Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un chercheur a découvert une faille XSS dans le service MSN de Microsoft
Qui permettrait d'exécuter des programmes en local

Le , par Stéphane le calme

0PARTAGES

1  0 
Un chercheur en sécurité a découvert une faille XSS dans le service MSN de Microsoft qui permettrait à un pirate d’exécuter des programmes en local depuis un navigateur web via l’URI (Uniform Ressource Identifier) dont la fonction principale est d'identifier une ressource de manière permanente, même si la ressource est déplacée ou supprimée. Aussi, l’URI va demander un programme spécifique pour lequel il a été conçu et qui est disponible en local sur l’ordinateur.

Nicholas Lemonias, le chercheur qui a trouvé la faille, a expliqué dans une conversation par courriel qu’une méthode spéciale a été utilisée pour contourner le mécanisme de filtrage empêchant l’exécution des attaques XSS régulières sur le site web. « La technique que nous avons utilisée pour en arriver là est la méthode JavaScript String fromCharCode() qui convertit des valeurs de caractères Unicode en chaine de caractères. Nous l’avons utilisée pour contourner le filtrage ».

Pour rappel, cette méthode est prise en charge dans les modes de document suivants : Quirks, Internet Explorer 6 (mode normes), Internet Explorer 7 (mode normes), Internet Explorer 8 (mode normes), Internet Explorer 9 (mode normes), Internet Explorer 10 (mode normes), Internet Explorer 11 (mode normes). Elle est également pris en charge dans les applications du Store de Microsoft (Windows 8 et Windows Phone 8.1).

Le chercheur a expliqué que le lancement de ces programmes ciblés aurait pour conséquence de déclencher des actions lors des évènements relatifs au survol de la souris sur certains éléments de la page. Il a pris l’exemple de la liste des vidéos dans MSN et a expliqué que, puisqu’il n'y a pas de clic, l’initiation du processus passe incognito.

Ainsi, il a pu utiliser des schémas d'URI, premiers niveaux de la structure de nommage des identifiants uniformes de ressources, comme ‘mailto’, ‘calto’, ‘irc’ ou encore ‘skype’ pour lancer des programmes qui leurs sont associés et y passer quelques paramètres. Par exemple, avec le schéma ‘mailto’, il a pu ouvrir une fenêtre et lancer la messagerie Outlook avec le champ du destinataire, l’objet ainsi que le corps du message déjà remplis. Avec le schéma ‘skype’, il a lancé son exécution et initialisé un appel.


Lors de l'ouverture des programmes via un schéma d'URI, les navigateurs web proposent en général à l'utilisateur la possibilité de répéter une telle action future sans les prévenir au préalable. Aussi, l'utilisateur ne sera pas informé si une application installée est lancée sans son consentement.

Selon le chercheur, il existe un risque que des actions malveillantes soient effectuées comme l’envoie d’un courriel à l’insu de l’utilisateur. Il a prouvé que les visiteurs de MSN pourraient être redirigés vers un autre site web par le biais d’une attaque XSS. Une autre conséquence soulignée par le chercheur est qu’une telle attaque peut provoquer des dénis de service sur l’application appelée par le schéma d’URI.


Le chercheur a déjà fait part du fruit de ses recherches à Microsoft qui s’est empressée de faire une mise à jour de ses services. Sa découverte n’a pas été récompensée par une compensation financière, cependant, vu l’importance de la faille, Microsoft lui a demandé des détails sur lui pour l’inclure à son « hall of fame » réservé aux chercheurs en sécurité à qui l’équipe Microsoft Security Response Center (MSRC) adresse des remerciements particuliers. Pour l’instant son nom n’y apparaît pas encore, mais il le sera sans aucun doute à la prochaine mise à jour.

Source : kogonuso

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !