Developpez.com

Télécharger gratuitement le magazine des développeurs, le bimestriel des développeurs avec une sélection des meilleurs tutoriels

Des services Google et Bing seraient vulnérables aux nouvelles attaques de type RFD
Des fichiers corrompus téléchargés depuis des sites de confiance

Le , par Arsene Newman, Expert éminent sénior
Après le temps des failles de type XSS, certains experts de sécurité mettent en garde les internautes contre une nouvelle forme d’attaque malicieuse qui pourrait bien faire des victimes dans les années à venir.

Baptisé RFD pour Reflected File Download, la dite attaque ressemble sous plusieurs aspects à la faille XSS, principalement en trompant la victime et en lui faisant croire aux téléchargements d’un fichier issu d’un site web légitime.

Ces fichiers malicieux qui se présentent généralement sous la forme de fichier .bat ou .cmd dissimulent des scripts de type JS, VBS ou WSH, qui s’exécutent sur le service Wscript.exe de Windows.

L’autre spécificité de ce type d’attaque réside dans la création du fichier corrompu lors du clic sur le lien malicieux, par conséquent le fichier corrompu n’est pas hébergé sur le site de confiance. Pour se faire, le contenue du fichier passe au travers de l’URL de l’attaquant pour créer le fichier, ce dernier sera alors envoyé à la victime.

Ainsi, un exemple typique d’une attaque similaire serait l’utilisation d’une adresse mail spoofée appartenant à une entreprise de confiance, il suffirait alors d’envoyer un mail à une victime potentielle, qui téléchargera le fichier en croyant télécharger un fichier d’un site de confiance.

Pour le chercheur de Trustwave Security Oren Hafif, qui est à l’origine de cette découverte, un site web légitime peut être victime de ce genre d’attaque, si trois conditions sont réunies. Une découverte qui met les sites web basés sur les technologies très populaires JSON et JSONP en haut de l’affiche, car satisfaisants dans la plupart des cas les conditions requises, le chercheur note aussi que les sites n’ayant pas recours à JSON peuvent être victimes.

Hafif a par ailleurs présenté plusieurs variantes de ce type d’attaque à l’occasion de la conférence black Hat Europe 2014, révélant par la même occasion des vulnérabilités dans certains services Google, dans le moteur de recherche Bing ainsi que d’autres sites web figurant dans le top 100 des sites web les plus visités.

Enfin, Hafif a révélé comment un attaquant pouvait prendre le contrôle total d’une machine, en détournant les messages de sécurité et les alarmes de Windows après avoir renommé minutieusement le fichier corrompu, ou pire encore en recourant directement à la puissante console PowerShell disponible nativement sur le système d’exploitation Windows 7 et plus.

Source : Présentation des RFD au Black Hat Europe 2014

Et vous ?
Qu’en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de transgohan transgohan - Expert confirmé https://www.developpez.com
le 21/10/2014 à 9:29
J'en pense qu'il met un nom sur une technique qui date d'il y a une dizaine d'années.
Ou alors je n'ai compris qu'à moitié...
Avatar de abriotde abriotde - Membre éclairé https://www.developpez.com
le 21/10/2014 à 13:22
Je pense que tu n'as rien compris. Ils l'ont dit cela ressemble a du XSS mais ce n'est pas du XSS. Si tu veux plus de détails, ça ressemble a du Spam, mais ce n'est pas du Spam. Le Spam est juste un moyen de l'utiliser...

Pour attaquer un peu plus loin. L'invention pure n'existe, pas, elle s'inspire toujours d'autres chose, elle adapte une technique... Pire l'invention n'existe pas puisqu'il y a toujours quelqu'un d'autres a l'avoir fait avant. Même dame nature invente ainsi en manipulant son ADN. Et pourtant il y a un stade d'évolution, ou l'on commence a lui donner un autre nom, ou on formalise la technique et on crée une invention avec ce qui existe, sans rien inventer.
Offres d'emploi IT
Ingénieur architecte sharepoint (H/F)
BNP PARIBAS - Ile de France - Montreuil (93100)
Business analyst IT H/F
BNP PARIBAS - Ile de France - Montreuil (93100)
Chefs de projet IT MOE 1ère expérience H/F
BNP PARIBAS - Ile de France - Paris (75000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil