Peut-on pirater votre réseau avec une simple application JavaScript ? La réponse serait oui à en croire les résultats de recherche présentés à la conférence Black Hat 2012 par Phil Purviance et Joshua Brashars, consultants senior à AppSec Consulting.
C’est une démonstration surprenante par son degré d’automatisation, et qui illustre le danger que peut représenter de nos jours une simple application JavaScript.
Techniquement parlant, cette attaque utilise du social engineering pour tromper l’utilisateur et le faire accéder à un site malicieux. Sur ce site, un code JavaScript malveillant se lance et ordonne au navigateur de scanner le réseau local, puis de lister tous les dispositifs connectés.
Dès lors, une opération de brute-force est lancée pour forcer l’accès à ces derniers. En dernière étape, une attaque du type CSRF (Cross-Site Request Forgery) est utilisée pour télécharger et installer un Firmware malicieux sur le routeur, et en obtenir le plein contrôle. Tout simplement époustouflant !
« Nous avons remplacé un système d’exploitation dans un dispositif réseau, et pris le contrôle total là-dessus », a déclaré Purviance. Précisons aussi que l’attaque cible un routeur SOHO (small office/home office) de Linksys, conçu par Cisco et largement utilisé dans les entreprises.
« Vous avez tout simplement transformé ces dispositifs SOHO en un schéma d’attaque Linux dévastateur », s’exclame Brashars. Le pire, est que l’utilisateur ne pourra jamais détecter l’attaque tant que le routeur piraté continuera de faire correctement son travail. Pour contrer cette attaque, les auteurs préconisent une plus grande restriction dans l’utilisation des ressources inter-sites, une meilleure protection anti-CSRF dans les dispositifs, ainsi que l’utilisation de mots de passe durs à prédire.
Malheureusement, on n’est pas au bout de nos frayeurs, car une deuxième attaque se basant sur JavaScript a été présentée dans cette même conférence. Une autre équipe d’experts d’Informatica64 est arrivée à utiliser un proxy pour remplacer le code JavaScript stocké dans le cache du navigateur, afin d’injecter un code malveillant que la victime aurait téléchargé en utilisant ce même proxy anonyme.
Afin de tromper un grand nombre d’utilisateurs, l’adresse du proxy PoC a été postée dans un forum public. Résultat, 4000 ordinateurs infectés en une seule journée par des fichiers JavaScript incrustés dans leurs caches. La simplicité de l’attaque a même poussé les auteurs à conclure que les gouvernements et les entreprises pourraient utiliser cette attaque pour espionner les utilisateurs, si ce n’est déjà le cas ! Les auteurs préconisent l’utilisation de serveurs-proxy de confiance, et d’effacer le cache navigateur régulièrement.
Concluons ainsi sur deux petites questions : la première, que peut-on faire en combinant ces deux attaques ? La deuxième : le web est-il si sûr aujourd’hui ?
Sources : SCM, Dark Reading, Developpez.com, MalwareCity
Les commentaires sont fermés.