La plupart des kits d’exploitation pirates du moment utilisent un serveur de commande et de contrôle (C&C). Le malware communique avec son interface en HTTP standard. La où ça devient marrant, c’est lorsqu’un chercheur trouve une vulnérabilité dans le code source PHP de l’interface…
C’est ce qui est arrivé à Smoke Loader, un malware modulaire bien connu, assimilé à un “trojan downloader”. Pour les fonctionnalités détaillées, faites un tour sur Cyb3rsleuth.
Récemment, un chercheur en sécurité nommé Ian a découvert et publié une vulnérabilité présente dans l’interface de contrôle du malware. Cette dernière étant développée en PHP/SQL, une faille de type SQL Injection a pu être trouvée. Elle permet de prendre le contrôle d’un serveur de commande Smoke Loader.
Publié sur SecLists, l’auteur explique qu’il peut dérober les identifiants de l’administrateur du panneau de contrôle ainsi que le fichier de configuration PHP du système afin de récupérer la base de données complète !
La faille se situerait dans le script “guest.php” (evilserver.com/directory/guest.php).
Les commentaires sont fermés.