Tarvis Ormandy a mis des failles de sécurité qui affectent les versions Web et desktop de µTorrent en lumière. Sa note d’information relative à la présence de vulnérabilités dans le célèbre logiciel de téléchargement fait suite à la publication le mois dernier, dans le cadre du project Zero de Google, de vulnérabilités similaires dans Transmission, un autre client BitTorrent.
D’après le chercheur en sécurité de la firme de Mountain View, les deux versions du client de téléchargement exposent des serveurs RPC au travers des ports 10 000 (µTorrent Classic) et 19 575 (µTorrent Web). La faille mise en lumière est plus dangereuse dans le cas de la version Web. L’interface utilisateur est en effet liée à un serveur Web local qui peut tomber aux mains d’un expert de la technique dénommée DNS Rebinding. Et pour cause, le jeton d’authentification nécessaire pour la sécurisation des requêtes du serveur Web local est en accès libre sur la racine du serveur.
Il suffit donc que la victime visite un site Web piégé pour que l’attaquant puisse récupérer le jeton et par la suite, exécuter du code arbitraire sur le poste de travail de la victime. « Une fois en possession du jeton d’authentification, l’attaquant peut modifier les répertoires de sauvegarde des torrents et télécharger n’importe quel fichier partout où l’accès en écriture est accordé », écrit Ormandy qui a d’ailleurs mis une page de démonstration à la disposition du public.
Dans le cas de la version desktop, la surface d’exposition au Web est plus limitée. Ormandy fait quand même état de la possibilité d’accéder au proxy du serveur JSON RPC depuis un site Web piégé, ce qui permettrait de lire et copier la totalité des torrents téléchargés. Le chercheur a également monté une page de démonstration pour ce cas de figure.
Les développeurs de µTorrent ont fait état de la disponibilité de la version 3.5.3 du client desktop en date du 15 février 2018. Elle apporte réponse aux trouvailles du chercheur en sécurité. Toutefois, il faudra que les utilisateurs patientent encore un peu puisque la version proposée est une bêta. Les correctifs de la version Web continuent de se faire attendre. Sur son compte Twitter, Ormandy fait le commentaire selon lequel ces derniers n’ont servi qu’à casser son exploit ; il l’a d’ailleurs mis à jour pour démontrer que la faille est toujours présente. Il serait donc mieux d’éviter d’utiliser µTorrent Web pour le moment.
Sources
Project Zero
Notes de version µTorrent
Votre opinion
Faites-vous usage du client de téléchargement µTorrent ? Aviez-vous connaissance de la faille ? Si oui, comment vous en êtes-vous prémuni ?
Voir aussi
Des failles dans un client BitTorrent permettraient à un attaquant de prendre le contrôle de votre ordinateur, d’après un chercheur
Les versions Web et desktop de µTorrent affectées par des failles de sécurité
Exploitables à partir de sites piégés
Les versions Web et desktop de µTorrent affectées par des failles de sécurité
Exploitables à partir de sites piégés
Le , par Patrick Ruiz
Une erreur dans cette actualité ? Signalez-nous-la !