Vulnérabilité 0jour découverte dans Unity Web Player

Les détails d’une vulnérabilité 0jour détectée dans le plug-in Unity Web Player pour navigateur ont été divulgués. Elle permettrait à l’attaquant d’utiliser les informations d’authentification de la victime afin de lire les messages ou de réaliser d’autres actions malveillantes impliquant l’accès à des services en ligne d’autrui.

Jouko Pynnonen, le chercheur finnois à l’origine de la découverte, a opté pour la divulgation partielle près de six mois après la remise de son rapport au développeur, qui est toujours sans réponses. D’après ce chercheur, Unity Technologies n’a accusé la réception du rapport sur le bogue qu’avant hier et affirme qu’elle étudie une solution et adoptera les mesures nécessaires pour améliorer la procédure de réaction face aux incidents de sécurité de l’information.

La société propose Unity Web Player avec son moteur qui est utilisé par les développeurs de jeux informatiques sous Windows ou Mac OS X, ainsi que pour les consoles spécialisées et les périphériques mobiles. Ce plug-in est utilisé dans de nombreux jeux sur Facebook ; le réseau social propose même un SDK afin qu’il soit possible d’intégrer ses fonctions à divers jeux Unity. D’après les statistiques d’Unity Technologies, ce lecteur a été téléchargé plus de 125 millions de fois.

Bien que la portée de cette vulnérabilité soit assez vaste, la décision récente de Google de désactiver NPAPI dans son navigateur devrait réduire sensiblement les risques. Cette API qui remonte aux années 90 est bien connue pour son rôle central dans les plantages, les échecs et les problèmes de sécurité. La fin de la prise en charge de NPAPI à partir de Chrome 42 et suivant implique la désactivation par défaut non seulement d’Unity Web Player, mais d’autres plug-ins également comme Java et Silverlight (cette désactivation peut encore être désactivée manuellement).

Jouko Pynnonen est persuadé que la « décision de Google dans Chrome va considérablement réduire le problème. Pour exécuter le plug-in, il faut introduire des modifications dans les paramètres. Unity ne fonctionnera tout simplement pas sans celles-ci. A l’avenir, cette possibilité sera supprimée. »

Afin de pouvoir exploiter cette nouvelle vulnérabilité, l’individu malintentionné devra attirer l’utilisateur sur son site avec une version malveillante d’Unity ou introduire un malware de ce genre dans une ressource légitime ou, par exemple, dans un jeu pour Facebook. Selon l’analyse du chercheur finnois, cette vulnérabilité permet à une version malveillante d’Unity de contourner la stratégie de la source unique qui empêche l’accès aux URL ou aux ressources d’un autre domaine. Une exploitation réussie via Internet Explorer permettrait à l’attaquant de consulter les fichiers stockés localement.

D’après Jouko Pynnonen, le malware téléchargé depuis un site spécial substitue l’URL dans le navigateur. L’application Unity d’origine doit intercepter ces redirections, mais dans le cas qui nous occupe, cela ne se produit pas. « Certaines versions de plug-ins et de navigateurs imposent l’utilisation d’une adresse IP représentée par 10 chiffres sans point et non pas sous la forme d’un nom de nœud facile à lire. En cas d’utilisation d’enregistrements sous la forme d’une série de dix chiffres sans point, le site de l’attaquant doit avoir le fichier crossdomain.xml pour garantir un accès total » explique le chercheur. Les fichiers crossdomain.xml peuvent étendre les stratégies qui empêchent de tels accès extérieur.

Jouko Pynnonen a enregistré une petite vidéo dans laquelle il présente la preuve de concept. On y voit comment l’application, après avoir été chargée, sollicite une URL particulière sur le site de l’attaque et reçoit en réponse l’erreur 301 avec une redirection vers Gmail. Ensuite, le navigateur, grâce aux informations d’authentification de l’utilisateur, charge la liste des message pour l’attaquant qui peut ainsi lire n’importe quel message.

Jouko Pynnonen souligne que « le niveau d’interaction [avec la victime] dépend du type de navigateur et de sa version. Au cours de ces dernières années et de ces derniers mois, le fonctionnement des plug-ins pour Internet a été soumis à des restrictions sensibles, particulièrement dans Chrome. Certains navigateurs ont exécuté l’application dès l’affichage de la page. D’autres demandent une autorisation d’exécution. L’utilisateur peut décider d’autoriser l’exécution de toutes les applications d’Unity lorsqu’il exécute la première, etc. »

« Si l’exécution du plug-in (Unity Web Player) est autorisée, il charge automatiquement l’application et l’exécute dans le navigateur. Elle est censée s’exécuter sans danger dans un bac à sable, comme les applications ou les applets Java » ajoute l’expert.

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *