Metasploit Decloak 2 et les fuites d'informations réseau via les services Web

Par Xavier Poli, secuobs.com
Le 16/12/2008

---

Résumé : Une seconde version de Metasploit Decloak est disponible afin de démontrer les risques de fuites d'informations sensibles, sur la typologie d'une infrastructure réseau, liés à l'utilisation d'un service Web reposant sur des composants comme le Flash, le Java ou Quicktime. Microsoft Office et iTunes sont également concernés. - Lire l'article



Une nouvelle version du service Metasploit Decloak est dès à présent disponible en ligne ; le moteur de ce service a été mis à jour vis-à-vis des dernières évolutions en matière de protection des différentes technologies Web que la première version tentait d’exploiter, dès 2006, afin de provoquer des fuites d’informations sur les typologies réseau en présence ; quelques dysfonctionnements ont également été corrigés afin d’optimiser les résultats en sortie.

Cette seconde version peut ainsi permettre à tout un chacun de découvrir différentes informations, plus ou moins sensibles, sur un client Web comme par exemple l’adresse IP interne cachée derrière la translation d’adresse NAT ( lien ), le serveur de résolution de noms de domaine DNS ( lien ) utilisé ou la véritable adresse IP externe de ce client même si l’utilisateur se connecte par l’intermédiaire d’un serveur de relai de type Proxy ( lien ).

Pour se faire le moteur Metasploit Decloak combine l'exploitation de technologies Web usuelles coté client comme, entre autres, les applications Flash et les applets Java ; outre les équipes du projet Metasploit, les récentes avancées de cet outil sont notamment à mettre au crédit de Paul Craig pour son exploitation de Quicktime dans la plateforme d’exploitation des kiosques Internet IKAT ( lien ) et Mike Perry pour sa documentation ( lien ) fournie sur le fonctionnement de Torbutton ( lien ).

A noter que l’ensemble des tentatives d’exploitation est ici effectué en une seule et unique passe afin de recueillir le plus d’informations possibles. Cette seconde version est donc capable de contourner les nouvelles protections et n’utilise par ailleurs plus du tout les technologies liées à Javascript ; en dehors des applications Flash et des applets Java de la première version, elle supporte maintenant l’exploitation des composants relatifs à iTunes et Quicktime ainsi que celle des applications de la suite Microsoft Office.

A savoir que lorsqu’un document bureautique est ouvert avec une application de cette suite et qu’il contient une image distante sur le web, le téléchargement de celle-ci permet de contourner le serveur de relai Proxy, ou la passerelle de translation d’adresse IP NAT, en place et cela au même titre que lorsqu’une applet Java essaye d’envoyer des paquets en utilisant le protocole de transport UDP ( lien ) ou qu’une application en Flash tente d’établir une connexion TCP ( lien ) directement avec un client Web.

La seule combinaison que cette seconde version du moteur Metasploit Decloak n’est pas en mesure de contourner à l’heure actuelle est celle qui allie les utilisations conjointes de Tor ( lien ) et de Privoxy ( voir notre article sur Vidalia - lien ) couplées à l’installation et l'activation de l’extension Torbutton pour les navigateurs de type Mozilla Firefox.

Afin de démontrer l’exploitabilité des différentes techniques utilisées, plusieurs éléments sont mis à disposition sur le site du projet Metasploit dont un script Perl pour la partie DNS ( lien ), une applet Java ( lien ) et une application Flash ( lien ) ainsi qu’une base de données PostgreSQL ( lien ) configurée de sorte à stocker les références croisées entre un utilisateur et les données obtenues avec le script DNS précédemment cité.

Ces fuites d’informations sensibles peuvent être également constatées en visitant la page de tests qui a été prévue à cette effet et qui est disponible ( lien ) sur le site du projet Metasploit.

Source : CGISECURITY ( lien )