Les chercheurs savent depuis longtemps qu’ils peuvent recueillir des informations cachées sur le fonctionnement interne d’un site Web en mesurant le temps nécessaire à différentes requêtes pour être satisfaites et en extrapolant des informations – et des faiblesses potentielles – à partir de légères variations. De telles « attaques de synchronisation Web » sont décrites depuis des années, mais elles sont souvent trop complexes pour que des attaquants du monde réel puissent les utiliser en pratique, même si elles fonctionnent en théorie. Lors de la conférence sur la sécurité Black Hat qui s’est tenue cette semaine à Las Vegas, un chercheur a toutefois averti que Les attaques de synchronisation Web sont en fait réalisables et mûr pour l’exploitation.
James Kettle, directeur de recherche chez PortSwigger, une société spécialisée dans la sécurité des applications Web, a développé un ensemble de techniques d’attaques de synchronisation Web qui peuvent être utilisées pour exposer trois catégories différentes de vulnérabilités des sites Web. Il a validé les méthodes à l’aide d’un environnement de test qu’il a créé et qui a compilé 30 000 sites Web réels, qui proposent tous des programmes de chasse aux bugs. Selon lui, l’objectif de ce travail est de montrer qu’une fois que quelqu’un a une compréhension conceptuelle des types d’informations que les attaques de synchronisation Web peuvent fournir, il devient plus facile d’en tirer parti.
« J’ai toujours évité de faire des recherches sur les attaques temporelles, car c’est un sujet qui a une certaine réputation », explique Kettle. « Tout le monde fait des recherches sur le sujet et dit que ses recherches sont pratiques, mais personne ne semble jamais utiliser les attaques temporelles dans la vie réelle, alors est-ce vraiment pratique ? J’espère que ce travail montrera aux gens que ces choses fonctionnent réellement de nos jours et les fera réfléchir. »
Kettle a été inspiré en partie par un article de recherche de 2020 intitulé «Attaques temporelles intemporelles”, qui a travaillé à la recherche d’une solution à un problème courant. Connu sous le nom de « gigue du réseau », le surnom de l’article fait référence aux délais entre le moment où un signal est envoyé et reçu sur un réseau. Ces fluctuations ont un impact sur les mesures de synchronisation, mais elles sont indépendantes du traitement du serveur Web mesuré pour les attaques de synchronisation, elles peuvent donc fausser les lectures. L’étude de 2020 a cependant souligné que lors de l’envoi de requêtes via le protocole réseau omniprésent HTTP/2, il est possible de placer deux requêtes dans un seul paquet de communication TCP afin de savoir que les deux requêtes sont arrivées au serveur en même temps. Ensuite, en raison de la conception de HTTP/2, les réponses reviendront ordonnées de sorte que celle qui a pris le moins de temps à traiter soit la première et celle qui a pris le plus de temps soit la deuxième. Cela donne des informations fiables et objectives sur la synchronisation du système sans nécessiter de connaissances supplémentaires sur le serveur Web cible, d’où les « attaques de synchronisation intemporelles ».
En plus d’utiliser des attaques temporelles pour trouver des points d’appui cachés, Kettle a également développé des techniques efficaces pour détecter deux autres types courants de bugs Web exploitables. L’un, connu sous le nom de vulnérabilité d’injection côté serveur, permet à un attaquant d’introduire du code malveillant pour envoyer des commandes et accéder à des données qui ne devraient pas être disponibles. Et l’autre, appelé proxy inverse mal configuré, permet un accès involontaire à un système.
Lors de sa présentation à Black Hat mercredi, Kettle a démontré comment il pouvait utiliser une attaque de synchronisation Web pour découvrir une mauvaise configuration et finalement contourner le pare-feu d’une application Web cible.
« Une fois que vous avez trouvé cette mauvaise configuration du proxy inverse, vous contournez simplement le pare-feu », a-t-il déclaré à WIRED avant son exposé. « C’est absolument trivial à exécuter une fois que vous avez trouvé ces proxys distants, et les attaques de synchronisation sont efficaces pour trouver ces problèmes. »
Parallèlement à sa conférence, Kettle a publié des fonctionnalités pour l’outil d’analyse des vulnérabilités open source connu sous le nom de Mineur de paramètres. L’outil est une extension de la célèbre plateforme d’évaluation de la sécurité des applications Web Burp Suite, développée par l’employeur de Kettle, PortSwigger. Kettle espère sensibiliser les gens à l’utilité des attaques de synchronisation Web, mais il veut également s’assurer que les techniques sont utilisées pour la défense même lorsque les gens ne comprennent pas les concepts sous-jacents.
« J’ai intégré toutes ces nouvelles fonctionnalités dans Param Miner pour que les personnes qui ne connaissent rien à ce domaine puissent utiliser cet outil et trouver certaines de ces vulnérabilités », explique Kettle. « Il montre aux gens des choses qu’ils n’auraient pas vues autrement. »
2024-08-09 00:19:16
1723153352
#Les #attaques #synchronisation #Web #délicates #sont #faciles #utiliser #abuser
