Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

Web: une nouvelle vulnérabilité qui permet de puissante attaque d'ingénierie sociale

18 Octobre 2014 , Rédigé par nicko Publié dans #informatique

La vulnérabilité permet de créer des liens sur des sites légitimes qui déclenchent des téléchargements de fichiers malveillants lorsque vous cliquez dessus

Web: une nouvelle vulnérabilité qui permet de puissante attaque d'ingénierie sociale

Les utilisateurs qui sont prudents pour télécharger des fichiers à partir de sites de confiance peuvent être trompés par un nouveau type de vulnérabilité Web:

cette tromperie est réalisé via le téléchargement de fichiers exécutables malveillants qui ne sont pas hébergés là où ils semblent être.

L'attaque a été surnommé reflected file download (RFD), elle est un peu similaire aux attaques cross-site scripting (XSS) où les utilisateurs sont trompés pour cliquer sur des liens spécialement conçues sur des sites légitimes qui forcent leurs navigateurs d'exécuter du code malveillant contenue dans les URL eux-mêmes.

Dans le cas de RFD, le navigateur de la victime n'exécute pas le code, mais propose un fichier à télécharger avec une extension exécutable comme .bat ou cmd qui contient des commandes shell ou des fichiers de script comme JS, VBS, WSH qui sera exécuté par Windows par le biais de l'hôte de script (Wscript.exe). Le contenu du dossier est passé par l'URL que attaquant a produit lorsque l'utilisateur a cliqué dessus, le site Web reflétant la nouvelle l'entrée au navigateur comme un téléchargement de dossier.

Cela permet de puissantes attaques d'ingénierie sociale, car, même si elle n'est pas physiquement hébergé sur le site ciblé, le fichier semble provenir de lui. Les utilisateurs auraient encore à approuver le téléchargement et a exécuter le fichier eux-mêmes, mais il ne serait pas difficile pour l'attaquant de les convaincre de le faire.

Par exemple, un e-mail usurpée d'une banque demandant aux utilisateurs de télécharger et d'installer un nouveau produit de sécurité qui protège leurs sessions bancaires pourrait être très convaincant si le lien de téléchargement inclus pointé vers le vrai site de la banque - et c'est exactement ce que les vulnérabilités RFD permettent .

Selon Oren Hafif chercheur en sécurité chez Trustwave , qui a découvert le problème, un site web est vulnérable à cette attaque si trois conditions sont réunies. La grande majorité des sites qui utilisent JSON (JavaScript Object Notation) ou JSONP - deux technologies Web très populaires qui répondre à ces critères. Les sites qui n'utilisent pas JSON peuvent également être vulnérables, at-il dit.

Hafif a conçu plusieurs variantes de l'attaque et les a présentées lors d'une conférence de sécurité Black Hat Europe. (pdf en bas de page). Il a trouvé la faille dans certains services Google, dans Bing de Microsoft et dans de nombreux autres Top 100 des sites Web sur Alexa, mais il a refusé de les nommer parce que le processus de notification est en cours.

Le chercheur a également trouvé un moyen pour contourner l'avertissement que Windows affiche lorsque vous essayez d'exécuter un fichier exécutable téléchargé à partir d'Internet, ce qui rend son attaque encore plus puissante. Les détails du contournement, qui implique l'utilisation de certaines chaînes dans le nom du fichier, ont été partagés avec l'équipe de sécurité de Microsoft, qui travaille sur un correctif de défense en profondeur.

Les fichiers générés par le RFD n'ont pas à être complexe et peuvent agir en tant que compte gouttes de logiciels malveillants car ils peuvent tirer parti de Windows PowerShell, un environnement shell en ligne de commande et de script installé par défaut dans Windows 7,8 et 8.1 , pour télécharger et pour installer d'autres logiciels malveillants à partir d'un serveur distant. C'est essentiellement, si un tel fichier est exécuté par l'utilisateur que l'attaquant peut prendre le contrôle intégral du système, explique le chercheur.

Source: pcadvisor

Partager cet article

Repost 0
Pour être informé des derniers articles, inscrivez vous :

Commenter cet article

BPO Ocean Indien 24/10/2014 13:05

Les virus informatiques sont toujours plus sophistiqués qu'il est désormais très important de protéger son site web. Avec les infos sur les vulnérabilités et les attaques informatiques et maintenant cela, on comprend mieux pourquoi Google a décidé de mettre en avant les sites en HTTPS. Bien sûr, cela ne veut pas dire que si on bascule vers le HTTPS on est hors de danger des piratages, des vols de données, etc. puisqu'avec le temps, les malwares évoluent et sont plus que jamais sophistiqués.