Navigateurs web : une plate-forme émergente sous le feu des attaques



Documents pareils
PRÉVENIR L EXPLOITATION DES FAILLES DE SÉCURITÉ RECHERCHE MONDIALE SUR LA SÉCURITÉ INFORMATIQUE

Bilan 2008 du Cert-IST sur les failles et attaques

Guide pas à pas. McAfee Virtual Technician 6.0.0

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

AGENT LÉGER OU SANS AGENT. Guide des fonctionnalités Kaspersky Security for Virtualization

Aperçu de l'activité virale : Janvier 2011

Syfadis. > Configuration du poste client. Nous vous aidons à réussir. REFERENCE : Syfadis LMS - 20/06/2007. AUTEUR : Equipe technique Syfadis

Manuel de l'utilisateur d'intego VirusBarrier Express et VirusBarrier Plus

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

Managed VirusScan et renforce ses services

Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4)

Syfadis. > Configuration du poste client. Nous vous aidons à réussir. REFERENCE : Syfadis LMS - 12/09/2008. AUTEUR : Equipe technique Syfadis

Les 7 règles d'or pour déployer Windows 7

Fiche Technique. Cisco Security Agent

Les logiciels indispensables à installer sur votre ordinateur

LA SÉCURITÉ RÉINVENTÉE

POUR MAC Guide de démarrage rapide. Cliquez ici pour télécharger la version la plus récente de ce document

McAfee Data Loss Prevention Endpoint 9.4.0

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

Faites vos achats en ligne en toute confiance

A. Sécuriser les informations sensibles contre la disparition

Faille dans Internet Explorer 7

Module 8. Protection des postes de travail Windows 7

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

1. Comment accéder à mon panneau de configuration VPS?

Solutions McAfee pour la sécurité des serveurs

Protection Sophos contre les menaces sur les systèmes d extrémité

Sécurité et protection contre les vulnérabilités dans Google Apps : une étude détaillée. Livre blanc Google - Février 2007

Pré-requis installation

KASPERSKY SECURITY FOR BUSINESS

1. Étape: Activer le contrôle du compte utilisateur

Sage CRM. 7.2 Guide de Portail Client

Que faire si une vidéo ne s'affiche pas?

Fiche technique: Sécurité des terminaux Symantec Endpoint Protection La nouvelle technologie antivirus de Symantec

Présenté par : Mlle A.DIB

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Logiciel Enterprise Guide Version 1.3 Windows

Sécuriser les achats en ligne par Carte d achat

Les botnets: Le côté obscur de l'informatique dans le cloud

UNE NOUVELLE MENACE : LA PUB-ILLICITE OU QUAND LA PUBLICITE SERT DE PASSERELLE A LA CYBER CRIMINALITE

Sécurité des Postes Clients

les fakes logiciels et rogue AV

Middleware eid v2.6 pour Windows

Pré-requis installation

Les menaces informatiques

NETTOYER ET SECURISER SON PC

OSSIR Groupe SécuritS. curité Windows. Réunion du du 9 octobre 2006 EADS. Réunion OSSIR du 09/10/2006. page 1

Manuel d utilisation. Copyright 2012 Bitdefender

Extension WebEx pour la téléphonie IP Cisco Unified

Les risques HERVE SCHAUER HSC

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

ENDPOINT SECURITY FOR MAC BY BITDEFENDER

Service Protection Internet de Bell Une technologie McAfee Guide Produit

Eviter les sites malhonnêtes

À propos du Guide de l'utilisateur final de VMware Workspace Portal

CONDITIONS PARTICULIERES D'HÉBERGEMENT WEB

Découvrir et bien régler Avast! 7

Sécurité Informatique : Metasploit

Modules Express ICV. Les applications indispensables

Les menaces sur internet, comment les reconnait-on? Sommaire

Manuel logiciel client Java

KASPERSKY DDOS PROTECTION. Découvrez comment Kaspersky Lab défend les entreprises contre les attaques DDoS

Kits d'exploitation: un autre regard

Spécifications de l'offre Surveillance d'infrastructure à distance

Glossaire. Acces Denied

Mobilité, quand tout ordinateur peut devenir cheval de Troie

Courrier électronique

L'être humain, nouvelle cible des pirates

Notions de sécurités en informatique

INTERNET est un RESEAU D ORDINATEURS RELIES ENTRE EUX A L ECHELLE PLANETAIRE. Internet : interconnexion de réseaux (anglais : net = réseau)

Découvrir les vulnérabilités au sein des applications Web

Pourquoi un pack multi-device?

