Exploit.Iframe.Vulnerability

Bonjour *Gloops* :

Exploit.Iframe.Vulnerability

Voir par exemple ici:
http://secunia.com/search/?search=Exploit+Iframe+Vulnerability&w=0

Les iFrame forme particulière de frame qui s'affiche dans une page
pour donner par exemple un aperçu d'un site extérieur sans que le
visiteur du site puisse quitter le site vers l'autre donné en aperçu...

Et cela implique la possibilité d'utiliser du Javascript
via ce iFrame pour en exploiter les vulnérabilités...

La solution la plus simple est de ne pas autoriser le javascript dans les
courriels (et préférer le format texte au html: moins beau mais plus
sécuritaire) ET ne pas utiliser le javascript avec le navigateur sauf sur
des sites dont tu es sûr et certain à 100%...

Le moyen le plus simple est d'utiliser Firefox ET l'extension NoScript.

Pour le reste c'est du bla bla bla de BitDefender.

Lorsque l'occasion se présentera, quand ton abonnement sera sur le point
d'arriver à échéance ou avant, suite à une écoeurite aigüe du machin par
exemple, tu pourra penser à changer d'AV.

Pas d'autre idée.

--
Claude LaFrenière

Claude LaFrenière a écrit, le 29/09/2006 05:35 :

Bonjour *Gloops* :

Exploit.Iframe.Vulnerability

Voir par exemple ici:
http://secunia.com/search/?search=Exploit+Iframe+Vulnerability&w=0

Les iFrame forme particulière de frame qui s'affiche dans une page
pour donner par exemple un aperçu d'un site extérieur sans que le
visiteur du site puisse quitter le site vers l'autre donné en aperçu...

C'est à cela que le mot m'avait fait penser ...

Et cela implique la possibilité d'utiliser du Javascript
via ce iFrame pour en exploiter les vulnérabilités...

ça tombe bien, j'ai toujours fait attention de désactiver les scripts
dans les messageries.

La solution la plus simple est de ne pas autoriser le javascript dans les
courriels (et préférer le format texte au html: moins beau mais plus
sécuritaire) ET ne pas utiliser le javascript avec le navigateur sauf sur
des sites dont tu es sûr et certain à 100%...

Le moyen le plus simple est d'utiliser Firefox ET l'extension NoScript.

Oui, pratique, ça. En ajoutant en plus les extensions qu'il faut pour
les cookies, on finit par naviguer en ayant une pas trop mauvaise idée
de ce qu'on fait, plus besoin de diviser les sites en trois catégories
de sécurité.

Cela étant, si tu regardes bien le lien que j'ai fourni, le "virus"
n'apparaît que dans les boîtes de Eudora (et pas dans celles de
Thunderbird, avec les mêmes messages). Et ça promet d'être hautement
pratique de s'y retrouver, vu que les messages sont désignés par leurs
numéros, et que rien n'est prévu pour dire quel est le message qui porte
tel numéro. On peut supposer qu'il faut les prendre dans l'ordre
séquentiel, et il reste à vérifier si on commence à 0 ou à 1, et dans
quel sens on compte.

Pour le reste c'est du bla bla bla de BitDefender.

Lorsque l'occasion se présentera, quand ton abonnement sera sur le point
d'arriver à échéance ou avant, suite à une écoeurite aigüe du machin par
exemple, tu pourra penser à changer d'AV.

L'ennui, c'est que ça ne fait pas encore une semaine que je l'ai
installé, et que si on compte dans l'installation le fait de comprendre
les virus dénoncés, je n'ai pas encore fini :/

Déjà eu l'occasion de réinstaller à cause d'un souci sur l'interface
pour joindre le support, mais de ce côté, ça se passe plutôt mieux
qu'avec McAfee (il est vrai qu'un an de plus est passé, aussi).

Pas d'autre idée.

C'est toujours ça, merci ...

Je vais réviser la structure d'un IFrame (en espérant qu'il ne s'agit
pas de ce que les linguistes appellent un "faux ami"), et regarder dans
les boîtes Eudora si je trouve quelque chose qui y ressemble.
M'intéresser un peu à ce que disent les gens qui proposent des
désinfecteurs.

