eBay élimine une vulnérabilité de type RFD (Reflected File Download)

Cela fait de nombreuses années qu’eBay représente une des cibles les plus importantes pour les attaques de phishing et autres et les individus malintentionnés ne cessent de perfectionner leurs tactiques et leurs méthodes. L’efficacité de celles-ci dépend en grande partie de la capacité à convaincre la victime potentielle qu’elle se trouve bel et bien sur le site d’eBay. Et eBay vient d’éliminer une vulnérabilité qui simplifiait considérablement la tâche des individus malintentionnés.

Le site présentait en effet une vulnérabilité de type RFD (Reflected File Download) qu’un individu malintentionné aurait pu exploiter afin de convaincre la victime que le fichier téléchargé provenait du domaine légitime eBay. Dans certains navigateurs, dont Internet Explorer 8 et 9, cette attaque aurait été possible en amenant tout simplement l’utilisateur à cliquer sur une URL malveillante. Dans d’autres navigateurs, l’individu malintentionné aurait dû convaincre l’utilisateur à télécharger un fichier.

Le chercheur David Sopas a découvert la vulnérabilité et l’a signalée à eBay au milieu du mois de mars. La société a publié un correctif au début de cette semaine. Ce type de vulnérabilité est moins fréquent que le célèbre cross-site scripting (XSS) ou que la falsification de requêtes inter-site, mais elle peut être dangereuse dans des conditions précises.

« Que se passerait-il si les individus malintentionnés parvenaient à améliorer leurs campagnes de phishing contre eBay ? Si des pages malveillantes liées à eBay permettaient de télécharger des fichiers malveillants et d’infecter les utilisateurs ?  » s’interroge David Sopas dans le communiqué qui décrit la vulnérabilité. Il poursuit: « Pendant l’utilisation d’eBay et l’analyse de ses requêtes, j’ai découvert un appel vers un fichier JSON qui m’a amené à m’interroger sur une vulnérabilité RFD. »

David Sopas, chercheur de la société portugaise WebSegura, a découvert il y a quelques-mois d’ici des vulnérabilités semblables dans Facebook et Instagram.

La victime pense que le domaine de confiance eBay lui propose de télécharger un fichier et elle ne se doute de rien. L’individu malintentionné peut prendre les commandes de l’ordinateur de la victime et organiser différentes attaques » explique David Sopas.

Il précise également que l’organisation d’attaques qui exploitent cette vulnérabilité est simple, mais la découverte des bogues en eux-mêmes et bien plus compliquée.

« Elle est facile à exploiter, mais difficile à localiser. Les attaques RFD sont toujours répandues et de nombreuses sociétés ignorent qu’il s’agit d’une véritable menace » écrit David Sopas dans un message. La victime pense toujours que le fichier est téléchargé depuis un site de confiance.

Source: threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *