3 failles sur Explorer et Internet Explorer

URL Spoofing, Fake .folder et File extension spoofing ne vous disent rien ?
Nous allons éclaircir la situation. 1./ Les failles de IE

Deux failles, dont une normalement corrigée via le dernier set de patchs de sécurité pour Internet Explorer, ont été rapportées ces derniers temps.

1.1/ URL Spoofing

La première est désormais connue depuis Décembre et permet de cacher la véritable URL dans la barre d'état et dans la barre d'adresse (La barre d'état est en bas, la barre d'adresse en haut) en ajoutant %01%00@sitemalicieux.com après une URL.


Exemple :

http://www.microsoft.com%01%00@perdu.com vous emmenera sur perdu.com avec comme URL dans la barre d'adresse : www.microsoft.com.


Vu comme ça, on se dit que personne peut tomber dedans.
Mais normalement, quand on fait un lien, on fait comme ça :

[Microsoft.com (== perdu.com ici)->http://www.microsoft.com%01%00@perdu.com]

Le but de cette faille et de rediriger des personnes vers des sites malicieux afin qu'elles donnent des infos personnelles en relation avec le site de confiance, sans que celles-ci le sachent...

1.2/ File extension Spoofing

Celle-ci est plutôt nouvelle et permet de cacher la véritable extension du fichier lorsque vous voulez le télécharger. Mais IE connaît la véritable nature du fichier grâce a un CLASSID incorporé dans le lien. Donc il se peut que vous voyez fichier.mpeg dans la boite de dialogue "Ouvrir le fichier" mais que celui-ci soit en faites un .gif. Si vous ouvrez le fichier, Windows lancera le logiciel pour lire le .gif


Plus techniquement le lien sera construit comme ceci :

http://N.{CLASSID}fichier%2Efausse_extension


IE se fiera au CLASSID pour connaître le type du fichier et, si il y a, le programme utilisé pour ouvrir ce type fichier.

Cette faille peut être utilisée afin de tromper l'utilisateur et de lui faire croire que le format est de "confiance" afin de lui faire ouvrir le fichier. Le fichier quant à lui, peut être un programme ou un autre type de fichier compromettant qui s'ouvrira normalement...

2./ Faille de Explorer (Le gestionnaire de fichier) [[Explorer est l'explorateur de fichier principal sous Windows. C'est grace à ça que vous pouvez scrutez les fichiers dans vos disques ou avoir des icônes sur le bureau]]

2.1/ La faille

La dernière faille trouvée sur Explorer consiste à créer un fichier HTML effectuant une opération à l'insue de l'utilisateur (Suppression de fichier, lancement d'un fichier sur le disque...).

Une fois le HTML créé il suffira de changer l'extension du fichier en .folder et l'explorateur de fichier croira que le fichier HTML est un dossier. Quand l'utilisateur ira dans ce "faux dossier", le HTML se lancera et le code malicieux à l'intérieur du fichier sera executé avec les privilèges de l'utilisateur qui le lance.

Cette faille n'affecte que Windows XP

3./ Parades

3.1/ Internet Explorer

3.1.1/ URL Spoofing

Le dernier patch de Microsoft permet de corriger cette faille. Contrepartie, vous ne pourrez plus utiliser d'URL genre http://username:password@URL.com car ce type de comportement sera désormais ignoré et donc banni.

3.1.2/ File extension Spoofing

Pas de patch à ce jour mais une solution temporaire : N'ouvrez jamais directement le fichier téléchargez le. Une fois le fichier téléchargé la véritable extension apparaîtra

3.2/ Explorer

Il ne semble pas y avoir de solutions ni de patch. Le mieux est de créer un utilisateur avec des droits restreints et ne pas ouvrir les dossiers que vous n'avez pas en confiance :-(

