Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un hacker exploite une vulnérabilité dans la fonctionnalité Live Tiles de Windows
Pour introduire ses propres vignettes dans l'OS

Le , par Bill Fassinou

136PARTAGES

6  0 
L’une des principales fonctionnalités qui sont venues avec le système d’exploitation Windows 8 est Windows Lives Tiles. Il s’agit d’un ensemble d’icônes de type carreau sur Windows Phone et Windows, à commencer par Windows 8, qui extraient en continu des informations en temps réel sur les réseaux sociaux, les systèmes de messagerie, Internet sur d’autres types de contenus. Microsoft utilise le système pour diffuser des annonces et des informations à partir du menu Démarrer de Windows. Cependant, cette semaine, Hanno Bock, chercheur en sécurité, a pris le contrôle du sous-domaine utilisé par Microsoft pour pouvoir offrir ce service. Le sous-domaine qui porte le nom de notifications.buildmypinnedsite.com fait partie du service buildmypinnedsite.com mis en place par Microsoft avec le lancement de Windows 8, et plus spécifiquement pour permettre aux sites Web d'afficher des mises à jour en direct dans les pages de démarrage et les menus des utilisateurs.

Selon Bock, le service de tuiles que Microsoft introduit dans Windows 8 n’a jamais été particulièrement réussi. Il explique que Microsoft a désactivé un service Web pour ce système, mais a oublié de supprimer les entrées du serveur de noms, ce qui rend l’hôte vulnérable à une attaque de prise de contrôle de sous-domaine. Une vulnérabilité qu’il a d’ailleurs utilisée pour afficher ses propres vignettes. Pour afficher les vignettes, Microsoft utilise des balises "meta" enregistrées avec un fichier XML, ce qui permet aux pages Web de contrôler le contenu des mosaïques. Par exemple, ils peuvent afficher les dernières nouvelles. Pour faciliter cette fonction aux pages Web, Microsoft a exécuté un service qui convertissait automatiquement les flux XML en ce format XML spécial, a-t-il expliqué. À partir de là, lorsqu’un utilisateur ouvre le menu Démarrer, son ordinateur lisait la balise méta sur le site souhaité, puis chargeait le contenu à l'intérieur des vignettes dynamiques.


D’après les explications de Bock, le service ne fonctionne plus aujourd’hui, mais étant hébergé sur la plateforme Azure Cloud et le fait que la société ait oublié de supprimer les entrées du serveur de noms, le sous-domaine pointe toujours vers les serveurs de Microsoft Azure Cloud. Il lui a donc été facile de prendre le contrôle du service. La prise de contrôle fonctionne via une entrée de serveur de noms de type CNAME, a-t-il expliqué. Il redirige toutes les demandes pour le sous-domaine Azure non enregistré. « Avec un compte Azure ordinaire, nous avons pu enregistrer ce sous-domaine et ajouter le nom d'hôte correspondant. Ainsi, nous avons pu contrôler le contenu qui est servi sur cet hôte », a déclaré Bock. La technique utilisée par Hanno Bock pour arriver à faire cela est généralement appelée “prise de contrôle de sous-domaine”, un vecteur d’attaque important que l’on trouve dans la manière dont la plupart des services en ligne permettent aux utilisateurs d’exécuter des applications Web ou des blogs avec un nom de domaine personnalisé.

Expliquer autrement, la prise en charge de sous-domaine est une classe de vulnérabilité où le sous-domaine pointe vers un service externe qui a été supprimé. Les services externes peuvent être Github, Heroku, Gitlab, Tumblr, AWS, Microsoft Azure, etc. Supposons que vous avez un sous-domaine sous.example.com qui pointe vers un service externe tel que Azure Cloud. Si la page Azure est supprimée par son propriétaire et qu'il oublie de supprimer l'entrée DNS qui pointe vers le service Azure, un attaquant peut simplement prendre possession du sous-domaine en ajoutant le fichier CNAME contenant le sous-exemple.com.

Hanno Bock dit avoir identifié plusieurs utilisateurs sensibles à cette vulnérabilité tels que le fournisseur russe de courriers Mail.ru et certains sites allemands d'information. Il met en garde que les pages Web contenant les balises doivent être supprimées pour assurer leur sécurité ou, s’ils souhaitent conserver la fonctionnalité, créer d’eux-même les fichiers XML appropriés.

Source : Golem

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Windows 10 : la protection anti-sabotage, le nouveau paramètre de sécurité dans Windows Defender ATP, apporte un niveau de protection supplémentaire

Windows 10 : L'office fédéral allemand pour la sécurité de l'information publie une analyse des fonctions de télémétrie mises en œuvre par Microsoft

Sécurité sous Windows : Coinminer transforme des PC en dispositifs de minage en s'appuyant sur Eternal blue et Windows Management Instrumentation

Patch Tuesday : Microsoft corrige 40 failles de sécurité dans Windows, Office, Internet Explorer, SharePoint et Exchange

Une erreur dans cette actualité ? Signalez-le nous !