Actu
XMCO : Installation de malwares par le biais des mises à jour d’applications
août 2009 par XMCO PARTNERS
Using software updates to spread malware
– Date : 05 Aout 2009
– Description : Deux chercheurs de Radware, entreprise spécialisée dans la sécurité des applications, ont développé un outil permettant d’infecter des machines par le biais de mises à jour logicielles.
Itzik Kotler et Tomer Bitton ont présenté "ippon", leur nouvel outil, lors de la DefCon. Celui-ci permet d’installer des malwares en interceptant les demandes de mises à jour, avant que ces dernières ne parviennent à leurs destinataires, puis en y répondant avec le malware voulu. D’après ces chercheurs, près de 100 applications seraient affectées par ce problème, parmi lesquelles figurent Adobe Reader, ou encore Skype.
"ippon" peut rappeler un outil dévoilé l’année dernière et nommé "Evilgrade". "Evilgrade" implémente le même type d’attaque (infection lors des mises à jour), mais se base sur le protocole DNS, avec entre autres l’utilisation du DNS cache poisoning.
"ippon", quant à lui, se base sur l’interception de requêtes HTTP sur un réseau Wi-Fi. "ippon" scanne le réseau Wi-Fi à la recherche d’ordinateurs souhaitant mettre à jour certains de leurs logiciels via le protocole HTTP. "ippon" implémente une base de données qui contient les adresses web que vont contacter les applications lors de leur mise à jour. Cette base de données prend la forme d’un fichier XML pour que l’utilisateur puisse ajouter les applications qu’il souhaite. Si "ippon" détecte un ordinateur envoyant une requête de mise à jour, l’outil va y répondre avant que le serveur officiel n’ait eu le temps de le faire. "ippon" va personnaliser le faux message de mise à jour selon l’application concernée, même si l’application correspond à la dernière version officiellement disponible. Un fichier malveillant est alors téléchargé sur la machine de la victime.
Les mises à jour des logiciels de Microsoft ne sont pas vulnérables à ce type d’attaque grâce à l’utilisation du protocole HTTPS et de signatures numériques. Mesures que tous les logiciels devraient intégrer d’après les deux chercheurs.
Selon Itzik Kotler, "il faut faire l’hypothèse que lorsque l’on utilise une infrastructure publique, celle-ci peut être attaquée...".
– Référence :
http://news.cnet.com/8301-27080_3-10301485-245.html?tag=newsEditorsPicksArea.0
http://www.h-online.com/security/DEFCON-Danger-from-automatic-updates--/news/113911
http://www.infobyte.com.ar/down/Francisco%20Amato%20-%20evilgrade%20-%20ENG.pdf
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=1249467433
