Infos

eBay élimine une vulnérabilité de type RFD (Reflected File Download)

Cela fait de nombreuses années qu’eBay représente une des cibles les plus importantes pour les attaques de phishing et autres et les individus malintentionnés ne cessent de perfectionner leurs tactiques et leurs méthodes. L’efficacité de celles-ci dépend en grande partie de la capacité à convaincre la victime potentielle qu’elle se trouve bel et bien sur le site d’eBay. Et eBay vient d’éliminer une vulnérabilité qui simplifiait considérablement la tâche des individus malintentionnés.

Le site présentait en effet une vulnérabilité de type RFD (Reflected File Download) qu’un individu malintentionné aurait pu exploiter afin de convaincre la victime que le fichier téléchargé provenait du domaine légitime eBay. Dans certains navigateurs, dont Internet Explorer 8 et 9, cette attaque aurait été possible en amenant tout simplement l’utilisateur à cliquer sur une URL malveillante. Dans d’autres navigateurs, l’individu malintentionné aurait dû convaincre l’utilisateur à télécharger un fichier.

Le chercheur David Sopas a découvert la vulnérabilité et l’a signalée à eBay au milieu du mois de mars. La société a publié un correctif au début de cette semaine. Ce type de vulnérabilité est moins fréquent que le célèbre cross-site scripting (XSS) ou que la falsification de requêtes inter-site, mais elle peut être dangereuse dans des conditions précises.

« Que se passerait-il si les individus malintentionnés parvenaient à améliorer leurs campagnes de phishing contre eBay ? Si des pages malveillantes liées à eBay permettaient de télécharger des fichiers malveillants et d’infecter les utilisateurs ?  » s’interroge David Sopas dans le communiqué qui décrit la vulnérabilité. Il poursuit: « Pendant l’utilisation d’eBay et l’analyse de ses requêtes, j’ai découvert un appel vers un fichier JSON qui m’a amené à m’interroger sur une vulnérabilité RFD. »

David Sopas, chercheur de la société portugaise WebSegura, a découvert il y a quelques-mois d’ici des vulnérabilités semblables dans Facebook et Instagram.

La victime pense que le domaine de confiance eBay lui propose de télécharger un fichier et elle ne se doute de rien. L’individu malintentionné peut prendre les commandes de l’ordinateur de la victime et organiser différentes attaques » explique David Sopas.

Il précise également que l’organisation d’attaques qui exploitent cette vulnérabilité est simple, mais la découverte des bogues en eux-mêmes et bien plus compliquée.

« Elle est facile à exploiter, mais difficile à localiser. Les attaques RFD sont toujours répandues et de nombreuses sociétés ignorent qu’il s’agit d’une véritable menace » écrit David Sopas dans un message. La victime pense toujours que le fichier est téléchargé depuis un site de confiance.

Source: threatpost

eBay élimine une vulnérabilité de type RFD (Reflected File Download)

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception