Oxygène PC

Astuces, Sécurité & Aide informatique

Infections par exploit sur site WEB

Ici, vous pouvez poser toutes vos questions pour apprendre comment mieux sécuriser votre PC, ou comment dépanner un logiciel de sécurité tel que les antivirus, pare-feux, antispywares, contrôleurs d'intégrité, proxy etc...

Modérateurs: Modérateurs, Visiteurs Sécu

Infections par exploit sur site WEB

Messagepar Sév » Dim 26 Avr 2009 13:47

Voici un article qui est un panaché de divers articles du site http://www.malekal.com, notre partenaire.
Il a été reproduit ici, sur Oxygène PC, avec l'aimable autorisation de Malekal_morte.




Cette page tente d'expliquer comment les infections par des exploits sur
site WEB fonctionnent du point de vue de l'utilisateur.
Le but de cette page est de comprendre pourquoi lorsque vous parlez de
sécurité, vous pensez antivirus, antispyware et que vous avez tout faux. Les premières règles de sécurité sont de faire attention à ce que vous téléchargez mais aussi maintenir son système et ses logiciels à jour qui peuvent être une porte ouverte à l'infection.



Glossaire

Un rapide glossaire pour savoir de quoi certains termes parlent.
Je vous joins les pages Wikipedia si vous désirez approfondir la question.

Vulnérabilités/Failles :

bug dans un logiciel permettant de détourner le comportement normal de ce dernier.
En général, le but recherché est l'exécution de code. Une faille peut permettre le téléchargement et l'exécution d'un code (malicieux dans notre cas) de manière automatique et sans intervention de l'utilisateur.
http://fr.wikipedia.org/wiki/Faille_de_ ... formatique

Exploits :
Programme/bout de code qui permet l'exploitation de la vulnérabilité d'un logiciel. http://fr.wikipedia.org/wiki/Exploit_(informatique)

Iframe :
Élément HTML contenu dans une page HTML.
La taille de l'iframe peut-être fixée, il est donc possible d'avoir une taille visible pour l'internaute lors de la visite de la page et une taille non visible pour l'utilisateur 1px).
Il est important de noter, pour la suite de l'article, que le contenu des iframes est automatiquement chargé par le navigateur WEB lors de la visite de la page. J'insiste sur le automatiquement.
http://en.wikipedia.org/wiki/IFrame (dsl en anglais).



La Théorie

Les auteurs des malwares hack en permanence une multitude de sites WEB afin d'infecter les internautes.
Si possible des sites à forte audience ou sur des thèmes susceptibles d'amener un maximum de personnes, donc par exemple des sites de cracks ou pornographiques. Ces sites WEB contiennent alors une iframe de 1 pixel de large pointant vers un ou plusieurs sites WEB contenant les exploits et le fichier à l'origine de l'infection.
C'est d'autant plus facile que créer un site ou un forum est devenu chose aisée. Malheureusement ces webmasters en herbe n'ont pas forcément les connaissances informatiques ou de sécurité minimales pour ne pas se faire hacker.

Les auteurs de malwares ajoutent alors une iframe invisible (ou un bout de code javascript) à la page d'accueil du site WEB en question. Les navigateurs WEB des visiteurs vont alors exécuter de manière automatique le contenu de l'iframe et être redirigé vers une adresse tiers contenant un ou plusieurs exploits, si une faille est présente sur le système d'exploitation ou un logiciels tiers, c'est l'infection (je passe outre le fait que l'antivirus peut détecter et bloquer la tentative d'infection).

Voici un exemple de liens contenant des exploits :

Code: Tout sélectionner
1227990727.782     54 192.168.1.120 TCP_MISS/200 893 GET
http://www.golfinau.com/stat/Flash.htm - DIRECT/85.17.212.137 text/html
1227990728.103     63 192.168.1.120 TCP_MISS/200 1934 GET
http://www.golfinau.com/stat/
Ms06014.htm - DIRECT/85.17.212.137 text/html
1227990728.157    104 192.168.1.120 TCP_MISS/200 1743 GET
http://www.golfinau.com/stat/Opera.htm - DIRECT/85.17.212.137 text/html
1227990728.161    106 192.168.1.120 TCP_MISS/200 1948 GET
http://www.golfinau.com/stat/Ms08053.htm - DIRECT/85.17.212.137
text/html
1227990728.192     55 192.168.1.120 TCP_MISS/200 2986 GET
http://www.golfinau.com/stat/Ms07055.htm - DIRECT/85.17.212.137
text/html
1227990728.787     55 192.168.1.120 TCP_MISS/200 2694 GET
http://www.golfinau.com/stat/Djvu.htm - DIRECT/85.17.212.137
text/html


Les tentatives d'exécution du code malicieux se font à partir des
vulnérabilités suivantes :


Ce qu'il faut comprendre, c'est que pour avoir plus de chance d'infecter votre ordinateur, c'est une série d'exploits visant Windows ou des logiciels tiers qui sont testés. Dans l'exemple ci-dessus, il n'y a que 6 exploits mais on peut arriver facilement à une vingtaine visant des logiciels différents : Quicktime, Winzip, RealPlayer et bien souvent Flash, Java et Adobe Reader via des PDF malicieux.
Le but étant pour les auteurs de malwares d'augmenter les chances d'infection en tentant d'attaquer un maximum de logiciels différents puisque les chances qu'un logiciel non à jour sur le système visé soit présent sont fortes.

Il faut donc bien comprendre qu'il est important de maintenir son système et ses logiciels à jour, la simple présence d'un logiciel non à jour suffit pour infecter votre ordinateur. Je répète, c'est la simple présence du logiciel non à jour qui met votre système en danger, logiciel utilisé ou non genre rien, d'ailleurs dans le cas d'un logiciel non utilisé, il vaut mieux le désinstalle, vous gagnez en sécurité car vous risquez d'oublier de le mettre à jour.
Pour maintenir son système à jour, faites un Scan de vulnérabilités
et mettez vos logiciels à jour.



En Pratique

Voici un exemple pratiques via un PDF malicieux qui exploite des
vulnérabilités sur Adobe Reader < version 8.1.2.


On commence avec la visite d'une PDF malicieux avec Internet Explorer 7, IE lance Acrobat Reader (AcroRd32.exe) pour lire le PDF, ce qui est tout à fait normal.

Image

Acrobat Reader souhaite ensuite se connecter à une adresse (195.242.161.100) afin de télécharger le code malicieux...

Image

Le code malicieux est téléchargé et Acrobat Reader tente de l'exécuter sous le nom de fichier ~.exe
Si le fichier est exécute ce dernier installe l'infection sur le système.

Image

La même adresse contenant le même PDF malicieux mais cette fois-ci avec Firefox 3.
Firefox démarre aussi Acrobat Reader (AcroRd32.exe) tout comme IE 7 l'a fait, ceci afin de lire le PDF.

Image

A son tour, Acrobat Reader exécute le code malicieux téléchargé toujours sous le nom de fichier ~.exe
L'infection s'installe sur le système.

Image



En Conclusion :

Les auteurs de malwares hackent des sites WEB afin de diffuser leurs infections.
Un simple programme permet aux auteurs de malwares de mettre à jour
leurs centaines de sites pour faire pointer vers de nouveaux exploits qui vont exploiter les dernières failles de sécurité de vos logiciels ou tout simplement lorsque le fichier à l'origine de l'infection est trop bien détecté par les antivirus.

Pour ne pas vous faire infecter par ces exploits, maintenez votre système à jour, bannissez les versions obsolètes des navigateurs WEB et utilisez un navigateur alternatif que vous sécurisez, (voir Sécuriser son ordinateur version courte).
Pensez aussi à maintenir à jour vos logiciels tiers et notamment les plugins de votre navigateur WEB, je vous conseille vivement de lire la page :
Infections : exploitation SWF/PDF et Java qui montre que les plugins des navigateurs WEB sont des portes d'entrée.

Pour aller plus loin :
Je vous conseille vivement de jeter un coup d'oeil à cet excellent papier de Honeynet.org sur les serveurs WEB malicieux :
http://forum.malekal.com/ftopic4921.php et Pourquoi et comment je me fais infecter?

Plus globalement, vous pouvez lire la page Sécuriser son ordinateur et connaître les menaces qui vous liste les moyens de propagation et menaces sur internet et vous donne des conseils pour sécuriser votre ordinateur.

Voici aussi un lien de Sophos (en anglais) qui explique les mécanismes des exploits via sites WEB :
http://www.sophos.com/security/blog/2007/06/157.html
Image
Avatar de l’utilisateur
Sév
Admin
 
Messages: 1247
Enregistré le: Jeu 28 Fév 2008 21:10

Retourner vers Prévention & Sécurité informatique

 


  • Articles en relation
    Réponses
    Vus
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 1 invité