De nombreux formats de fichiers, en plus de présenter du contenu, comme le JPEG montrant une photo prise, peuvent contenir des métadonnées. Ces informations cachées peuvent être inestimables lors des enquêtes OSINT et des tests de pénétration. Examinons quelques cas et outils utiles pour extraire ces informations apparemment cachées.
Ne Pas Nettoyer les Métadonnées des Photos
Le temps est révolu où les réseaux sociaux bien connus ne nettoyaient pas les métadonnées des photos des utilisateurs publiées sur les profils. L’extraction des coordonnées GPS non supprimées pouvait constituer une grave atteinte à la vie privée, comme la révélation de l’adresse du domicile d’un utilisateur. Bien que les réseaux sociaux suppriment désormais les métadonnées des photos, de nombreuses applications de nature différente ne le font souvent pas. Il est important de prêter attention à cet aspect lors des tests pour protéger les utilisateurs du logiciel testé contre des situations similaires à celle qu’a rencontrée une journaliste de télévision allemande. Elle a publié une telle photo en ligne :
Les internautes curieux ont téléchargé cette photo et ont vérifié ses métadonnées. En plus des informations classiques, il s’est avéré qu’elle contenait quelque chose de plus. Lors de la découpe du cadre ci-dessus, le programme graphique a conservé l’original de la photo sous forme de miniature montrant un cadre plus large – révélant bien trop.
FOCA – Détection Massive de Métadonnées dans les Documents
Extraire des coordonnées GPS ou une miniature cachée d’une photo constitue « seulement » une atteinte à la vie privée. Cependant, en vérifiant les documents pour les métadonnées, nous pouvons tomber sur des informations qui peuvent grandement nous aider lors des tests de pénétration. La recherche manuelle de tels fichiers et leur examen peuvent prendre beaucoup de temps. L’outil FOCA (Fingerprinting Organizations with Collected Archives) automatise ce processus. Pour un domaine donné, FOCA recherche des documents tels que Microsoft Office, Open Office ou PDF et en extrait les métadonnées.
Les métadonnées des documents peuvent contenir les identifiants des utilisateurs qui ont créé le document. Cette information peut être utilisée pour tenter de se connecter à l’application testée avec le compte de cet utilisateur.
D’autres données importantes qui peuvent s’y trouver sont des informations sur le logiciel utilisé pour créer le fichier ainsi que sa version. Il peut s’avérer que le logiciel révélé est vulnérable à un certain type d’attaque et qu’il suffit d’utiliser un exploit prêt à l’emploi pour infiltrer davantage le système.
Outre les informations sur le logiciel, il arrive parfois que des documents laissent également des annotations sur la version du système d’exploitation. Une telle mention facilite également considérablement les tests de pénétration. Après tout, nous savons maintenant pour quel système compiler notre morceau de code malveillant.
Une autre chose intéressante que l’on peut trouver dans les métadonnées des documents est l’information sur l’emplacement réseau des imprimantes. Cela peut aider un attaquant à cartographier l’infrastructure réseau et à attaquer les imprimantes elles-mêmes.
Outil disponible sur GitHub – https://github.com/ElevenPaths/FOCA
ExifTool Scanner – Automatisation lors des Tests de Pénétration
Alors que l’outil précédemment discuté fonctionne comme un scanner de documents autonome recherchant ce qui a déjà été indexé par les moteurs de recherche, il ne nous aidera pas dans la reconnaissance manuelle. Après tout, les documents sont souvent générés à la demande sous la forme d’un accès de téléchargement unique. Ici, un plugin Burp Suite appelé ExifTool Scanner vient à la rescousse. Il surveillera passivement le trafic à la recherche de fichiers contenant des métadonnées et extraira pour nous des informations utiles. Lors de l’un des audits, l’application testée laissait des informations sur l’outil générant dynamiquement des PDF et la version du système sur lequel elle fonctionnait.
Outil disponible dans le BApp Store et sur GitHub – https://github.com/portswigger/exiftool-scanner
Amusant – Supprimer les Métadonnées Peut Être Dangereux
En 2021, GitLab a payé 20 000 dollars pour la découverte d’un bug qui, à la suite de la suppression de métadonnées, a conduit à l’exécution de code à distance sur le serveur. Il suffisait de placer le code suivant dans les métadonnées de l’image :
(metadata
(Copyright "\
" . qx{echo vakzz >/tmp/vakzz} . \
" b ") )La version vulnérable d’ExifTool effectue une vérification à la ligne 31 d’exiftool/lib/Image/ExifTool/DjVu.pm, qui est responsable de la suppression des attributs utilisant $ (variables Perl) ou @ (tableaux Perl) pour assurer la sécurité. Cela est fait parce que ce contenu est ensuite utilisé dans la fonction eval [9] à la ligne 34, qui exécute le contenu en tant que code. Pour déclencher la fonction vulnérable, un fichier DjVu valide avec une annotation contenant la charge utile doit être créé, qui sera exécuté par la fonction eval en tant que code Perl.
Plus d’informations sur cette vulnérabilité peuvent être lues ici : A Case Study on CVE-2021-22204: ExifTool RCE.
