Bonjour,
Quasiment quinze jours sans prendre le temps d'écrire une malheureuse ligne dans cette section du forum. Il faut dire que la semaine passée, j'ai dû me coltiner une inspection en règle de dizaines de vieilles biscottes ZIP-100 de feu iomega. Une aventure qui m'a rappelé le bon vieux temps mais qui m'a refourgué un fichu mal de crâne. Si vous n'avez pas connu ces engins, imaginez 4 lecteurs qui émettent simultanément ce type de bruit le temps des acquisitions, soit 3 jours.. x_X
Entre temps, il y a eu à signaler une faiblesse sur un service d'hébergement d'images bien connu des internautes français ; ce n'est pas le premier ni le dernier que nous contactons. En début d'année, nous avions interpelé Kipof, l'administrateur fort sympathique du service imagesup.org pour lui signaler une vulnérabilité critique permettant, en utilisant une double-extension sur les noms de fichiers, d'exécuter du code arbitraire sur le serveur. Deux mois après, c'était au tour d'un autre grand service d'échange de photos, cinq mois après un service de partage de fichiers, .. et là un quatrième tout aussi important que je ne citerai pas ( corrections effectuées, il s'agissait d'HostingPics ) tant que ça ne sera pas correctement corrigé. La faiblesse permet potentiellement de manipuler le navigateur des visiteurs. Moins grave qu'une vulnérabilité sur les services mais à prendre au sérieux dans la mesure où les codes injectés peuvent être discrets et persistants. Les familiers de BeEF | Metasploit doivent comprendre ce que je veux sous-entendre par là. Avec des millions de visiteurs & données / mois, ce type de sites sont des cibles privilégiées - il n'y aurait rien d'étonnant à voir apparaitre des fraudes aux régies, des malvertising ou des codes offensifs sur ces plateformes.
Après quoi, en fin de semaine, j'ai dû éplucher une capture de trafic réseau d'attaquant(s) inspiré(s) pour dissimuler du code JavaScript malveillant dans un extrait de l'œuvre de Jane Austen : "Sense & Sensibility". Ces pratiques ne sont pas rares dans les pays de l'Est ; les codeurs apprécient citer du Shakespeare ou des vers de poésies par exemple. Toujours est-il que le code dissimulé dans cette page d'environ 150 Ko était loin d'être inintéressant. Je ne vais pas commenter sur ce forum le code, il y a des lieux plus appropriés, simplement afficher quelques parties afin d'illustrer les principales idées : les personnes ayant plus d'expériences y dénicheront surement les particularités.
- Obfuscations JS
- Manipulations HTML/JS
- Vérifications de la configuration de la future victime
Kafeine précise que ce code est utilisé par Angler Exploit Kit. ( Title : "[ AnglerEK__Landing_2014-10-11 ]" → http://pastebin.com/a3hFeSeq )
Il est temps de plier bagages, une nouvelle semaine commence.
J'éditerais peut-être cet article pour y apporter quelques précisions.
edit: (03/11/2014) Le service d'hébergement d'images HostingPics a corrigé la faiblesse sur les traitements de métadonnées.
Focus sur code JS/HTML utilisé par Angler Exploit Kit
Focus sur code JS/HTML utilisé par Angler Exploit Kit
Dernière modification par ѠOOT le 10 nov. 2014 08:07, modifié 5 fois.
- Messages : 116304
- Inscription : 10 sept. 2005 13:57
Re: Un code malveillant JS/HTML qui change de l'ordinaire
Ouin le coup du vmware etc
sympa comme post, merci!
sympa comme post, merci!
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 47 Réponses
- 1560 Vues
-
Dernier message par maie
-
- 14 Réponses
- 264 Vues
-
Dernier message par Malekal_morte
-
- 6 Réponses
- 301 Vues
-
Dernier message par Feyd
-
- 3 Réponses
- 145 Vues
-
Dernier message par Parisien_entraide
-
-
Remplacer CompatTelRunner.exe constamment utilisé [résolu]
par BananeEpluchée » » dans Windows : Résoudre les problèmes - 4 Réponses
- 174 Vues
-
Dernier message par BananeEpluchée
-