1 Vague d’attaques par redirections involontaires (drive-by-downloads)
1.1 Description du phénomène
Une vague de redirections et de téléchargements involontaires associés à des navigations Web est en cours depuis quelques semaines, avec plusieurs constantes. Le principe est d’amener l’utilisateur, au cours de sa navigation, à contacter un site et à télécharger du code dangereux sur son poste. Ce code s’installera ensuite automatiquement ou par une action directe de l’utilisateur (fenêtre surgissante lui proposant d’installer le code).
L’attaque induit donc bien souvent la compromission d’un site légitime, par exemple en rajoutant un code dynamique JavaScript, forçant le navigateur à envoyer une nouvelle requête vers un autre site lui aussi compromis ou malveillant.
Dans la vague actuellement observée, le premier point commun entre ces téléchargements est la forme des noms de domaine utilisés. Ils contiennent tous les chaînes de caractères protection et scan et sont des sous-domaines du domaine de premier niveau .com. Ils sont également concaténés avec d’autres mots en anglais. Par exemple :
- scannerprotectionofficesfree.com
- desktopscannerprotectionxp.com
- negativescannerxpprotection.com
- compactscannerprotectionfast.com
- mobilescannerwinprotection.com
Ces sites proposent l’installation d’un faux anti-virus après avoir fait semblant d’analyser la machine et de trouver des virus.
Le deuxième point commun est le format des adresses réticulaires, ou URI. La première page demandée est de la forme :
/index2.php?[:base64:]{68}.
L’adresse réticulaire pour télécharger l’exécutable est de la forme :
/download.php?[:base64:]{68}
Le paramètre encodé en base64 semble lui toujours commencer par 06abQDY3.
Enfin, les adresses IP des serveurs impliqués appartiennent à différentes plages, sans lien évident. Les exécutables téléchargés sont eux différents à chaque téléchargement (hachés MD5 multiples).
1.2 Mesures envisageables
Pour détecter ce phénomène, il est possible de rechercher dans les journaux des serveurs mandataires Web (et éventuellement dans les journaux DNS) les noms de domaine contenant les chaînes de caractères protection et scan. La validation des résultats se fait ensuite en observant directement si les adresses réticulaires observées sont de même format que celles précédemment citées, présentant la chaîne /download.php?06abQDY3. Il faut alors s’assurer que le contenu téléchargé a été bloqué préventivement (blocage d’exécutables ou antivirus) et qu’il n’a pas été installé sur le poste de l’utilisateur à l’origine involontaire de ce téléchargement.
De manière générale, il ne faut pas accepter le téléchargement d’exécutables au niveau des serveurs Web mandataires, sauf exceptions, par exemple sous forme de liste blanche. Les utilisateurs qui naviguent sur l’Internet doivent le faire à partir d’un système à jour et d’un compte aux droits très restreints, afin d’éviter tout téléchargement et installation involontaire et dangereuse. Les utilisateurs doivent également être sensibilisés pour ne pas tomber dans le piège de ces faux antivirus.
1.3 Références
http://blog.sucuri.net/2011/04/jquery4html-co-cc-malware-fake-av-redirections.hmtl
http://www.sophos.com/support/knowledgebase/article/110379.html
2 Moteurs de recherche et logiciels malveillants
Les techniques d’optimisation pour les moteurs de recherche (en anglais SEO – Search Engine Optimization) sont utilisées pour favoriser le référencement d’un contenu par un moteur de recherche tel que Google ou Bing.
Celles-ci, loin d’être nouvelles, sont de plus en plus utilisées pour référencer des sites malveillants avec des mots-clés légitimes. Souvent lié à l’actualité (comme l’annonce de la mort de Oussama Ben Laden ou l’accident nucléaire de Fukushima), ce référencement abusif se retrouve aussi bien classé que les sites de médias bien connus. Le but de la manoeuvre est de faire installer par l’internaute un logiciel ou un module d’extension malveillant.
Cette semaine, une campagne utilisant le moteur de recherche d’images de Google et relative à la mort de Oussama Ben Laden visait les utilisateurs de Windows et Mac. L’installation d’un faux antivirus était suggérée, après une prétendue infection lors de la redirection vers un site malveillant.
En identifiant le système de leur victime, ces sites malveillants ne se restreignent plus uniquement à Windows et ciblent désormais d’autres systèmes tels que MacOS et des utilisateurs ayant le sentiment d’être jusque là épargnés (à tort).
Le CERTA recommande de prêter une attention particulière aux résultats des moteurs de recherche lors de la navigation afin de ne pas être redirigé vers des sites malveillants.
3 Mise en liste noire de certains certificats SSL frauduleux
Le 25 mars dernier, le CERTA a émis un avis concernant une émission frauduleuse de certains certificats (CERTA-2011-AVI-169).
Les plates-formes susceptibles de recevoir ces mises à jours ne sont pas restreintes aux ordinateurs et serveurs. Les téléphones et les systèmes embarqués peuvent eux aussi être vulnérables.
Microsoft a mis à jour son bulletin de sécurité (254375) en ajoutant, entre autres, les téléphones fonctionnant sous Windows Mobile 6.X et Windows Phone 7.
Le CERTA recommande de procéder à la vérification de l’ensemble des systèmes pouvant interagir avec le système d’information et qui seraient potentiellement vulnérables.
Documentation
- Avi CERTA-2011-AVI-169 du 24 mars 2011 :
http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-169/
- Bulletin d’actualité CERTA-2011-ACT-012 du 25 mars 2011 :
http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-012/
- Bulletin de sécurité Microsoft 2524375 du 23 mars 2011 :
http://www.microsoft.com/france/technet/security/advisory/254375.mspx
Rappel des avis émis
Dans la période du 25 avril au 01 mai 2011, le CERT-FR a émis les publications suivantes :
- CERTA-2011-AVI-251 : Vulnérabilité dans des produits d’accès VPN de CheckPoint
- CERTA-2011-AVI-252 : Vulnérabilité dans Webmin
- CERTA-2011-AVI-253 : Vulnérabilité dans Hitachi Web Server
- CERTA-2011-AVI-254 : Vulnérabilité dans Hitachi Web Server
- CERTA-2011-AVI-255 : Vulnérabilité dans WordPress
- CERTA-2011-AVI-256 : Vulnérabilités dans CA Arcot WebFort Versatile Authentication Server
- CERTA-2011-AVI-257 : Vulnérabilité dans HP SiteScope
- CERTA-2011-AVI-258 : Vulnérabilités dans BestPractical RT
- CERTA-2011-AVI-259 : Vulnérabilités dans IBM DB2
- CERTA-2011-AVI-260 : Multiples vulnérabilités dans HP OpenView Storage Data Protector
- CERTA-2011-AVI-261 : Multiples vulnérabilités dans MediaWiki
- CERTA-2011-AVI-262 : Vulnérabilité dans Cisco Wireless Lan Controllers
- CERTA-2011-AVI-263 : Multiples vulnérabilités dans Cisco Unified Communications Manager
- CERTA-2011-AVI-264 : Vulnérabilités dans OpenSUSE Build Service
- CERTA-2011-AVI-265 : Vulnérabilité dans JBoss
- CERTA-2011-AVI-266 : Multiples vulnérabilités dans Google Chrome
- CERTA-2011-AVI-267-002 : Multiples vulnérabilités dans les produits Mozilla
- CERTA-2011-AVI-268 : Vulnérabilité dans FFmpeg
- CERTA-2011-AVI-269 : Vulnérabilité dans HP Network Automation
- CERTA-2011-AVI-270 : Vulnérabilité dans Cisco IOS
- CERTA-2011-AVI-271 : Vulnérabilités dans VMware ESX et ESXi
Durant la même période, les publications suivantes ont été mises à jour :
- CERTA-2011-AVI-190-002 : Vulnérabilité dans le client DHCP ISC