4./ Conclusion

Ces trois failles permettent de faire des combos assez hallucinantes sans qu'il n'y ait de moyens de les parer sauf avec les derniers patchs sortis il y a 2 ou 3 jours.
Pour ce qui est de celle concernant l'Explorateur de fichier, il est impossible de la parer et le résultat peut être désastreux :/

5./ Liens

5.1/ Le dernier set de patchs venant de Microsoft

[Ensemble de mises à jour de la sécurité pour Internet Explorer 6, Service Pack 1 (KB832894)->http://www.microsoft.com/downloads/details.aspx?FamilyId=70530968-B59A-47C0-90D3-0C884910BC97&displaylang=fr]
[Ensemble de mises à jour de la sécurité pour Internet Explorer 6 Service Pack 1 Édition 64 bits (KB832894)->http://www.microsoft.com/downloads/details.aspx?FamilyId=326EFFDA-8D86-4683-BC77-9BF410BC620D&displaylang=fr]
[Ensemble de mises à jour de la sécurité pour Internet Explorer pour Windows Server 2003 (KB823894)->http://www.microsoft.com/downloads/details.aspx?FamilyId=D78AE4F7-8852-4A04-B8F6-1DE327E598F0&displaylang=fr]
[Ensemble de mises à jour de la sécurité pour Internet Explorer pour Windows Server 2003 Édition 64 bits (KB832894)->http://www.microsoft.com/downloads/details.aspx?FamilyId=6A7894F0-789F-4152-9AE4-8DCB43404149&displaylang=fr]
[Ensemble de mises à jour de la sécurité pour Internet Explorer 6 (KB832894)->http://www.microsoft.com/downloads/details.aspx?FamilyId=BE0C18BC-7F9A-4196-BFDE-29EBA8CF7A50&displaylang=fr]
[Ensemble de mises à jour de la sécurité pour Internet Explorer 5.5 Service Pack 2 (KB832894)->http://www.microsoft.com/downloads/details.aspx?FamilyId=EFFE87F6-7ACA-4A54-B767-5597DDE95C6F&displaylang=fr]
[Ensemble de mises à jour de la sécurité pour Internet Explorer 5.01 SP4 (KB832894)->http://www.microsoft.com/downloads/details.aspx?FamilyId=F5E74139-6E0E-49FD-9AA2-36D2D8454A92&displaylang=fr]
[Ensemble de mises à jour de la sécurité pour Internet Explorer 5.01 SP3 (KB832894)->http://www.microsoft.com/downloads/details.aspx?FamilyId=202D3AAC-6B56-4F4A-8C0F-4183C77B6B51&displaylang=fr]
[Ensemble de mises à jour de la sécurité pour Internet Explorer 5.01 SP2 (KB832894)->http://www.microsoft.com/downloads/details.aspx?FamilyId=17904608-DCEE-4C99-A780-81D6DBC48DD5&displaylang=fr]

5.2/ Descriptif des failles

5.2.1/ Chez K-Otik.net

[(K-Otik) Microsoft Internet Explorer File Extension Spoofing Vulnerability->http://www.k-otik.net/bugtraq/01.28.IEextSpoof.php]
[(K-Otik) Windows XP Fake Folder Code Execution Vulnerability->http://www.k-otik.net/bugtraq/01.26.WindowsXP.php]
[(K-Otik) Internet Explorer URL Parsing and Spoofing Vulnerability->http://www.k-otik.net/bugtraq/12.09.IE.php]
[(K-Otik) "Enfin" un patch de sécurité pour Microsoft Internet Explorer !->http://www.k-otik.com/news/02.03.MS04-004.php]

5.2.2/ Chez Secunia

[(Secunia) Internet Explorer URL Spoofing Vulnerability->http://www.secunia.com/advisories/10395/]
[(Secunia) Windows XP Malicious Folder Automatic Code Execution Vulnerability->http://www.secunia.com/advisories/10708/]
[(Secunia) Internet Explorer File Download Extension Spoofing->http://www.secunia.com/advisories/10736/]

Les dernières publications

Actualité libre de droit