mardi 22 décembre 2009

Expérience sur la non-information des contrefaçons web.
/By 599eme Man.

Cet article est une étude traitant sur la non-information des contrefaçons web (phishing et autres) servant ainsi à savoir en partie où en est l'information sur la contrefaçon. Celui-ci est basé sur une expérience réalisé cet l'après-midi (22/12/2009, a environ durée 4 heures).

Comme vous le savez, le web est truffé de contrefaçons, que ce soit des imitations de sites (tel que Facebook, Messenger, Myspace, etc...) ainsi que de malwares se faisant passer pour des applications saines.

Ce que je vais démontrer par l'expérience qui va suivre est le manque d'informations que possèdent les utilisateurs de divers sites.

Expérience :

Milieu de l'après-midi, mise en place d'un client botnet http tout frais codé sur un serveur ainsi qu'une page de phishing incitant à télécharger le fichier malveillant

À partir de ça, les utilisateurs visés allaient se connecter et télécharger le serveur.



Il est environ 16h00 : je récupère un compte Messenger dans le fin fond des fichiers de mon DDE et à partir de ça j'envoie le même message à tout le monde : "Salut, regarde le nouveau Facebook hxxp://serveurmalvaillant/page.php". Les personnes se connectent et téléchargent le malware et je me retrouve ainsi moins d'une dizaine de comptes Facebook ainsi que la même somme d'infectés sur mon panel.
Je renouvelle donc l'opération via les comptes Facebook phishés et en renvoyant le même message. Au final, il est environ 20h30, je me retrouve avec de plus en plus de compte (1 compte résultait vers environ 10 comptes) jusqu'à en avoir plus de 500 en fin d'après-midi et environ 200 infectés.



Grâce aux nombres des résultats de l'expérience, on voit que les victimes ne sont aucunement informé sur les contrefaçons. On peut donc en conclure qu'il y a une très faible mise en information des utilisateurs, qui est cachée dans les textes en petits caractères ou alors ces informations sont données (dans la plupart des cas) quand une connexion échoue plusieurs fois, lors de changement de mot de passe répétitif : c'est à dire quand il est trop tard...
Pour réduire ces nombres, il faudrait alors proposer des avertissements "en gros caractères" avant et après l'inscription. Ce travail est en partie fait par certains navigateurs et anti-virus, mais ceux-ci ne peuvent pas protéger de tous les sites et fonctionnements contrefaits. Ce serait donc aux sites potentiellement ciblés de mieux informer les utilisateurs même s'il est impossible de protéger ceux-ci à 100%.



599eme Man.

dimanche 22 novembre 2009

FaceBook Doublé.
/By 599eme Man.



FaceBook a depuis corrigé la vulnérabilité d'injection de code html cependant une nouvelle négligence au sein de la meme variable est alors exploitable .


Video du "Facebook Redirection" : Ici.

Advisorie : Ici.



Comme tout utilisateurs de Facebook, vous avez déjà dû essayer de faire un quizz. Mais saviez-vous qu''une variable commune à tous les quizzs est vulnérable à une attaque XSS de type URL String Evasion ?


Dans la nuit du 27/09/2009, je m''ennuyais tellement que j''enchaînais
les quizzs stupides de facebook , jusqu'à apercevoir un lien contenant
une variable nommé "next" dont le but était de redirigé l''utilisateur
sur une prochaine page lié au quizz . Intuitivement j''ai donc soumis
ce lien au test XSS jusqu'à trouver quelque chose. Et Bingo ! La
vulnérabilité XSS de type URL String Evasion fonctionne parfaitement.

Mais à quoi les vulnérabilité d''URL String Evasion pourraient bien servir ?
Et
bien des possibilités de phishing via le lien posé sur la page. Mais
encore de créer un formulaire (ne fonctionnant pas) où le bouton de
validation serait remplacé par un lien hypertexte menant à notre page
demandant une reconnexion ou divers autres informations .
Bien
sûr, ce n''est que quelques exemples liés à la faille, il y a d''autres
scénarios de possibilité de phishing à partir de cette vulnérabilité,
liberté à votre imagination.

Pour de plus amples informations sur cette faille cliquez sur "Advisorie".



Et pour des informations globales à propos des XSS vectors suivez le lien ci-dessous :

XSS Vectors attack list : http://ha.ckers.org/xss2.html






599eme Man.

SFR NeufBox SSID Persistant XSS & General CSRF
/By 599eme Man.



Les failles persistantes de type XSS sont les vulnérabilités côté
client parmi les plus dangereuses et les plus recherchés. En effet,
elles permettent d''incruster du code javascript|Html sur une page
cible, vous en devinerez vite les enjeux :


vols de cookies en masses (donc vols de login/password en masses), redirection, etc.


De même pour les attaques CSRF qui peuvent selon les cas permettre la modification de paramètres bien préçis
permettant ainsi l''accès au compte piégé. Grâce à ces failles, il
serait possible de garder la main sur l''utilisateur, voler ses cookies et agir avec l''interface.


Utilisez vous une SFR NeufBox ? Si oui, attention il y a danger.




Ici les enjeux sont importants, récupérer la source d''une page pour en
tirer des informations, jouer avec l''interface (ouverture de port,
récupérations des informations wifi etc...), modifier l''identifiant et le mot de passe d''accès à la box et encore bien d''autres possibilités.


 Bien
que l''attaque peut avoir un très lourd succès, le seul problème
rencontré reste que l''utilisateur doit s''être préalablement connecté
et dans le cas contraire, l''injection de code javascript
et le lancement des requêtes CSRF échoueront. Il faudra donc jouer avec
celui-ci pour le convaincre de se connecter puis par la suite lui faire
visiter un lien malicieux qui piégera instantanément la box concernée,
du Social Engineering est donc nécessaire.


Toutes les pages de l''interface sont vulnérables au CSRF, car aucune vérification des requêtes reçues n''est effectué, par conséquent il est tout à fait envisageable de faire visiter un lien pointant sur plusieurs formulaires cachés s''auto-validant pour pouvoir modifier la totalité des configurations de la box concernée.


Quant au Cross Site Scripting, il provient de la configuration wifi
et plus précisément de l''input de l'SSID dont le contenu va être
écrit puis affiché dans l''onglet général de la configuration wifi ; c''est donc dans cet onglet que le code injecté s''exécutera.


 En
résumé, les internautes possédant une NeufBox SFR ne sont pas
réellement en sécurités, car s''ils ont été préalablement connectés sur
leur box et parallèlement naviguent sur le net (page de l''interface
fermée ou non) il n''est pas improbable de les voir tomber sous le
contrôle d''hôtes malveillants.






599eme Man.