IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Des services Google et Bing seraient vulnérables aux nouvelles attaques de type RFD


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Étudiant
    Inscrit en
    août 2011
    Messages
    283
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Algérie

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : août 2011
    Messages : 283
    Points : 18 071
    Points
    18 071
    Par défaut Des services Google et Bing seraient vulnérables aux nouvelles attaques de type RFD
    Des services Google et Bing seraient vulnérables aux nouvelles attaques de type RFD
    des fichiers corrompus téléchargés depuis des sites de confiance

    Après le temps des failles de type XSS, certains experts de sécurité mettent en garde les internautes contre une nouvelle forme d’attaque malicieuse qui pourrait bien faire des victimes dans les années à venir.

    Baptisé RFD pour Reflected File Download, la dite attaque ressemble sous plusieurs aspects à la faille XSS, principalement en trompant la victime et en lui faisant croire aux téléchargements d’un fichier issu d’un site web légitime.

    Ces fichiers malicieux qui se présentent généralement sous la forme de fichier .bat ou .cmd dissimulent des scripts de type JS, VBS ou WSH, qui s’exécutent sur le service Wscript.exe de Windows.

    L’autre spécificité de ce type d’attaque réside dans la création du fichier corrompu lors du clic sur le lien malicieux, par conséquent le fichier corrompu n’est pas hébergé sur le site de confiance. Pour se faire, le contenue du fichier passe au travers de l’URL de l’attaquant pour créer le fichier, ce dernier sera alors envoyé à la victime.

    Ainsi, un exemple typique d’une attaque similaire serait l’utilisation d’une adresse mail spoofée appartenant à une entreprise de confiance, il suffirait alors d’envoyer un mail à une victime potentielle, qui téléchargera le fichier en croyant télécharger un fichier d’un site de confiance.

    Pour le chercheur de Trustwave Security Oren Hafif, qui est à l’origine de cette découverte, un site web légitime peut être victime de ce genre d’attaque, si trois conditions sont réunies. Une découverte qui met les sites web basés sur les technologies très populaires JSON et JSONP en haut de l’affiche, car satisfaisants dans la plupart des cas les conditions requises, le chercheur note aussi que les sites n’ayant pas recours à JSON peuvent être victimes.

    Hafif a par ailleurs présenté plusieurs variantes de ce type d’attaque à l’occasion de la conférence black Hat Europe 2014, révélant par la même occasion des vulnérabilités dans certains services Google, dans le moteur de recherche Bing ainsi que d’autres sites web figurant dans le top 100 des sites web les plus visités.

    Enfin, Hafif a révélé comment un attaquant pouvait prendre le contrôle total d’une machine, en détournant les messages de sécurité et les alarmes de Windows après avoir renommé minutieusement le fichier corrompu, ou pire encore en recourant directement à la puissante console PowerShell disponible nativement sur le système d’exploitation Windows 7 et plus.

    Source : Présentation des RFD au Black Hat Europe 2014

    Et vous ?
    Qu’en pensez-vous ?

  2. #2
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    3 147
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 3 147
    Points : 9 347
    Points
    9 347
    Par défaut
    J'en pense qu'il met un nom sur une technique qui date d'il y a une dizaine d'années.
    Ou alors je n'ai compris qu'à moitié...

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  3. #3
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2007
    Messages
    846
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juillet 2007
    Messages : 846
    Points : 1 850
    Points
    1 850
    Par défaut
    Je pense que tu n'as rien compris. Ils l'ont dit cela ressemble a du XSS mais ce n'est pas du XSS. Si tu veux plus de détails, ça ressemble a du Spam, mais ce n'est pas du Spam. Le Spam est juste un moyen de l'utiliser...

    Pour attaquer un peu plus loin. L'invention pure n'existe, pas, elle s'inspire toujours d'autres chose, elle adapte une technique... Pire l'invention n'existe pas puisqu'il y a toujours quelqu'un d'autres a l'avoir fait avant. Même dame nature invente ainsi en manipulant son ADN. Et pourtant il y a un stade d'évolution, ou l'on commence a lui donner un autre nom, ou on formalise la technique et on crée une invention avec ce qui existe, sans rien inventer.
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

Discussions similaires

  1. Réponses: 1
    Dernier message: 13/06/2014, 11h29
  2. Réponses: 10
    Dernier message: 25/05/2010, 08h10
  3. Réponses: 2
    Dernier message: 23/05/2010, 17h14
  4. Réponses: 4
    Dernier message: 10/12/2009, 16h57
  5. Réponses: 3
    Dernier message: 15/07/2009, 12h43

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo