Nicholas Lemonias, le chercheur qui a trouvé la faille, a expliqué dans une conversation par courriel qu’une méthode spéciale a été utilisée pour contourner le mécanisme de filtrage empêchant l’exécution des attaques XSS régulières sur le site web. « La technique que nous avons utilisée pour en arriver là est la méthode JavaScript String fromCharCode() qui convertit des valeurs de caractères Unicode en chaine de caractères. Nous l’avons utilisée pour contourner le filtrage ».
Pour rappel, cette méthode est prise en charge dans les modes de document suivants : Quirks, Internet Explorer 6 (mode normes), Internet Explorer 7 (mode normes), Internet Explorer 8 (mode normes), Internet Explorer 9 (mode normes), Internet Explorer 10 (mode normes), Internet Explorer 11 (mode normes). Elle est également pris en charge dans les applications du Store de Microsoft (Windows 8 et Windows Phone 8.1).
Le chercheur a expliqué que le lancement de ces programmes ciblés aurait pour conséquence de déclencher des actions lors des évènements relatifs au survol de la souris sur certains éléments de la page. Il a pris l’exemple de la liste des vidéos dans MSN et a expliqué que, puisqu’il n'y a pas de clic, l’initiation du processus passe incognito.
Ainsi, il a pu utiliser des schémas d'URI, premiers niveaux de la structure de nommage des identifiants uniformes de ressources, comme ‘mailto’, ‘calto’, ‘irc’ ou encore ‘skype’ pour lancer des programmes qui leurs sont associés et y passer quelques paramètres. Par exemple, avec le schéma ‘mailto’, il a pu ouvrir une fenêtre et lancer la messagerie Outlook avec le champ du destinataire, l’objet ainsi que le corps du message déjà remplis. Avec le schéma ‘skype’, il a lancé son exécution et initialisé un appel.
Lors de l'ouverture des programmes via un schéma d'URI, les navigateurs web proposent en général à l'utilisateur la possibilité de répéter une telle action future sans les prévenir au préalable. Aussi, l'utilisateur ne sera pas informé si une application installée est lancée sans son consentement.
Selon le chercheur, il existe un risque que des actions malveillantes soient effectuées comme l’envoie d’un courriel à l’insu de l’utilisateur. Il a prouvé que les visiteurs de MSN pourraient être redirigés vers un autre site web par le biais d’une attaque XSS. Une autre conséquence soulignée par le chercheur est qu’une telle attaque peut provoquer des dénis de service sur l’application appelée par le schéma d’URI.
Le chercheur a déjà fait part du fruit de ses recherches à Microsoft qui s’est empressée de faire une mise à jour de ses services. Sa découverte n’a pas été récompensée par une compensation financière, cependant, vu l’importance de la faille, Microsoft lui a demandé des détails sur lui pour l’inclure à son « hall of fame » réservé aux chercheurs en sécurité à qui l’équipe Microsoft Security Response Center (MSRC) adresse des remerciements particuliers. Pour l’instant son nom n’y apparaît pas encore, mais il le sera sans aucun doute à la prochaine mise à jour.
Source : kogonuso
Et vous ?
Qu'en pensez-vous ?