnues comme la puce Wi-Fi de Broadcom, ces temps pourraient être revenus ».