Discussion :

[Arsene Newman]

Des services Google et Bing seraient vulnérables aux nouvelles attaques de type RFD
des fichiers corrompus téléchargés depuis des sites de confiance

Après le temps des failles de type XSS, certains experts de sécurité mettent en garde les internautes contre une nouvelle forme d’attaque malicieuse qui pourrait bien faire des victimes dans les années à venir.

Baptisé RFD pour Reflected File Download, la dite attaque ressemble sous plusieurs aspects à la faille XSS, principalement en trompant la victime et en lui faisant croire aux téléchargements d’un fichier issu d’un site web légitime.

Ces fichiers malicieux qui se présentent généralement sous la forme de fichier .bat ou .cmd dissimulent des scripts de type JS, VBS ou WSH, qui s’exécutent sur le service Wscript.exe de Windows.

L’autre spécificité de ce type d’attaque réside dans la création du fichier corrompu lors du clic sur le lien malicieux, par conséquent le fichier corrompu n’est pas hébergé sur le site de confiance. Pour se faire, le contenue du fichier passe au travers de l’URL de l’attaquant pour créer le fichier, ce dernier sera alors envoyé à la victime.

Ainsi, un exemple typique d’une attaque similaire serait l’utilisation d’une adresse mail spoofée appartenant à une entreprise de confiance, il suffirait alors d’envoyer un mail à une victime potentielle, qui téléchargera le fichier en croyant télécharger un fichier d’un site de confiance.

Pour le chercheur de Trustwave Security Oren Hafif, qui est à l’origine de cette découverte, un site web légitime peut être victime de ce genre d’attaque, si trois conditions sont réunies. Une découverte qui met les sites web basés sur les technologies très populaires JSON et JSONP en haut de l’affiche, car satisfaisants dans la plupart des cas les conditions requises, le chercheur note aussi que les sites n’ayant pas recours à JSON peuvent être victimes.

Hafif a par ailleurs présenté plusieurs variantes de ce type d’attaque à l’occasion de la conférence black Hat Europe 2014, révélant par la même occasion des vulnérabilités dans certains services Google, dans le moteur de recherche Bing ainsi que d’autres sites web figurant dans le top 100 des sites web les plus visités.

Enfin, Hafif a révélé comment un attaquant pouvait prendre le contrôle total d’une machine, en détournant les messages de sécurité et les alarmes de Windows après avoir renommé minutieusement le fichier corrompu, ou pire encore en recourant directement à la puissante console PowerShell disponible nativement sur le système d’exploitation Windows 7 et plus.

Source : Présentation des RFD au Black Hat Europe 2014

Et vous ?
Qu’en pensez-vous ?

[transgohan]

J'en pense qu'il met un nom sur une technique qui date d'il y a une dizaine d'années.
Ou alors je n'ai compris qu'à moitié...

[abriotde]

Je pense que tu n'as rien compris. Ils l'ont dit cela ressemble a du XSS mais ce n'est pas du XSS. Si tu veux plus de détails, ça ressemble a du Spam, mais ce n'est pas du Spam. Le Spam est juste un moyen de l'utiliser...

Pour attaquer un peu plus loin. L'invention pure n'existe, pas, elle s'inspire toujours d'autres chose, elle adapte une technique... Pire l'invention n'existe pas puisqu'il y a toujours quelqu'un d'autres a l'avoir fait avant. Même dame nature invente ainsi en manipulant son ADN. Et pourtant il y a un stade d'évolution, ou l'on commence a lui donner un autre nom, ou on formalise la technique et on crée une invention avec ce qui existe, sans rien inventer.