FileMaker 13. Guide ODBC et JDBC

NETTOYER ET SECURISER SON PC

Sophos Computer Security Scan Guide de démarrage

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

Les vols via les mobiles

MEGA Web Front-End Installation Guide MEGA HOPEX V1R1 FR. Révisé le : 5 novembre 2013 Créé le : 31 octobre Auteur : Noé LAVALLEE

Protection pour site web Sucuri d HostPapa

Guide d'initiation aux. certificats SSL. Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne. Document technique

Guide d'installation du token

Internet Découverte et premiers pas

Le Web de A à Z. 1re partie : Naviguer sur le Web

La sécurité des systèmes d information

Bureautique Initiation Excel-Powerpoint

Version en date du 01 avril 2010

Projet : PcAnywhere et Le contrôle à distance.

Transcription:

Navigateurs web : une plate-forme émergente sous le feu des attaques Christoph Alme

Table des matières 3 L'épine dorsale des attaques contemporaines 4 Sécurité des composants centraux des navigateurs 7 Protection contre les exploits liés à l'exécution de code 9 Un terrain peu propice au phishing 10 Soulagement du côté de l'exécution forcée de scripts entre sites (cross-site scripting) 10 Sécurisation des plug-ins des navigateurs 11 La protection contre les exploits et ses limites 13 Les nouvelles cachettes de JavaScript 13 Un fantôme dans votre Presse-papiers 13 Le flou autour de la mise à jour des plug-ins 14 Conclusion 15 L'auteur 15

L'utilisation généralisée d'applications web aux fonctionnalités client enrichies, hautement interactives, pour le commerce électronique, les réseaux d'affaires et la collaboration en ligne a fini par propulser les navigateurs web du rang de simples visualiseurs HTML à celui de plates-formes logicielles complètes. Les employés effectuant une grande partie de leur travail sur le Web, que ce soit à des fins de recherche ou de collaboration, la sécurité de la plate-forme sous-jacente constitue désormais un élément clé du succès de l'entreprise. Evolution du nombre d'exploits présents sur des sites malveillants ou compromis, classés par variantes uniques en circulation, 2007-2008 A mesure que se développent l'utilisation du Web et les fonctionnalités des navigateurs, la prévalence des logiciels malveillants (malwares) véhiculés par Internet et certains sites web compromis augmente elle aussi. Le vecteur d'attaque «classique» consistant à joindre des fichiers exécutables malveillants aux e-mails a cédé la place à d'autres formes : Désormais, les messages de spam se contentent de renfermer un lien vers des sites malveillants. Les sites Web 2.0, qu'il s'agisse de blogs, de réseaux sociaux ou de portails, sont infectés par des liens conduisant à des sites malveillants. Des sites légitimes sont compromis et détournés afin d'héberger du code malveillant ou de diriger les internautes vers un site malveillant. Des bannières vidéo malveillantes sont placées sur des réseaux publicitaires et, une fois affichées sur des sites légitimes, envoient les visiteurs sans méfiance vers des sites malveillants. Des termes de recherche souvent utilisés sont exploités à des fins publicitaires et pour attirer (par le biais de requêtes) du trafic vers un site malveillant. Récemment 1 en Allemagne, des pirates ont utilisé Google AdWords pour leurrer des utilisateurs lançant une recherche sur «flash player» vers un faux site, véritable sosie du site Adobe. Ajoutez à cela la technique d'ingénierie sociale classique du «codec vidéo manquant», qui consiste à faire croire aux visiteurs de faux sites pour adultes qu'un codec vidéo doit être installé pour visualiser les vidéos proposées. 1 http://www.pcwelt.de/start/sicherheit/firewall/news/185059/vorgeblicher_flash_player_10_ist_adware/ 3

Lien vers un site web malveillant placé sur le site Web 2.0 populaire digg.com En fin de compte, tous ces vecteurs conduisent à un site compromis ou créé à des fins malveillantes. Ces sites utilisent des exploits pour tenter d'installer subrepticement des logiciels malveillants sur l'ordinateur du visiteur (infection contractée à l'insu de l'utilisateur) ou trompent l'internaute pour le pousser à télécharger un logiciel malveillant exécutable au moyen d'une technique quelconque d'ingénierie sociale (téléchargement «drive-by», c.-à-d. effectué «en passant» sur un site compromis. Si les pirates continuent d'utiliser des exploits plus anciens, tels que les vulnérabilités des curseurs animés (MS07-017) et des Microsoft Data Access Components (MS06-014), ils font aussi appel de temps à autre à des exploits ciblant davantage l entreprise p. ex. pour lancer une attaque par Buffer Overflow dans un contrôle WebEx ActiveX 2 (CVE-2008-3558). Dans le même temps, les navigateurs web constituent une plate-forme critique pour les applications d'entreprise actuelles et futures et sont la cible d'attaques sophistiquées de logiciels malveillants véhiculés par Internet. La section suivante présente le paysage actuel des attaques web, avant de procéder à un examen plus approfondi de la sécurité des navigateurs, avec ses points forts et ses limites. La dernière section, intitulée «Le flou autour de la mise à jour des plug-ins» propose une vue d'ensemble des méthodes actuelles de mise à jour des plug-ins des navigateurs populaires. L'épine dorsale des attaques contemporaines Les sites web malveillants, auxquels conduisent inévitablement ces vecteurs d'attaque, sont généralement configurés à l'aide d'une «boîte à outils d'exploits». La première du genre à s'être propagée était le tristement célèbre «web Attacker», plus tard connu sous le nom de «MPack». Les boîtes à outils d'exploits consistent généralement en un ensemble de scripts PHP reliés à un serveur principal de bases de données. Elles sont dotées d'une interface d'administration web qui permet au pirate de commander et de contrôler à distance une campagne. Internautes Visite d'un site web légitime Transmission d'un exploit spécifique au navigateur Site web légitime compromis Charge active Statistiques Exploits Déjà infecté? Situation géographique? Spécifique au navigateur Serveur malveillant Workflow généralement emprunté par les attaques de logiciels malveillants véhiculés par Internet 2 https://forums.symantec.com/syment/blog/article?blog.id=vulnerabilities_exploits&message.id=167#m167 4

Ces boîtes à outils sont vendues avec différents jeux d'exploits préinstallés. Une fois l'exploit configuré, le pirate doit diriger le trafic vers le site malveillant, en injectant par exemple des références de script ou des balises IFRAME invisibles dans les sites compromis. Pour ce faire, les pirates exploitent bien souvent des vulnérabilités permettant l'injection de code SQL dans des applications web non sécurisées ou utilisent des références FTP usurpées. CVE CVE-2008-2463 CVE-2008-1309 CVE-2007-5659 CVE-2007-5327 CVE-2007-0018 CVE-2007-0015 CVE-2006-5820 CVE-2006-5745 CVE-2006-4777 CVE-2006-3730 CVE-2006-0003 CVE-2005-2127 Intitulé Vulnérabilité liée au téléchargement arbitraire de fichiers dans Microsoft Access Snapshot Viewer Corruption de mémoire liée aux propriétés Console ou Controls du contrôle ActiveX de RealPlayer Vulnérabilités aux attaques de type Buffer Overflow des méthodes JavaScript d'adobe Acrobat et Acrobat Reader Multiples vulnérabilités dans CA BrightStor ARCserve Backup Vulnérabilité aux attaques de type Buffer Overflow du contrôle ActiveX NCTAudioFile2 de NCTsoft, avec exploitation de code à distance Vulnérabilité aux attaques de type Buffer Overflow dans la gestion des URL RTSP par Apple QuickTime Vulnérabilité «LinkSBIcons()» du contrôle ActiveX d'aol SuperBuddy Vulnérabilités dans Microsoft XML Core Services Vulnérabilité de type corruption de mémoire au niveau des contrôles ActiveX de DirectAnimation Vulnérabilité liée à l'exécution de code à distance dans le shell Windows (webviewfoldericon) Vulnérabilité dans Microsoft Windows MDAC Vulnérabilité de type corruption de mémoire dans l'instanciation des objets COM (Msdss.dll) Tableau 1 : Récapitulatif des exploits prêts à l'emploi fournis avec la boîte à outils «El Fiesta» Lorsque des internautes visitent un site compromis, celui-ci les renvoie silencieusement vers un serveur malveillant. La version de leur navigateur et des plug-ins installés est alors identifiée afin de n'envoyer que des exploits ayant le plus de chances d'atteindre leur but. La localisation géographique de la victime est également parfois déterminée afin de limiter les campagnes à certaines régions. Capture d'écran des statistiques des infections provoquées par une installation active de la boîte à outils «Sploit 2.5» 5

Les exploits ne sont envoyés qu'une seule fois à un même visiteur afin de compliquer la tâche d'analyse des chercheurs en sécurité s'intéressant au serveur malveillant. Une fois la vulnérabilité exploitée, la charge active du pirate est téléchargée et installée sur l'ordinateur de la victime. Celle-ci prend généralement la forme d'un logiciel espion voleur de mots de passe, qui va rechercher les identifiants de connexion associés à des sites bancaires, à la messagerie électronique, à ICQ, aux transferts FTP ou à Windows. Depuis peu, ces téléchargements empruntent des chemins détournés, le fichier exécutable étant par exemple dissimulé dans un fichier graphique en apparence inoffensif. Interface des statistiques web de la boîte à outils «El Fiesta» La boîte à outils garde une trace des exploits qui ont atteint leur objectif, de la fréquence à laquelle les utilisateurs de navigateurs ont été exploités, des navigateurs touchés, de la localisation géographique, etc. Compte tenu du grand nombre de logiciels de lecture de PDF (Portable Document Format) disponibles sur tous les navigateurs, des exploits ciblant les vulnérabilités d'adobe Reader ont été ajoutés aux principales boîtes à outils d'exploits en 2008. Il faut savoir que le format PDF est le format d'échange de documents le plus utilisé dans les environnements d'entreprise. C'est ainsi qu'une boîte à outils appelée «PDF Xploit Pack» vise uniquement ces types de fichier 3. De même, la boîte à outils «El Fiesta» a récemment étendu la capacité de ses exploits aux PDF et est désormais à même de générer dynamiquement des documents PDF uniques côté serveur. 3 http://www.trustedsource.org/blog/153/rise-of-the-pdf-exploits 6

PDF malveillant ouvert pour analyse dans FileInsight 4 Chaque visiteur reçoit un exploit pour PDF contenant des parties choisies au hasard, ce qui empêche toute identification des parties du code de script infectées à l'aide de sommes de contrôle ou de signatures. Sécurité des composants centraux des navigateurs Les navigateurs web constituent une plate-forme critique pour les applications d'entreprise actuelles et futures et sont la cible d'attaques sophistiquées de logiciels malveillants véhiculés par Internet, comme nous l'expliquions à la section précédente. Cette section passe brièvement en revue les aspects liés à la sécurité des composants centraux des navigateurs, avant de plonger dans l'abysse des plug-ins des navigateurs. Prévalence des navigateurs en septembre 2008 (données reproduites avec l'aimable autorisation de Net Applications) 5 D'après les statistiques les plus récentes, Internet Explorer de Microsoft demeure le navigateur le plus utilisé, en particulier dans les environnements d'entreprise. Firefox a cependant réussi à combler l'essentiel de son retard. La troisième place est occupée par le navigateur Safari d'apple, une position qui s'explique par la popularité d'itunes (qui utilise Safari sous Windows) et le succès grandissant de la plate-forme Mac OS X. 4 http://www.webwasher.de/download/fileinsight/ 5 http://marketshare.hitslink.com/report.aspx?qprid=0 7

La première chaîne de télévision allemande ARD, a diffusé un avertissement émanant du Bureau fédéral allemand pour la sécurité des informations invitant le public à ne pas utiliser la version actuelle de Google Chrome au quotidien. Bien que qualifié à juste titre de version bêta par Google, le nouveau navigateur Chrome s'est emparé de la quatrième place et a supplanté Opera quelques jours seulement après son lancement. Les auteurs de logiciels malveillants n'ont rien perdu des premiers pas de Chrome, qui s'est ainsi retrouvé la cible d'une vulnérabilité de type Buffer Overflow dès le tout début de son existence. Ces vulnérabilités dites «jour zéro» axées sur l'analyse, parfois utilisées à mauvais escient pour exécuter un code arbitraire à partir d'un simple code HTML malformé, peuvent rapidement conduire à la diffusion en masse d'exploits, comme dans le cas de la vulnérabilité liée au traitement des URI dans Windows (MS07-061). Chrome, qui utilisait une version dépassée du WebKit libre en tant que moteur de rendu HTML sousjacent, a également réintroduit la vulnérabilité «Carpet Bomb», qui avait touché les utilisateurs de Safari au début de l'année 2008. L'utilisation de ce moteur dépassé fait courir un risque particulièrement grand aux utilisateurs d'internet Explorer qui testent le nouveau navigateur de Google, car c'est précisément dans ce cas de figure que la vulnérabilité est la plus grande : l'utilisation temporaire de Chrome envoie l'utilisateur sur un site malveillant qui exploite la vulnérabilité pour parachuter un fichier arbitraire sur son Bureau. Totalement inconscient de ce parachutage silencieux, l'utilisateur retourne ensuite dans Internet Explorer, qui charge et exécute le fichier arbitraire. Vulnérabilités ayant affecté les composants centraux du navigateur Firefox en 2007-2008 8

Au vu du nombre de vulnérabilités importantes et critiques corrigées dans les principaux navigateurs en 2007 et 2008, une diminution des vulnérabilités et des logiciels malveillants qui leur sont associés ne semble pas à l'ordre du jour. Vulnérabilités ayant affecté les composants centraux du navigateur Internet Explorer en 2007-2008 Protection contre les exploits liés à l'exécution de code L'exécution à distance de code arbitraire demeure à ce jour la principale menace pour la navigation sur le Web. La présence d'une vulnérabilité de type exécution de code non corrigée dans votre navigateur peut conduire, en cas de visite d'un site potentiellement compromis, à l'exécution silencieuse d un code pirate et à l'installation d'un type quelconque de charge active malveillante (logiciels malveillants voleurs de mots de passe, p. ex.) dans le cadre d'une attaque par infection contractée au passage d'un site («drive-by»). Aucune interaction de l'utilisateur n'est requise. Dans la grande majorité des cas, l'exploitation d'une vulnérabilité de type Buffer Overflow est à l'origine de l'exécution du code à distance. Ce genre de vulnérabilité se produit lorsqu'un programme s'attend à ce que les données en provenance d'internet soit dans un format donné, sans toutefois réellement le vérifier. L'injection de données sciemment malformées permet donc à un pirate d'exploiter la vulnérabilité pour altérer le chemin d'exécution du code dans le logiciel client, de manière à exécuter le code machine (appelé code shell) fourni en même temps que les données malformées. Navigateur Protection contre les attaques par Buffer Overflow de la pile /GS Protection contre les attaques par Buffer Overflow du tas /NXCOMPAT Internet Explorer 7.0 Oui Non Firefox 3.0 Oui Oui Apple Safari 3.1 Oui Non Google Chrome 0.2 Oui Non Opera 9.5 Non Non Tableau 2 : Mesures de protection utilisées par les compilateurs dans les navigateurs les plus populaires (sous Windows) Les dernières versions des compilateurs proposent des mesures de protection génériques contre les Buffer Overflows (dépassements de la mémoire tampon) au niveau des piles et des tas. Cette protection intégrée permet de fermer le navigateur avant l'exécution du code malveillant en cas de Buffer Overflow. Le tableau ci-dessus montre qu'une protection contre les Buffer Overflows au niveau de la pile est aujourd'hui disponible sur la plupart des navigateurs. Par contre, seul Firefox propose une protection contre les Buffer Overflows au niveau du tas. 9

Un terrain peu propice au phishing Les exploits liés à l'exécution de code constituent une attaque purement technique. La meilleure défense pour les utilisateurs consiste donc à maintenir les patchs à jour et à installer les mises à jour antimalware. Les administrateurs peuvent également recourir à un système de blocage des programmes malveillants au niveau de la passerelle grâce à une technologie heuristique de détection du code shell et des Buffer Overflows, de même qu'à un système de prévention des intrusions sur l'hôte (HIPS), qui offre une protection générique contre les exploits par Buffer Overflow courants et certaines failles des navigateurs. Les deux principaux navigateurs actuels, Internet Explorer et Firefox, intègrent tous deux une protection antiphishing sous la forme d'une liste des sites de phishing connus. Ainsi, l'utilisation de Firefox sous Mac OS X bloque l'accès aux sites de phishing connus, offrant ainsi aux utilisateurs une protection plus grande que Safari, le navigateur par défaut de la plate-forme. Firefox sous Mac OS X, bloquant l'accès à un site connu pour pratiquer le phishing C'est aux administrateurs informatiques qu'il incombe de décider s'il convient d'utiliser un navigateur commun sur l'ensemble des plates-formes et périphériques ou si une protection antiphishing centrale au niveau de la passerelle d'entreprise répond mieux à leurs besoins. Soulagement du côté de l'exécution forcée de scripts entre sites (cross-site scripting) Le «cross-site scripting» (abrégé en XSS) est l'exécution forcée de scripts entre différents sites web un type de vulnérabilité qui autorise par erreur l'exécution du code de script d'un site web hostile sur un autre site (de confiance), permettant ainsi au site hostile de dérober certaines données (informations de connexion, par exemple) associées au site de confiance. Cette attaque peut ainsi prendre la forme d'un transfert de code de script malveillant lors d'une requête de recherche ou dans un formulaire web publié sur l'application web vulnérable. Celle-ci s'avère alors incapable de «normaliser» le code de script et renvoie un contenu incluant le code fourni par le pirate. Le navigateur rend ensuite le contenu, provoquant ainsi l'exécution du code de script injecté. Dupé, le navigateur considère le code comme faisant partie du contexte du site de confiance, et il lui accorde alors un accès total aux données du site. En principe, la «stratégie de même origine» devrait empêcher ce type d'accès sur les navigateurs web actuels, puisque seul le code de script hébergé sur un site donné est autorisé à accéder aux données de ce dernier. La forme la plus élémentaire des vulnérabilités XSS consiste à injecter à distance un code de script dans la réponse d'un serveur web. Ces attaques peuvent généralement être identifiées grâce à la présence de balises «<script>» dans l'url de la requête (dans ses diverses formes de codage, tels que «%3Cscript», etc.) ou encore de fonctions de script d'accès aux données telles que «document.cookie». 10

La version 8 d'internet Explorer, actuellement au stade bêta, introduit une couche de protection assez prometteuse 6 contre ce type d'exécution forcée de scripts entre sites. En effet, une fois la réponse du serveur web reçue, le navigateur procède à une comparaison de l'url de la requête et du corps de la réponse. Il recherche d'éventuels fragments concordants indiquant la présence de jetons de scripts dans les paramètres de l'url et leur récurrence dans le corps. Type XSS XSS XSS XSS XSS Escalade de privilèges entre zones XSS CSRF Logiciel, site web ou périphérique affecté Mambo CMS http://www.securityfocus.com/archive/1/487128/30/0/threaded Drupal CMS http://drupal.org/node/295053 Joomla CMS http://www.securityfocus.com/archive/1/485676/30/0/threaded Apache Tomcat http://tomcat.apache.org/security-6.html PayPal http://news.netcraft.com/archives/2008/05/16/paypal_xss_vulnerability_undermines_ev_ssl_security.html Skype http://skype.com/security/skype-sb-2008-001.html Facebook http://www.xssed.com/news/69/facebook_vulnerable_to_xss._over_70_million_users_are_at_risk Routeur Linksys http://www.heise-online.co.uk/security/crafted-web-site-switches-off-router-firewall--/news/101650 Tableau 3 : Récapitulatif des vulnérabilités de type exécution forcée de scripts entre sites (XSS) et vulnérabilités connexes en 2008 Toutes les variantes de XSS ne peuvent malheureusement pas être bloquées aussi facilement. Ainsi, une vulnérabilité liée à une variante intelligente de XSS, la contrefaçon de requêtes entre sites (CSRF, Cross- Site Request Forgery), a été exploitée en 2008 en environnement réel dans le routeur Linksys, entraînant la désactivation de son pare-feu. Ces attaques CSRF n'utilisent aucun code de script, mais exploitent des vulnérabilités de l'application web cible simplement en amenant l'internaute à ouvrir un site web qui, à son tour, invoque une URL contenant des paramètres propres à l'application. Imaginez par exemple que l'interface web de votre routeur autorise la modification de paramètres en cas d'invocation d'une URL spécifique. L'exemple suivant est tiré de l'attaque CSRF lancée sur les routeurs Linksys : https://192.168.1.1/apply.cgi?submit_button=firewall&change_action =&action=apply&... L'astuce pour le pirate consiste à placer une URL de ce type sur le site web hostile (à la source d'une balise «<img>», par exemple) de manière à ce que, lorsque le navigateur effectue le rendu de cette page, il invoque implicitement l'url en question. Heureusement, ces attaques ne sont possibles que si l'utilisateur est déjà connecté à l'application attaquée (interface d'administration d'un routeur, par exemple). Sécurisation des plug-ins des navigateurs Bien que la plupart des menaces malveillantes émanent du Web, les composants centraux du navigateur sont rarement la cible d'exploits. En fait, les attaques en circulation visent davantage les plug-ins qu'ils soient utilisés pour la lecture de documents, le contenu interactif ou des contrôles ActiveX. Peu importe donc le degré de résistance développé par le navigateur Internet Explorer ces dernières années, une attaque par Buffer Overflow telle que celle ciblant le contrôle ActiveX de Cisco WebEx Meeting Manager (CVE-2008-3558), dont la vulnérabilité a été exploitée deux semaines seulement après sa découverte, demeure un problème majeur pour tout administrateur informatique chargé de la gestion de WebEx. Le contrôle vulnérable n'est en effet mis à jour qu'en cas de connexion à un serveur WebEx corrigé. 6 http://blogs.msdn.com/ie/archive/2008/07/02/ie8-security-part-iv-the-xss-filter.aspx 11

Vulnérabilités ayant affecté les plug-ins de navigateurs populaires en 2007-2008 Les plug-ins des navigateurs sont généralement installés sur demande : ainsi, votre navigateur peut vous inviter à installer un plug-in manquant dès que vous visitez un site et voulez visionner un contenu interactif (vidéo Flash, applet Java, etc.). Méfiez-vous donc des sites web malveillants recourant à des techniques d'ingénierie sociale, l'une des ruses les plus courantes consistant à demander aux visiteurs de télécharger un codec vidéo manquant. Au fil du temps, la plupart des utilisateurs étendent les capacités de leur navigateur en y ajoutant les plug-ins nécessaires pour afficher correctement divers sites web. Ajoutez à cela le déploiement côte à côte de certains plug-ins dans plusieurs versions (moteurs d'exécution Java et.net, par exemple) et vous comprendrez facilement que les inquiétudes suscitées par la sécurité des plug-ins ne sont pas prêtes de disparaître. Plug-in de navigateur Pourcentage d'utilisateurs l'ayant installé Prise en charge Flash Player 98,8 Tous Adobe Reader > 80 Tous Sun Java 84 Tous Windows Media Player 82,2 Internet Explorer QuickTime Player 66,8 Tous Real Player 47,1 Tous Tableau 4 : Données tirées du rapport technique n 288 d'eth Zurich «Understanding the web browser threat» (Comprendre la menace qui pèse sur les navigateurs web) 7 7 http://www.techzoom.net/publications/insecurity-iceburg/ 12

