Demo

Les chercheurs savent depuis longtemps qu’ils peuvent recueillir des informations cachées sur le fonctionnement interne d’un site Web en mesurant le temps nécessaire à différentes requêtes pour être satisfaites et en extrapolant des informations – et des faiblesses potentielles – à partir de légères variations. De telles « attaques de synchronisation Web » sont décrites depuis des années, mais elles sont souvent trop complexes pour que des attaquants du monde réel puissent les utiliser en pratique, même si elles fonctionnent en théorie. Lors de la conférence sur la sécurité Black Hat qui s’est tenue cette semaine à Las Vegas, un chercheur a toutefois averti que les attaques de synchronisation Web étaient en fait réalisables et prêtes à être exploitées.

James Kettle, directeur de recherche chez PortSwigger, une société spécialisée dans la sécurité des applications Web, a développé un ensemble de techniques d'attaques de synchronisation Web qui peuvent être utilisées pour exposer trois catégories différentes de vulnérabilités des sites Web. Il a validé les méthodes à l'aide d'un environnement de test qu'il a créé et qui a compilé 30 000 sites Web réels, qui proposent tous des programmes de chasse aux bugs. Selon lui, l'objectif de ce travail est de montrer qu'une fois que quelqu'un a une compréhension conceptuelle des types d'informations que les attaques de synchronisation Web peuvent fournir, il devient plus facile d'en tirer parti.

« J’ai toujours évité de faire des recherches sur les attaques temporelles, car c’est un sujet qui a une certaine réputation », explique Kettle. « Tout le monde fait des recherches sur le sujet et dit que ses recherches sont pratiques, mais personne ne semble jamais utiliser les attaques temporelles dans la vie réelle, alors est-ce vraiment pratique ? J’espère que ce travail montrera aux gens que ces choses fonctionnent réellement de nos jours et les fera réfléchir. »

Kettle s’est inspiré en partie d’un article de recherche de 2020 intitulé « Timeless Timing Attacks », qui visait à trouver une solution à un problème courant. Connu sous le nom de « gigue réseau », le surnom de l’article fait référence aux délais entre le moment où un signal est envoyé et reçu sur un réseau. Ces fluctuations ont un impact sur les mesures de temps, mais elles sont indépendantes du traitement du serveur Web mesuré pour les attaques de temps, elles peuvent donc fausser les lectures. L’étude de 2020 a cependant souligné que lors de l’envoi de requêtes via le protocole réseau omniprésent HTTP/2, il est possible de placer deux requêtes dans un seul paquet de communication TCP afin de savoir que les deux requêtes sont arrivées au serveur en même temps. Ensuite, en raison de la conception de HTTP/2, les réponses reviendront ordonnées de sorte que celle qui a pris le moins de temps à traiter soit la première et celle qui a pris le plus de temps soit la deuxième. Cela donne des informations fiables et objectives sur le temps de traitement du système sans nécessiter de connaissances supplémentaires sur le serveur Web cible, d’où les « attaques de temps intemporelles ».

Les attaques de synchronisation Web font partie d’une catégorie de piratages connus sous le nom de « canaux auxiliaires », dans lesquels l’attaquant recueille des informations sur une cible en fonction de ses propriétés physiques réelles. Dans son nouveau travail, Kettle a perfectionné la technique des « attaques de synchronisation intemporelles » pour réduire le bruit du réseau et a également pris des mesures pour résoudre des types de problèmes similaires avec le bruit lié au serveur afin que ses mesures soient plus précises et fiables. Il a ensuite commencé à utiliser des attaques de synchronisation pour rechercher des erreurs de codage et des failles invisibles dans les sites Web qui sont généralement difficiles à trouver pour les développeurs ou les acteurs malveillants, mais qui sont mises en évidence dans les informations qui fuient grâce aux mesures de synchronisation.

En plus d'utiliser des attaques temporelles pour trouver des points d'appui cachés, Kettle a également développé des techniques efficaces pour détecter deux autres types courants de bugs Web exploitables. L'un, connu sous le nom de vulnérabilité d'injection côté serveur, permet à un attaquant d'introduire du code malveillant pour envoyer des commandes et accéder à des données qui ne devraient pas être disponibles. Et l'autre, appelé proxy inverse mal configuré, permet un accès involontaire à un système.

Lors de sa présentation à Black Hat mercredi, Kettle a démontré comment il pouvait utiliser une attaque de synchronisation Web pour découvrir une mauvaise configuration et finalement contourner le pare-feu d'une application Web cible.

« Une fois que vous avez trouvé cette mauvaise configuration du proxy inverse, vous contournez simplement le pare-feu », a-t-il déclaré à WIRED avant son exposé. « C'est absolument trivial à exécuter une fois que vous avez trouvé ces proxys distants, et les attaques de synchronisation sont efficaces pour trouver ces problèmes. »

Parallèlement à sa conférence, Kettle a dévoilé une fonctionnalité pour l'outil open source d'analyse des vulnérabilités connu sous le nom de Param Miner. L'outil est une extension de la plate-forme d'évaluation de la sécurité des applications Web Burp Suite, développée par l'employeur de Kettle, PortSwigger. Kettle espère sensibiliser les gens à l'utilité des attaques de synchronisation Web, mais il veut également s'assurer que les techniques sont utilisées pour la défense même lorsque les gens ne comprennent pas les concepts sous-jacents.

« J'ai intégré toutes ces nouvelles fonctionnalités dans Param Miner pour que les personnes qui ne connaissent rien à ce domaine puissent utiliser cet outil et trouver certaines de ces vulnérabilités », explique Kettle. « Il montre aux gens des choses qu'ils n'auraient pas vues autrement. »

Source link

Share.

Comments are closed.