La recherche sur les réseaux de zombies basés sur les navigateurs présentée récemment lors de la conférence Blackhat à Las Vegas rejoint une précédente étude de Trend Micro sur l’abus du HTML5. Elle démontre comment une simple fausse annonce en ligne peut conduire à de redoutables menaces comme un déni de service distribué (DDoS).
Dans leur exposé, Jeremiah Grossman et Matt Johansen ont montré qu’il était possible de lancer un déni de service distribué (DDoS) massif via un botnet basé sur un navigateur Web. Pour créer le botnet lui-même, les agresseurs potentiels n’ont besoin que d’investir sur des faux annonces en ligne qui sont peu coûteuses. Étant donné que les réseaux desservant des annonces sur des sites Web permettent l’exécution de JavaScript, les attaquants peuvent utiliser ce langage pour faire en sorte que des centaines ou des milliers d’utilisateurs se connectent simultanément à un site ciblé, ce qui peut suffire à le rendre le site inaccessible. Malheureusement, ce scénario est susceptible de se concrétiser, étant donné que les annonces sont essentielles sur énormément de sites Internet et fondamentalement une force motrice du Web.
En 2011, le scénario de menace similaire avait déjà été étudié, y compris la possibilité de créer des botnets basés sur un navigateur Web au moyen d’HTML5. Des développements réalisés en HTML5 avaient été montrés ainsi que des techniques que des attaquants pourraient exploiter à leur avantage. En particulier, avec le langage HTML5, les attaquants peuvent créer un botnet qui touchera des systèmes d’exploitation divers et variés, y compris même des appareils mobiles. Le botnet sera basé sur la mémoire, donc il sera difficile à détecter par les logiciels anti-malwares traditionnels…
Voici quelques points importants soulevés dans la recherche, en particulier sur la façon dont les attaquants peuvent utiliser le HTML5 pour leurs attaques.
Par rapport aux botnets traditionnels, ceux basés sur le navigateur Web ne sont pas considérés comme persistants. Le code malveillant s’arrêtera une fois que les utilisateurs ferment l’onglet du navigateur en question. Dans cet esprit, les attaquants peuvent utiliser à la place des XSS persistants en compromettant un site ou encore le clickjacking ou de déguiser la page malveillante afin qu’elle ressemble à un jeu interactif.
Outre les attaques DDoS, cet abus de HTML5 peut conduire à du spam, de la génération de Bitcoin, du phishing, une reconnaissance du réseau interne, l’utilisation du réseau par procuration, et la propagation de ver XSS via des attaques ou des injections SQL.
Cette mauvaise utilisation de HTML5 représente une méthode par laquelle un attaquant peut infiltrer ou lancer une attaque contre ses cibles. Comme les navigateurs et les applications sont le moyen par défaut susceptible de se connecter en ligne, l’idée d’un navigateur botnet est une perspective alarmante pour tous. Avec l’utilisation de l’HTML5 qui devrait décoller, en particulier dans les applications mobiles comme l’a récemment illustré Amazon, nous pouvons donc nous attendre à ce que cette menace devienne une réalité bientôt.
Pour les utilisateurs, la meilleure façon de prévenir cette attaque est d’étudier et de comprendre les risques encourus. La formation des utilisateurs, en particulier au sein des entreprises, peut grandement améliorer la protection des activités commerciales des organisations et des informations importantes. Pour plus d’informations sur la recherche et la façon dont Trend Micro peut aider les utilisateurs à lutter contre cette attaque, vous pouvez vous référer au document de présentation sur l’HTML5 : Un œil sur les scénarios d’attaques HTML5.