Windows IoT (Internet des Objets), la version de Windows dédiée aux objets connectés est vulnérable vis à vis d’un exploit qui pourrait donner à un attaquant un contrôle total sur le système, selon une présentation faite récemment par une entreprise de sécurité.
Lors du WOPR Summit, qui a eu lieu dans le New Jersey, Dor Azouri, chercheur cybersécurité chez SafeBreach, a fait la démonstration d’un exploit permettant à un périphérique connecté d’exécuter des commandes système au niveau de périphériques IoT utilisant le système d’exploitation de Microsoft. Windows IoT est en réalité le successeur de Windows Embedded. La version allégée de Windows 10 est conçue avec un accès bas niveau pour les développeurs et prend également en charge les processeurs ARM, qui sont largement utilisés dans les périphériques IoT. Selon l’Enquête 2018 sur les développeurs IoT réalisée par la fondation Eclipse, le système d’exploitation représente 22,9% du développement de solutions IoT, principalement au niveau des passerelles IoT.
Comment cela fonctionne ?
L’attaque s’accompagne de quelques avertissements. Selon le livre blanc récemment publié, il ne fonctionne que sur les versions téléchargeables de l’édition Core de Windows IoT, plutôt que sur les versions personnalisées pouvant être utilisées dans les produits d’éditeurs. Un attaquant peut également lancer l’exploit depuis une machine directement connectée au périphérique cible via un câble Ethernet.
L’exploit cible le Hardware Library Kit (HLK), qui est un outil de certification utilisé pour traiter les tests matériel et envoyer les résultats. Le protocole propriétaire utilisé par HLK s’appelle Sirep et constitue son point faible. Un service de test Sirep diffuse régulièrement l’ID unique sur le réseau pour annoncer la présence de l’objet connecté. Windows IoT Core scrute également les connexions entrantes via trois ports ouverts au niveau de son pare-feu.
Cependant, les connexions entrantes vers le service de test Sirep ne sont pas authentifiées, signifiant ainsi que tout périphérique peut communiquer avec lui tant qu’il est connecté via un câble Ethernet plutôt que via une connexion sans fil. Azouri pense que cela est peut-être dû au fait que le service de test IoT a été adapté à partir de l’ancien système d’exploitation Windows Phone, qui reposait sur des connexions USB.
Les périphériques non authentifiés peuvent envoyer une gamme de commandes via les ports, leur permettant ainsi d’obtenir des informations système à partir du périphérique, de récupérer des fichiers, d’uploader des fichiers et d’obtenir des informations sur les fichiers.
Cependant, la commande la plus puissante est peut-être : LaunchCommandWithOutput. Cette dernière récupère le chemin du programme et les paramètres en ligne de commande nécessaires pour lancer des commandes sur le périphérique. Celles-ci fonctionnent avec des privilèges au niveau du système. L’attaquant peut utiliser ces informations pour exécuter des processus sur un appareil IoT à partir d’un ordinateur non authentifié.
Les chercheurs ont créé un outil Python appelé SirepRAT qui permet aux attaquants d’exploiter la faille dans Windows IoT. Ils ont même fourni un fichier type utilisé pour transmettre les charges virales de différentes commandes, ainsi que des exemples.
La réponse de Microsoft
Selon les slides WOPR des chercheurs, Microsoft leur a dit qu’il ne s’intéresserait pas au rapport, car Sirep était une fonctionnalité optionnelle de Windows IoT Core. Sa documentation la décrit comme un package de test, et il envisage de …
mettre à jour la documentation en indiquant que les images utilisant le package TestSirep permettent à toute personne disposant d’un accès réseau au périphérique d’exécuter une commande en tant que SYSTEM sans *aucune* authentification et que cela fait partie de la conception même du produit.
Billet inspiré de Windows IoT Core exploitable via ethernet, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.