La protection contre les exploits et ses limites De même que pour les navigateurs web, une protection contre les Buffer Overflows au niveau de la pile est déjà intégrée dans la plupart des plug-ins. Par contre, la protection contre les Buffer Overflows au niveau du tas continue de faire défaut. Plug-in de navigateur Protection contre les attaques par Buffer Overflow /GS Protection contre les attaques par Buffer Overflow du tas /NXCOMPAT Flash Player 9.0 Non Non Adobe Reader 9 Oui Oui Sun Java 6 Oui Non QuickTime 7.55 Oui Oui Real Player Oui Non Silverlight Oui Oui Tableau 5 : Mesures de protection utilisées par les compilateurs dans les plug-ins de navigateurs Windows les plus populaires L'utilisation d'un plug-in non sécurisé affecte également la sécurité du navigateur. Ainsi, les moteurs d'exécution Java et.net peuvent être détournés pour allouer de la mémoire alors que des privilèges de fichiers exécutables sont activés, permettant ainsi aux logiciels malveillants de contourner plus facilement les outils de prévention d'exécution des données, ainsi que démontré par l'article BlackHat 2008 de Sotirov et Dowd intitulé «Bypassing Browser Memory Protections» (Contournement des protections de la mémoire des navigateurs) 8. Les nouvelles cachettes de JavaScript Les analyseurs antimalware pouvant inspecter le code JavaScript des pages web, les pirates ont entrepris de masquer le code malveillant afin d'éviter d'être détectés trop rapidement. Les méthodes génériques de détection et de décompression n'ont pas mis fin à ces pratiques frauduleuses, car les pirates ont déplacé le code JavaScript malveillant dans les fichiers aux formats gérés par les plug-ins des navigateurs. Ainsi, des vidéos Flash et des documents PDF sont aujourd'hui utilisés pour dissimuler ce code JavaScript malveillant. Un fantôme dans votre Presse-papiers Comme nous l'évoquions dans l'introduction, les vecteurs d'attaque actuels incluent notamment la publication sur des blogs et des forums de commentaires, messages et liens pointant vers des sites web malveillants. Les pirates ne doivent pas nécessairement créer ces vecteurs de manière explicite : lors d'une affaire récente, des pirates ont pris le contrôle de sessions de navigation d'utilisateurs innocents pour atteindre indirectement leurs fins 9. Les pirates ont mis au point une méthode dissimulée dans les fonctionnalités de script de Flash qui permet de placer du texte dans le Presse-papiers de l'utilisateur. Sur la base de cette fonctionnalité en apparence simple, les pirates ont ensuite créé une vidéo Flash remplaçant le contenu du Pressepapiers par un texte frauduleux et un lien malveillant à intervalles de quelques secondes, après quoi ils ont ajouté cette vidéo sous forme de bannière dans des réseaux publicitaires. Une fois que la bannière apparaît sous forme de publicité sur un site légitime visité par les internautes, le message frauduleux s'installe en silence dans le Presse-papiers. Pensant avoir copié un passage de texte intéressant dans le Presse-papiers, les utilisateurs essaient de publier celui-ci une fois de retour sur leur blog ou forum préféré. Au lieu de cela, ils publient par accident le contenu qui a été placé en dernier lieu dans le Presse-papiers, à savoir le texte et le lien du pirate. Ces utilisateurs font donc sans le savoir le travail de distribution des pirates. La seule solution pour arrêter le «fantôme» présent dans le Presse-papiers consiste à fermer le navigateur qui exécute la vidéo Flash malveillante. Cette technique a été utilisée pour promouvoir des liens vers de faux logiciels antispyware, c'est-à-dire de faux produits qui tentent d'effrayer 10 les utilisateurs en leur présentant une fausse analyse système indiquant que leur ordinateur est infecté par des logiciels malveillants. 8 http://taossa.com/archive/bh08sotirovdowd.pdf 9 http://www.trustedsource.org/blog/145/rouge-flash-ads-hijack-your-clipboard 10 http://www.trustedsource.org/blog/148/fake-madonna-video-turns-the-blue-screen-on 13

