firefox

Firefox: Une vulnérabilité vieille de 17 ans

Mise à part l’hameçonnage et les arnaques, télécharger un fichier joint HTML et l’ouvrir localement sur votre navigateur Firefox n’a jamais été considéré comme une menace sérieuse jusqu’à ce qu’un chercheur en sécurité démontre une technique qui permettait de subtiliser des fichiers stockés sur le PC de la victime.

Barak Tawily, un chercheur en sécurité spécialisé dans les applications, a partagé ses trouvailles, il a réussi à développer un nouvelle preuve de concept d’attaque contre la dernière version de Firefox en se concentrant sur un bug vieux de 17 ans.

L’attaque se sert de la manière dont Firefox implémente Same Origin Policy (SOP) pour le schéma d’URI (Uniform Resource Identifiers) “file://”, lequel permet à n’importe quel fichier sur le système d’accéder aux fichiers qui se trouvent dans le même dossier ou dans des sous-dossiers.

Comme le Same Origin Policy n’a pas été défini clairement dans le RFC par l’IETF, chaque navigateur et logiciel l’ont implémenté différemment —certains traitent tout les fichiers qui sont dans le même dossier comme ayant la même origine alors que d’autres traitent chaque fichier comme ayant une origine différente.

Tawily a révélé que Firefox est le seul navigateur majeur qui n’avait pas changé son implémentation non-sécurisée de Same Origin Policy (SOP) pour le schéma de fichier URI et qui utilise l’API Fetch plutôt qu’un protocole de fichier.

Demo: Vol de fichiers locaux sur Firefox

Bien que cette faiblesse d’implémentation dans Firefox a été le sujet de discussions sur Internet depuis plusieurs années, c’est la première fois que quelqu’un créé une preuve de concept d’attaque qui menace la sécurité des millions d’utilisateur de Firefox.

Comme montré dans la démonstration vidéo, Tawily a exploité le bug en le combinant avec une attaque clickjacking et un bug de “changement de contexte” qui a permis à son code de:

  • récupérer la liste de tout les fichiers se trouvant dans le même dossier et sous-dossiers où le fichier HTML malveillant a été téléchargé par le navigateur et sauvegardé par la victime manuellement,
  • lire le contenu de fichiers spécifiques ou de tout les fichiers en utilisant l’API Fetch
  • envoyer les données collectées vers un serveur distant en utilisant des requêtes HTTP.

Pour une exécution réussie de cette attaque, les pirates devront pousser les victimes à télécharger et ouvrir le fichier HTML malveillant dans le navigateur web Firefox et cliquer sur un faux bouton pour déclencher l’exploit.

Tawily a déclaré que toutes les actions mentionnées ci-dessus peuvent se produire en arrière-plan à l’insu des victimes, en seulement quelques secondes après que la victime ait cliqué sur le bouton se trouvant sur la page HTML.

Dans son scénario d’attaque, Tawily montre comment un pirate peut facilement subtiliser les clés SSH secrètes des victimes sur Linux si un utilisateur sauvegarde ses fichiers téléchargés dans le répertoire personnel qui contient aussi les clés SSH.

Firefox n’appliquera pas de patch maintenant

Le chercheur a signalé ses trouvailles à Mozilla, qui a répondu en disant “Notre implémentation de Same Origin Policy permet à l’URL file:// d’obtenir l’accès aux fichiers qui se trouvent dans le même dossier et sous-dossier”.

En abordant le sujet d’approche alternative pour réparer le problème, Twaily a proposé, “En terme de sécurité je pense que cela devrait être géré du côté du RFC, qui devrait forcer les navigateurs à implémenter l’approche la plus sécurisé, et retire la possibilité que des développeurs fassent des erreurs qui exposent le client à ce genre d’attaques.”

En 2015, les chercheurs ont découvert une vulnérabilité similaire, mais exécutable à distance dans le same-origin policy de FireFox que des pirates avaient exploité pour subtiliser des fichiers sur le PC des utilisateurs de Firefox quand ils cliquaient sur des publicités malveillantes.

Si cet article vous a plu, notre précédent article lié à Firefox pourrait vous intérésser.

Poster un Commentaire

avatar
  S’abonner  
Notifier de