Exploitation en masse d'une faille vieille de deux ans sur le webmail Yahoo!

Ouvrant grand la porte aux attaques par force brute

Exploitation en masse d'une faille vieille de deux ans sur le webmail Yahoo!, ouvrant grand la porte aux attaques par force brute

Une faille de sécurité vieille de deux ans, présente sur les réseaux de Yahoo, est actuellement activement exploitée. En effet, cette dernière permet de bénéficier d'un nombre illimité d'essais pour tenter d'entrer un mot de passe dans le formulaire de connexion du webmail du site.

La vulnérabilité se trouve dans une application web qui automatise le processus de login dans la globalité du service mail en ligne et échoue dans l'exécution de plusieurs vérifications de sécurité sur le portail de connexion du webmail. Ceci offre aux criminels une entrée backdoor par laquelle ils peuvent s'introduire dans les comptes des utilisateurs.

Ces deux derniers mois, le Web Application Security Consortium a constaté plusieurs milliers de tentatives d'utilisation de l'application web défectueuse afin de réaliser des attaques par force brute, car elle ne disposerait que d'un seul détecteur installé sur seulement un seul des nombreux proxys des serveurs Yahoo!.

[Pour mémoire, l'attaque par force brute consiste à tester, une à une, toutes les combinaisons de signes possibles pour découvrir un mot de passe ou une clé.]

Ces données confirment ce que les professionnels de la sécurité supposaient depuis presque 10 ans : le piratage de comptes en ligne sur tous types de sites est favorisé par les applications web souffrant de backend overlooked qui ne sont pas verrouillées correctement.

Dans le cas de Yahoo!, l'application semble être une backend de programmation d'interface qui autorise les clients des partenaires de Yahoo! à vérifier leurs e-mails sans avoir à quitter le site du partenaire ("/config/isp_verify_user" est visible dans l'URL). L'implémentation de la liste de contrôle d'accès (permettant de définir les ordinateurs autorisés à utiliser le service et ceux ne l'étant pas) n'étant pas opérationnelle à cause des défauts de l'application, cela mène a des abus.

Un autre point noir est la richesse des renseignements fournis par l'app quand des informations invalides sont entrées. Ainsi, si on entre un mauvais mot de passe pour un nom d'utilisateur valide via le portail principal de Yahoo! Mail, il renvoie un message d'erreur indiquant que l'un des deux est incorrect.

Maintenant, les mêmes actions effectuées via l'API renvoient un message attestant de la validité du nom d'utilisateur. Cela donne des renseignements aux attaquants qui s'avèrent inestimables pour compromettre le compte. Armés de cette information, les hackers peuvent alors tester une longue liste de mots de passes contre l'ID de l'utilisateur, y compris ceux étant le plus communément utilisés, car Yahoo! n'empêche pas l'emploi de mots de passe faibles (comme 123456 par exemple).

De plus, le front end de Yahoo! présente un captcha à ses utilisateurs s'ils se sons trompés de mots de passe plusieurs fois de suite, une mesure destinée à repousser les scripts automatiques malveillants. L'API fait de nouveau preuve de lacunes puisqu'elle n'implémente aucun captcha, peu importe le nombre d'essais pharaoniques entrés.

Une fois atteints, les comptes compromis sont transformés en émetteurs de spams puissants, puisque la majorité des filtres n'arrêtent pas les messages provenant de services mails en ligne. Encore pire, les pirates peuvent ensuite les utiliser pour atteindre les données le plus sensibles de leur propriétaire, comme par exemple celles de son compte en banque.

Le chercheur Ryan Barnett, du WASC, a été le premier à repérer cette faille. Il l'avait signalée à l'administration de Yahoo! en 2007, mais il a amèrement constaté ces jours derniers que rien n'y a été fait depuis.

De son côté, Yahoo! indique "prendre la sécurité informatique très au sérieux" et être déjà en train "d'enquêter sur la situation pour la résoudre au plus vite".

Source : Le blog du découvreur de la vulnérabilité