|
Les attaques XML se développent
Par Ludovic Blin,
secuobs.com
Le 06/08/2012
Résumé : Lors de la conférence Hack in Paris qui se tenait à la fin du mois de juin à Eurodisney près de Paris, Nicolas Grégoire de la société Agarri a présenté plusieurs techniques permettant l’exploitation de différents composants xml qui peuvent se retrouver dans de nombreuses applications. - Lire l'article
Les technologies XML sont pour différentes raisons de plus en plus utilisées. En effet, aussi bien les échanges de données entre applications, que la consultation de données par des applications utilisées par des utilisateurs finaux sont en croissance. Le format standard xml, a ainsi tendance à être utilisé comme format source, mais aussi lors d’échanges entre applications. Ses capacités de transformation, grâce à XSLT sont également appréciés des développeurs et concepteurs d’applications.
Cependant, la sécurité de ces différents composants n’est encore que peu étudiée. Pourtant, avec un format aussi complexe offrant autant de possibilités, la surface d’attaque paraît importante.
Le français Nicolas Grégoire de la société Agarri est venu combler une partie de ce vide en présentant les résultats de ses recherches lors de la conférence Hack In Paris qui a eu lieu du 18 au 22 juin à Eurodisney près de Paris.
Près de 20 vulnérabilités ont été publiées, touchant des outils très utilisés comme PHP ou Sharepoint. Celles-ci se regroupent selon différentes familles. Tout d’abord, le format est vulnérable aux dénis de services, notamment par utilisation excessive des ressources utilisées par le parser.
L’utilisation des entités externes (XML eXternal Entities), qui permet, au lieu d’intégrer directement des données dans un fichier XML, d’intégrer un pointeur vers ces données, offre également de nombreuses possibilités (DoS, scan de ports par rebond, pass the hash …).
Par ailleurs l’utilisation du format XDP (XML Data Package) peut être très utile pour implémenter des techniques d’évasion échappant aux antivirus. En effet il est possible d’encapsuler un fichier pdf dans un container XDP (voire également l’inverse, récursivement).
Enfin, la surface d’attaque est encore élargie grâce aux transformations XSLT. En effet, cette technologie, qui fait partie d’XML et dont les fonctionnalités sont une des pierres angulaires de ce format, permet la transformation d’un document XML en un autre format de document. Il s’agit d’un véritable langage de programmation, qui peut par ailleurs être intégré au sein d’un document XML. Il est ainsi possible de générer à la volée des données XML, qui peuvent ensuite être transformées en document ou en image SVG.
La sécurisation des applications utilisant les technologies XML paraît donc complexe, de part la surface d’attaque mais aussi le nombre important d’applications, de composants, de bibliothèques qui peuvent être utilisées. Bien que le format soit très répandu (notamment via les services web), sa sécurité est encore peu envisagée et étudiée, aussi bien du point de vue des chercheurs en sécurité que des responsables informatique des organisations.
C’est ce que nous confirme Renaud Bidou de la société française Deny All, qui commercialise un parefeu applicatif pour services web et SOA : « Les RSSI et DSI ont bien pris conscience de la nécessité de se protéger des attaques contre les applications web. Cependant ce n’est pas encore totalement le cas pour les technologies XML, bien qu’il se déploie de plus en plus de services web ».
Le conférence Hack in Paris : lien
Le site de la société Agarri : lien
Le site de la société Deny All : lien
- Article suivant : Interfaces Snort et p0f pour PacketPig, analyser des captures pcap de 3To
- Article précédent : Microsoft publie la version 1.0 d'Attack Surface Analyzer
- Article suivant dans la catégorie Reportages : Assises 2012: L'importance de dire non... quand c'est possible
- Article précédent dans la catégorie Reportages : ZERO DAY un documentaire sur les côtés obscurs de l'Internet
Mini-Tagwall des articles publiés sur SecuObs : | | | | sécurité, exploit, windows, attaque, outil, microsoft, réseau, audit, metasploit, vulnérabilité, système, virus, internet, usbsploit, données, source, linux, protocol, présentation, scanne, réseaux, scanner, bluetooth, conférence, reverse, shell, meterpreter, vista, rootkit, détection, mobile, security, malicieux, engineering, téléphone, paquet, trames, https, noyau, utilisant, intel, wishmaster, google, sysun, libre |
Mini-Tagwall de l'annuaire video : | | | | curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit, exploit, lockpicking, linux, attack, wireshark, vmware, rootkit, conference, network, shmoocon, backtrack, virus, conficker, elcom, etter, elcomsoft, server, meterpreter, openvpn, ettercap, openbs, iphone, shell, openbsd, iptables, securitytube, deepsec, source, office, systm, openssh, radio |
Mini-Tagwall des articles de la revue de presse : | | | | security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité |
Mini-Tagwall des Tweets de la revue Twitter : | | | | security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack |
|
|
|
|
|