C'est vrai qu'il y a une chose que j'apprécie avec McAfee, c'est les
pages d'information qui rendent bien crédibles les alertes qu'ils
soulèvent. Il est vrai qu'une chose que j'apprécie moins, c'est le bazar
qu'ils m'ont laissé passer il n'y a pas si longtemps (partition cachée,
administrateur clandestin, service "sur mesure" ... Le parfait
équipement de la machine zombie, quoi ...)

Un article (dont j'aurais dû noter les références) mentionnait que les
pirates avaient tendance à s'adapter aux méthodes des outils de
protection les plus répandus, avec un niveau de compétence un peu
effrayant, ce qui représente un plus pour des outils moins répandus.

Bonjour *Gloops* :

Cela étant, si tu regardes bien le lien que j'ai fourni, le "virus"
n'apparaît que dans les boîtes de Eudora (et pas dans celles de
Thunderbird, avec les mêmes messages). Et ça promet d'être hautement
pratique de s'y retrouver, vu que les messages sont désignés par leurs
numéros, et que rien n'est prévu pour dire quel est le message qui porte
tel numéro. On peut supposer qu'il faut les prendre dans l'ordre
séquentiel, et il reste à vérifier si on commence à 0 ou à 1, et dans
quel sens on compte.

Ouais... Eudora semble très amusant...

Pour le reste c'est du bla bla bla de BitDefender.

Lorsque l'occasion se présentera, quand ton abonnement sera sur le point
d'arriver à échéance ou avant, suite à une écoeurite aigüe du machin par
exemple, tu pourra penser à changer d'AV.

L'ennui, c'est que ça ne fait pas encore une semaine que je l'ai
installé, et que si on compte dans l'installation le fait de comprendre
les virus dénoncés, je n'ai pas encore fini :/

Déjà eu l'occasion de réinstaller à cause d'un souci sur l'interface
pour joindre le support, mais de ce côté, ça se passe plutôt mieux
qu'avec McAfee (il est vrai qu'un an de plus est passé, aussi).

OK. C'est à l'usage que tu verra si BitDefender est un bon AV:
C'est le meilleur test.

Pas d'autre idée.

C'est toujours ça, merci ...

Je vais réviser la structure d'un IFrame (en espérant qu'il ne s'agit
pas de ce que les linguistes appellent un "faux ami"), et regarder dans
les boîtes Eudora si je trouve quelque chose qui y ressemble.
M'intéresser un peu à ce que disent les gens qui proposent des
désinfecteurs.

S'il y a des trucs pareils dans Eudora c'est que les messages sont
en format HTML. Pourquoi ne pas essayer de les lire avec un navigateur
et de faire afficher le code source puis faire une recherche sur la balise
IFRAME pour voir s'il y en as...

C'est vrai qu'il y a une chose que j'apprécie avec McAfee, c'est les
pages d'information qui rendent bien crédibles les alertes qu'ils
soulèvent. Il est vrai qu'une chose que j'apprécie moins, c'est le bazar
qu'ils m'ont laissé passer il n'y a pas si longtemps (partition cachée,
administrateur clandestin, service "sur mesure" ... Le parfait
équipement de la machine zombie, quoi ...)

Pas très bon pour un AV. Espérons que le nouvel AV soit plus "réveillé"...

Un article (dont j'aurais dû noter les références) mentionnait que les
pirates avaient tendance à s'adapter aux méthodes des outils de
protection les plus répandus, avec un niveau de compétence un peu
effrayant, ce qui représente un plus pour des outils moins répandus.

Oui et le pire s'en vient avec les RootKits...

Histoire à suivre.

--
Claude LaFrenière

Claude LaFrenière a écrit, le 29/09/2006 11:02 :

Ouais... Eudora semble très amusant...

Je n'aurais pas pensé à le dire comme ça.
D'habitude, quand on se réfère à un message, il me semble avoir vu un
expéditeur, un destinataire, une date, un objet ...

Déjà eu l'occasion de réinstaller à cause d'un souci sur l'interface
pour joindre le support, mais de ce côté, ça se passe plutôt mieux
qu'avec McAfee (il est vrai qu'un an de plus est passé, aussi).

OK. C'est à l'usage que tu verra si BitDefender est un bon AV:
C'est le meilleur test.

J'aurais eu plus tendance à reprocher ce binse au pare-feu, mais
peut-être que là je mégote ...

Pas d'autre idée.

C'est toujours ça, merci ...

Je vais réviser la structure d'un IFrame (en espérant qu'il ne s'agit
pas de ce que les linguistes appellent un "faux ami"), et regarder dans
les boîtes Eudora si je trouve quelque chose qui y ressemble.
M'intéresser un peu à ce que disent les gens qui proposent des
désinfecteurs.

S'il y a des trucs pareils dans Eudora c'est que les messages sont
en format HTML. Pourquoi ne pas essayer de les lire avec un navigateur
et de faire afficher le code source puis faire une recherche sur la balise
IFRAME pour voir s'il y en as...

De toute façon j'ai l'impression que j'ai encore de quoi m'occuper.
Ce qui est bien avec l'informatique : on allume, et ça marche.

Oui et le pire s'en vient avec les RootKits...

D'ailleurs, là, j'ai bien l'impression d'avoir déjà donné, ce qui
d'ailleurs ne me met pas à l'abri pour autant.

Histoire à suivre.

Hélas ...

j@ckie a écrit, le 29/09/2006 10:45 :

?? à essayer un scan avec TMicro selon leurs conseils --»

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=HTML%5FCONYC%2EA&VSect=P

Je regarderai.

NB /
http://www.frsirt.com/bulletins/ ---» n° 137 (en bas)

Tu es sûr que ça concerne Exploit.Iframe.Vulnerability ?

«Date de Publication : 2005-05-08 © FrSIRT.COM - Voir Notice Légale
Titre : Mozilla Firefox "Extensions" Remote Code Execution Vulnerability
Identifiant : FrSIRT/AVIS-2005-0493
CVE ID : GENERIC-MAP-NOMATCH
Risque : Critique
Exploitable à distance : Oui
Exploitable en local : Oui »

Je ne suis pas encore arrivé sur la bonne page, mais ça a l'air d'être
une bonne piste, merci.

Bon, bon appétit ...

Salut,

Je n'ai pas fini de traiter ma machine, donc je ne peux assurer être
exhaustif. Toutefois j'ai cru comprendre que je n'étais pas seul dans
cette expectative, et que ça pouvait rendre service de partager mes
observations.

Le plus simple et probablement le plus sûr, est de regarder dans le
fichier de boîte aux lettres avec un éditeur de textes, comme Notepad
(ou Notepad2 qui a l'intérêt de pouvoir faire apparaître les numéros de
lignes).

Je m'aperçois qu'effectivement un certain nombre de mes messages étaient
précédés de ce qui suit :

===================== <HTML><HEAD></HEAD><BODY>
<iframe src="cid:lgfaawehp" height=0 width=0></iframe>
</BODY></HTML>
Content-Type: audio/x-wav; name="LdClBbiSX.exe"Content-Id: <lgfaawehp>

Attachment Converted: C:WINDOWSDOCHCRLdClBbi1.exe
=====================
Sans entrer trop dans les détails de syntaxe de la balise IFrame, ceci
va lancer le programme LdClBbisX.exe en ouvrant ce mail provenant d'un
serveur Yahoo (qui, j'imagine, a dû être désinfecté depuis), avec toutes
les fantaisies qu'on peut en imaginer.

Certains de ces entêtes remontent à 2003, époque à laquelle je
n'utilisais que Eudora comme messagerie, ce qui peut être une raison
valable pour laquelle les autres messageries ne sont pas concernées.
Pour les autres je verrai un peu plus tard.

McAfee a considéré qu'une fois le programme LdClBbis (renommé en
LdClBbi1) effacé il n'y avait plus de menace, l'appel a donc été laissé
dans le corps du message.

BitDefender paraît plus pointilleux, et signale qu'un appel un peu
louche à un fichier joint figure dans un certain nombre de mails, même
si le fichier joint en question n'a pas été trouvé et que la présence
d'un virus dans ce fichier n'a donc pu être confirmée.

Il me paraît que ceci aurait pu être un bon point pour BitDefender, si
on avait pris la peine de se fendre d'une page web qui explique le
problème et la façon de s'en défaire (effacer le code ou dire à
l'antivirus de laisser tomber).

