Risque
- Usurpation d'adresse réticulaire (url)
Systèmes affectés
Toutes les versions du navigateur Internet Explorer pour Windows.
D'autres navigateurs, comme Mozilla, sont partiellement affectés.Résumé
Une vulnérabilité dans le navigateur Internet Explorer permet l'usurpation des adresses réticulaires (URL).
Description
Une fonctionnalité permet de placer un login et un mot de passe dans une adresse réticulaire, notamment dans le but d'utiliser le protocole ftp.
Par exemple :
ftp://anonymous:monmail\%40mondomaine@ftp.site.tld
Cette fonctionnalité est parfois détournée pour induire en erreur un internaute :
http://www.sitelegitime.tld@www.sitepirate.tld
L'adresse réticulaire semble pointer sur sitelegitime.tld alors qu'en
fait il pointe sur sitepirate.tld. C'est visible, il suffit de chercher
le symbole @
dans l'adresse reticulaire.
Une nouvelle variante permet de camoufler le symbole @
dans l'adresse
réticulaire.
En insérant la chaîne de caractères %00 ou %01 devant le caractère @
dans une adresse réticulaire, il est possible de masquer une partie de
l'URL.
Contournement provisoire
- Appliquer des filtres au niveau des serveurs mandataires (proxies) afin de bloquer les adresses réticulaires contenant les chaînes %00 ou %01 ;
- pour les sites utilisant le protocole HTTPS, vérifier, comme à l'accoutumée, que le certificat correspond au site que l'on est supposé visiter ;
- il est préférable de saisir manuellement les adresses réticulaires, plutôt que de suivre un lien, en particulier pour les sites sensibles (téléprocédures, santé, banques, ...) ;
- utiliser un navigateur non vulnérable.
Solution
Pour Internet Explorer, l'éditeur a publié un correctif. Se référer à l'avis CERTA-2004-AVI-020.
http://www.certa.ssi.gouv.fr/site/CERTA-2004-AVI-020/index.html
Documentation
- Base de connaissances Microsoft 833786 : http://support.microsoft.com/?id=833786