Une vulnérabilité zero-day dans yahoo.com qui permet aux attaquants de détourner Yahoo! comptes de messagerie et rediriger les utilisateurs vers des sites Web malveillants offre un aperçu fascinant du marché souterrain des exploits à grande échelle.
L’exploit, vendu 700 $ par un hacker égyptien sur un forum exclusif sur la cybercriminalité, cible une faiblesse de « scripts intersites » (XSS) dans yahoo.com qui permet aux attaquants de voler des cookies à Yahoo ! utilisateurs de messagerie Web. Une telle faille permettrait aux attaquants d’envoyer ou de lire des e-mails depuis le compte de la victime. Dans une attaque XSS typique, un attaquant envoie un lien malveillant à un utilisateur sans méfiance ; si l’utilisateur clique sur le lien, le script est exécuté et peut accéder aux cookies, aux jetons de session ou à d’autres informations sensibles conservées par le navigateur et utilisées avec ce site. Ces scripts peuvent même réécrire le contenu de la page HTML.
Le pirate a publié la vidéo suivante pour démontrer l’exploit aux acheteurs potentiels. Je l’ai reproduit et publié sur youtube.
« Je vends des xss stockés Yahoo qui volent les cookies des e-mails Yahoo et fonctionnent sur TOUS les navigateurs », a écrit le vendeur de cet exploit, en utilisant le pseudonyme « TheHell ». « Et vous n’avez pas besoin de contourner le filtre IE ou Chrome xss car il le fait lui-même car il est stocké xss. Les prix autour d’un tel exploit sont de 1 100 $ à 1 500 $, alors que je l’offre ici pour 700 $. Je ne vendrai qu’à des personnes de confiance parce que je ne veux pas qu’il soit corrigé bientôt !
BreachTrace.com a alerté Yahoo! à la vulnérabilité, et l’entreprise dit qu’elle répond au problème. Ramsès Martinezdirecteur de la sécurité chez Yahoo!, a déclaré que le défi consiste maintenant à déterminer l’URL exacte de yahoo.com qui déclenche l’exploit, ce qui est difficile à discerner en regardant la vidéo.
« Le réparer est facile, la plupart des XSS sont corrigés par un simple changement de code », a déclaré Martinez. « Une fois que nous avons identifié l’URL incriminée, nous pouvons déployer un nouveau code en quelques heures au maximum. »
Selon le Projet de sécurité des applications Web ouvertes (OWASP), les failles XSS se répartissent en deux catégories : stockées et réfléchies. TheHell a déclaré que son exploit attaque une vulnérabilité XSS stockée, dans laquelle le code injecté est stocké en permanence sur les serveurs cibles, comme dans une base de données, un forum de messages, un journal des visiteurs ou un champ de commentaires. Le navigateur de la victime récupère alors le script malveillant sur le serveur lorsqu’il demande les informations stockées.
Aussi puissantes que puissent être les attaques XSS, elles sont malheureusement aussi extrêmement courantes. Xssed.com, l’archive définitive des vulnérabilités XSS signalées, permet aux utilisateurs de les indexer par Google Pagerank, ce qui permet de trouver assez facilement plusieurs exemples d’autres failles XSS non corrigées et récemment corrigées dans yahoo.com et d’autres propriétés. En outre, la base de données de vulnérabilités Open Source (OSVDB) répertorie les vulnérabilités nouvelles et corrigées Par vendeur.
Ces types de vulnérabilités sont un bon rappel d’être particulièrement prudent lorsque vous cliquez sur des liens dans des e-mails d’inconnus ou dans des messages auxquels vous ne vous attendiez pas.
Vous n’avez pas besoin de répondre aux cyberescrocs pour gagner de l’argent en trouvant des vulnérabilités dans les logiciels, le matériel et les services en ligne. De nombreuses entreprises paient des chercheurs pour signaler des failles, notamment Facebook, Google, MozillaComment, CCBill et Piwik. Yahoo n’a pas de programme de primes de bogues, mais s’il en modélisait un sur le programme de Google, cette vulnérabilité vaudrait 1 337 $. Aussi, iDefense de Verisign et Point de basculement les deux achètent des recherches sur la vulnérabilité.
En outre, un certain nombre d’entreprises autorisent les chercheurs à sonder légalement leurs réseaux et services à la recherche de vulnérabilités. La liste ci-dessous provient de le blog d’expert en sécurité reconnu Dan Kaminski:
Pay Pal
Force de vente
Microsoft
Twitter
eBay
Adobe
Reddit
GitHub
Contact constant
37 Signaux
Zeggio
Simplifier, LLC
Unifier l’équipe
Skodat
Relaso
Mode RSE
CloudNetz
EMPTrust
Apriva