Developpez.com

Le Club des Développeurs et IT Pro

Des chercheurs réussissent une attaque XXE sur un serveur de production de Google

Et sont gratifiés de la coquette somme de 10 000 $

Le 2014-04-15 18:11:40, par Cedric Chevalier, Expert éminent sénior
Il n’existe pas de sécurité parfaite, et aucun système n’est invincible. Un groupe de chercheurs du cabinet de sécurité detectify, en réalisant leur challenge quotidien, viennent de se retrouver gratifié par Google d’un chèque de 10 000 dollars. À l’origine de cet événement, ils ont réussi une attaque XXE (XML External Entity) sur l’un des serveurs de production de Google.

L’attaque consiste à envoyer à un analyseur syntaxique XML, un fichier malicieux qu’il n’est pas capable d’interpréter correctement. Parmi les conséquences de l’attaque XXE, on peut citer entre autres : l’accès aux fichiers locaux, le Déni de service, ou encore l’exécution à distance de code arbitraire.

Concrètement, les chercheurs ont envoyé aux serveurs de la firme de Mountain View un fichier XML malicieux pour personnaliser les boutons du « Google Toolbar Button galery ». Le résultat fut phénoménal. Ils ont réussi à l’aide de leur fichier malicieux à avoir l’accès aux fichiers passwd et hosts du dossier /etc, d’un des serveurs internes de production de Google.

Par la suite, ils ont contacté l’équipe compétente de Google pour lui faire part de la découverte de la vulnérabilité XXE. Pour récompenser leurs efforts, ils se sont vus gratifiés de cette belle somme.

Source : blog Detectify

Et vous ?

Qu'en pensez-vous ?
  Discussion forum
16 commentaires
  • LSMetag
    Expert confirmé
    Y a pas à dire j'aime cette politique chez Google.
    Ils ont tout compris. Les sommes données sont dérisoires par rapport aux conséquences possibles.
    le 15/04/2014 à 21:28
  • tomlev
    Rédacteur/Modérateur
    Heureusement que Google a une attitude constructive dans ce genre d'histoires... Certaines entreprises se seraient empressées d'attaquer en justice les découvreurs de la faille au lieu de les remercier.
    le 15/04/2014 à 21:34
  • Patator21
    Membre à l'essai
    C'est du gagnant/gagnant.

    C'est la meilleur politique qui puisse exister. Récompenser les honnêtes gens pour couper l'herbe sous le pied des escrocs.
    le 16/04/2014 à 11:04
  • benjani13
    Membre extrêmement actif
    Envoyé par mapmip
    comment ont ils fait ca ? comment s'en prémunir ?
    Le mode opératoire est expliqué sur le blog des auteurs de l'attaque (lien à la fin de la news).

    The root cause of XXE vulnerabilities are naive XML parsers that blindly interpret the DTD of the user supplied XML documents.
    La vulnérabilité vient du fait que le parser XML de l'outil interprète bêtement toute la DTD du fichier XML. La DTD détermine la syntaxe de ton fichier XML, et permet d'autres règles, dont les chercheurs ont abusé.

    Documentation: OWASP

    Un exemple que tu peux voir sur ce lien:
    Code : 
    1
    2
    <?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [  
   
   ]><foo>&xxe;</foo>
    Pour s'en prémunir il faut faire attention à ce que la DTD ne soit pas interprétée quand ton application lis un fichier XML. Dans le lien précédent (wiki d'OWASP), tu peux voir la liste des bibliothèques XML couramment utilisées dans les différents langages, si par défaut elles lisent la DTD ou non, et leurs différentes options pour que ce ne soit pas le cas.
    le 16/04/2014 à 15:28
  • Xinu2010
    Membre averti
    Au delà de la récompense, vu que l'affaire a été largement médiatisé, ça fait une excellente pub pour ce cabinet de sécurité.
    le 16/04/2014 à 10:15
  • pcaboche
    Rédacteur
    Envoyé par tomlev
    Heureusement que Google a une attitude constructive dans ce genre d'histoires... Certaines entreprises se seraient empressées d'attaquer en justice les découvreurs de la faille au lieu de les remercier.
    Ou de carrément leur envoyer le FBI :

    http://www.developpez.com/actu/70019/Pourquoi-les-hackers-ethiques-sont-ils-mal-percus-par-les-entreprises-L-un-d-eux-fait-les-frais-du-FBI/
    le 16/04/2014 à 7:23
  • dk
    Membre actif
    Juste 10K$ faut être passionné... parce que comme dit plus haut c'est vraiment une somme dérisoire comparé aux conséquences d'une telle attaque. Et encore, dérisoire, c'est un énorme euphémisme.
    le 16/04/2014 à 9:42
  • Zirak
    Inactif
    Même 10 000$ / 20 c'est toujours plus intérressant comme "prime", que de se faire attaquer en justice ou envoyer le FBI...

    Certes pour Google c'est une somme insignifiante, mais comme l'on dit certains, c'est déjà bien que Google agisse dans ce sens et récompense (même légèrement) ce genre de découverte qui aurait pu leur faire perdre plus, plutôt que de réagir comme certaines autres firmes qui, non-content d'avoir une faille découverte gratuitement à corriger pour éviter des pertes, se regavent une deuxième fois en justice...
    le 16/04/2014 à 10:58
  • mapmip
    Membre averti
    comment ont ils fait ca ? comment s'en prémunir ?
    le 16/04/2014 à 13:55
  • mapmip
    Membre averti
    Envoyé par benjani13
    Le mode opératoire est expliqué sur le blog des auteurs de l'attaque (lien à la fin de la news).

    La vulnérabilité vient du fait que le parser XML de l'outil interprète bêtement toute la DTD du fichier XML. La DTD détermine la syntaxe de ton fichier XML, et permet d'autres règles, dont les chercheurs ont abusé.

    Documentation: OWASP

    Un exemple que tu peux voir sur ce lien:
    Code : 
    1
    2
    <?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [  
   
   ]><foo>&xxe;</foo>
    Pour s'en prémunir il faut faire attention à ce que la DTD ne soit pas interprétée quand ton application lis un fichier XML. Dans le lien précédent (wiki d'OWASP), tu peux voir la liste des bibliothèques XML couramment utilisées dans les différents langages, si par défaut elles lisent la DTD ou non, et leurs différentes options pour que ce ne soit pas le cas.

    dans /etc/passwd, les mots de passe sont codés , donc le seul danger c'est la récupération des logins ?
    le 16/04/2014 à 20:37
  Poster une réponse