Le flou autour de la mise à jour des plug-ins Les administrateurs informatiques d'entreprise doivent garder un œil sur les logiciels installés et le déploiement des mises à jour, mais disposent rarement du budget, des outils et du personnel nécessaires à cette fin. Au sein des environnements d'entreprise actuels, les mises à jour de Windows et d'autres applications Microsoft sont généralement déployées par le biais des «Services de mise à jour Windows Server» internes. Plug-in de navigateur Intervalle Téléchargement Installation Flash Player Tous les mois Avertissement Avertissement Adobe Reader Toutes les semaines Automatique Avertissement Sun Java Tous les mois Avertissement Avertissement Windows Media Player Windows Update Automatique Automatique QuickTime Player Toutes les semaines Avertissement Avertissement Real Player Deux fois par semaine Automatique Automatique Silverlight Windows Update Automatique Automatique Plug-ins de navigateurs et intervalles de vérification des mises à jour Les plug-ins tiers ne sont généralement pas distribués par le biais du serveur de mise à jour de Microsoft. Ainsi, lorsque des versions vulnérables d'adobe Flash Player ont été introduites par défaut dans Windows XP, Microsoft a publié le bulletin de sécurité MS06-020 pour les corriger. Les plug-ins tiers sont fournis avec leurs propres logiciels de mise à jour et ne possèdent parfois pas les fonctionnalités de contrôle nécessaires aux grandes entreprises. En outre, les plug-ins qui informent les utilisateurs d'une mise à jour au lieu de l'installer posent problème dans un environnement d'entreprise, la décision de mise à jour retombant sur les employés, qui sont ainsi gênés ou perturbés dans leur travail. Par ailleurs, les ordinateurs de bureau ne sont pas toujours autorisés à télécharger des patchs exécutables directement depuis le site web d'un fournisseur, en raison de stratégies de sécurité très strictes. Enfin, et surtout, les employés doivent effectuer leur travail avec un compte d'utilisateur limité normal, et non un compte d'administrateur. Il leur est donc souvent impossible d'appliquer des patchs. Logiciel de mise à jour de QuickTime, faisant la publicité du navigateur Safari et d'itunes, alors que la version installée de QuickTime était déjà à jour 14

Une autre particularité des méthodes de mise à jour des plug-ins tiers est qu'elles font parfois la publicité d'applications autres que celle souhaitée par l'utilisateur. Plusieurs fournisseurs recourent à cette pratique, dont Adobe, Apple, Google, Mozilla et Yahoo. Apple QuickTime, par exemple, est livré avec Apple Updater, qui propose d'installer Safari et d'autres applications. S'il s'agit là d'un excellent moyen pour Apple de distribuer son navigateur web, cette pratique fait par contre peser un fardeau supplémentaire sur les épaules des administrateurs, qui doivent gérer une application de plus, laquelle n'a pas nécessairement été homologuée. Conclusion Le premier rempart contre les logiciels malveillants doit être placé sur le périmètre du réseau et être géré au niveau central. Cala constituera déjà une belle épine hors du pied des responsables informatiques. Certes, cette première ligne de défense ne peut remplacer une solution adaptée de gestion des patchs et de déploiements. Elle permet cependant d'assurer la protection des ordinateurs de bureau équipés d'un logiciel de sécurité local dépassé ou mal configuré tandis que leur utilisateur surfe sur Internet, de même qu'elle permet d'identifier et d'isoler les ordinateurs infectés, évitant ainsi toute fuite de données sensibles et d'informations d'identification. Et comme les rares faux positifs sont moins problématiques au niveau de la passerelle, il est tout à fait possible de mettre en place une technologie heuristique plus agressive garantissant un taux élevé de détection proactive. L'auteur Christoph Alme est directeur du département de recherche et développement antimalware de la division Network Security de McAfee, anciennement Secure Computing. Il est chargé de superviser la recherche et le développement dans la perspective des logiciels malveillants. Il est aussi l'inventeur de plusieurs technologies clés en attente de brevet dans le domaine de la détection proactive des logiciels malveillants. Avant de rejoindre Secure Computing, il a travaillé chez SAP et BMW. McAfee, Inc. Tour Franklin, La Défense 8 92042 Paris La Défense Cedex France +33 1 47 62 56 00 (standard) www.mcafee.com/fr McAfee et/ou les autres marques citées dans ce document sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. et/ou de ses sociétés affiliées aux Etats-Unis et/ou dans d'autres pays. La couleur rouge McAfee utilisée pour identifier des fonctionnalités liées à la sécurité est propre aux produits de la marque McAfee. Toutes les autres marques, déposées ou non, mentionnées dans ce document demeurent la propriété exclusive de leurs détenteurs. 2009, McAfee, Inc. Tous droits réservés. Code projet #5476wp_webw_browsers_0109

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back