Kaspersky : Le site officiel victime d’une vulnérabilité permettant de propager des malwares

2
191

L’analyste en sécurité Ebrahim Hegazy, consultant chez Q-CERT, a démontré une vulnérabilité par redirection malveillante au sein du site officiel de l’éditeur de solutions de sécurité Kaspersky.

Ebrahim avait par ailleurs découvert la possibilité d’une injection SQL sur le site de l’éditeur de solutions de sécurité Avira le mois dernier. Cette fois, il s’est attaqué au géant Kaspersky et à démontré qu’une vulnérabilité via redirection non validée pourrait être exploitée à des fins diverses telles que :

  • Phishing & clonage du site par un pirate
  • Utilisation du site par des cybercriminels afin de propager des malwares

Dans le cas précis, ce qui est frappant est que le lien utilisable pour mener à bien des cyberattaques est lui-même fourni par une entreprise de sécurité comme Kaspersky, alors que cela pourrait avoir de graves conséquences.

Feriez-vous plus confiance à un lien appartenant à votre fournisseur de sécurité en ligne ? Bien sûr ! Mais imaginez que votre fournisseur de sécurité vous demande de télécharger un malware…

Pour expliquer la dangerosité de la situation si votre fournisseur de sécurité est vulnérable, Ebrahim Hegazy a publié une vidéo expliquant le scénario de propagation des logiciels malveillants pour simuler l’exploitation de la vulnérabilité de redirection non validée par un Black hat sur le site de Kaspersky dans le but de servir un malware.

[youtube juZ9GjJRyFQ nolink]

Depuis que je travaille comme analyse en cybersécurité, j’ai vu de nombreuses méthodes de black-hats pour diffuser des liens mlaveillants, notamment pour des kits d’exploitation visant les Applet Java, des exploits Flash, ou encore des liens camouflés menant à des fichiers EXE. Mais que faire si les liens malveillants proviennent d’un fournisseur de solutions de sécurité bien connu tel que Kaspersky ? Pour sûr que les gens feront confiance à ces liens. Ainsi, à travers cette vulnérabilité de redirection non filtrée au sein du site Kaspersky, les attaquants pouvaient diffuser un lien officiel provenant de Kaspersky.com, mais lorsque l’utilisateur clique sur ce lien, il sera redirigé vers le site Web de l’attaquant qui déclencherait le téléchargement d’un malware sur leur machines ou même un faux antivirus pour dérober des informations financières telles que les informations de carte de crédit !” explique Ebrahim Hegazy.

Une fois que le chercheur en sécurité indépendant ait rapporté la vulnérabilité à l’équipe de Kaspersky, il a fallu environ 2 mois à l’entreprise pour corriger la vulnérabilité, ce qui est est vraiment très long étant donné qu’un pirate aurait pu trouver cette faille avant Hagazy et aurait alors pu l’utiliser à des fins malveillantes afin de propager des malwares via des URLs officielles Kaspersky.com.

Une large infection est tout à fait possible via ce genre de faille. Rappelons que plus la menace provient d’une source fiable, plus le danger est grand. De plus, la réputation de la société Kaspersky en prend un coup au passage…

La vulnérabilité a été rapportée à Kaspersky et est maintenant corrigée.

Les commentaires sont fermés.