J'ai l'impression qu'un moyen de se défaire de cette alerte pourrait
être d'effacer le code reproduit ci-dessus, à l'aide d'un éditeur de
texte. Il me paraît prudent de travailler sur une copie.

Je commencerai par chercher les mails provenant du même expéditeur, ça
peut gagner du temps.

Il me semble qu'on peut encourager tout un chacun à effectuer une
recherche sur le fichier de boîte aux lettres, mettons In.mbx, dans une
session "lignes de commandes", avec cette syntaxe :

FIND /N "IFrame" In.mbx

Et on verra apparaître toutes les lignes où figure cette balise (avec
leurs numéros dans le fichier grâce à l'option /N). Ceci est simplement
un moyen simple de dépistage.

Pour ce qui est de l'éradication, d'abord on peut espérer que
l'antivirus utilisé aura effacé la pièce jointe, et puis comme je viens
de l'évoquer on peut, avec un éditeur de texte, effacer le code
malicieux que j'ai cité entre les traits "===". Je n'ai pas encore
procédé à l'opération, une fois que je l'aurai fait j'aurai peut-être
une occasion de m'apercevoir que j'ai oublié un détail dans la syntaxe pop.

S'agissant de spams, il y a un traitement encore bien plus simple qui
consiste à détruire les messages concernés. BitDefender n'est pas d'un
grand secours pour les localiser, mais on peut le faire dans l'éditeur
de texte.

On peut aussi considérer que la position de McAfee est tout-à-faire
recevable, selon laquelle un appel à un fichier détruit ou placé en
quarantaine ne cassera pas trois pattes à un canard.

Sinon à la même époque j'ai vu que la SNCF mettait des IFrame dans ses
mails au format HTML, ils ont peut-être arrêté depuis. Dans ce cas le
code n'est pas nécessairement malicieux, la question qu'on peut se poser
est si il est vraiment nécessaire.


___________________________
Doc technique sur le thème "IFrame, quezaco ?" :
http://fr.selfhtml.org/javascript/objets/elementshtml.htm#iframe
et les liens qui s'y trouvent pour les attributs.

Flûûûûûûûûtttttttttttttttttttttttttttttttteeeeeeeeeeeeeeeeeeee ;-(

tu le passes aux copains avec ton script ;-(

Préviens avant stp

Cdlt@+

Mais si vs aimez vivre dangereusement .. ;-)

Cdlt@+

Tu t'es coincé le doigt ?

j@ckie a &eacute;crit, le 02/10/2006 18:56 :

Flûûûûûûûûtttttttttttttttttttttttttttttttteeeeeeeeeeeeeeeeeeee ;-(

tu le passes aux copains avec ton script ;-(

Préviens avant stp

Cdlt@+

Gloops a &eacute;crit, le 29/09/2006 12:51 :

j@ckie a &eacute;crit, le 29/09/2006 10:45 :

?? à essayer un scan avec TMicro selon leurs conseils --»

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=HTML%5FCONYC%2EA&VSect=P

Je regarderai.

NB /
http://www.frsirt.com/bulletins/ ---» n° 137 (en bas)

Tu es sûr que ça concerne Exploit.Iframe.Vulnerability ?

Je suis retourné voir, je ne vois pas IFrame sur la page 137.
C'est quoi que j'ai mal compris ?

Il faut cliquer sur l'un des liens ?
Si je clique sur

Mozilla Suite and Firefox Multiple Code Execution Vulnerabilities

(ce qui ressemble le plus à ce que je lis dans l'extrait que tu donnes,
reproduit là :)

«Date de Publication : 2005-05-08 © FrSIRT.COM - Voir Notice Légale
Titre : Mozilla Firefox "Extensions" Remote Code Execution Vulnerability
Identifiant : FrSIRT/AVIS-2005-0493
CVE ID : GENERIC-MAP-NOMATCH
Risque : Critique
Exploitable à distance : Oui
Exploitable en local : Oui »

j'arrive sur

Date de Publication : 2005-05-12 © FrSIRT.COM - Voir Notice Légale
Titre : Mozilla Suite and Firefox Multiple Code Execution Vulnerabilities
Identifiant : FrSIRT/AVIS-2005-0530
CVE ID : GENERIC-MAP-NOMATCH
Risque : Critique
Exploitable à distance : Oui
Exploitable en local : Oui



Est-ce que je chauffe ?