Bandeaux publicitaires malveillants
Date : 04 Mars 2008
Début février, nous avons émis un "Danger Potentiel" (CERT-IST/DG-2008.004 : Propagation de fichiers PDF malicieux -CVE-2007-5659) parce qu'une vague d'attaques au moyen de fichiers PDF avait été signalée sur Internet. Pour ce type de situation il est très courant que nous nous concertions avec les autres CERT (et plus particulièrement avec les équipes françaises du CERTA et du CERT-Renater) afin d'échanger nos appréciations sur le niveau de la crise et sur les mesures pour réduire le risque d'infection pour nos abonnés respectifs. En l'occurrence, nous avons étudié avec le CERT-Renater des logs réseaux relatifs à un poste infecté, ce qui nous a permis d'identifier de façon précise la façon dont ce poste avait été infecté.
Analyse de log pour l'attaque PDF
Sur ce cas, les logs montrent clairement que le poste a été infecté par un bandeau publicitaire présent sur un site web visité. Voici en effet la suite des traces trouvées dans les logs :
[2] GET http:// 85. 17. 221. 2/track
[3] GET http:// 85. 17. 221. 2/track/l.php?pl=Win32&ce=true&hb=2&av=7
[4] GET http:// 85. 17. 221. 2/track/1.pdf
Nota : des espaces ont été ajoutés dans les URL ci-dessus pour les rendre inactifs.
On voit dans ces traces qu'une bannière publicitaire (ligne [1]) force l'internaute à visiter le site d'adresse IP 85.17.221.2. Le lien entre ces 2 lignes a été établi grâce au champ "Referer" qui est présent dans chaque ligne des logs. Ensuite, les logs montrent un enchaînement de pages web (lignes [2] et [3]) et enfin le chargement d'un fichier "1.pdf" (ligne [4]).
Ce fichier PDF est un fichier malicieux. Il contient du code JavaScript qui, du fait d'une vulnérabilité dans Adobe Reader (cf. avis CERT-IST/AV-2008.048), provoque un débordement de pile permettant de faire exécuter des commandes arbitraires sur le poste de l'internaute. On ne le voit pas sur ces traces, mais les commandes arbitraires utilisées sur ce cas provoquaient en fait le téléchargement d'une variante du cheval de Troie "Zonebac" sur le poste.
Quelques éléments supplémentaires sont intéressants à noter pour cette attaque (car on les retrouve souvent) :
- L'enchaînement des pages web téléchargées est provoqué par des balises "IFRAME". Par exemple, le fichier "1.pdf" a été téléchargé parce que la page précédente contenait le code :
<html><iframe src="1.pdf" height="0" width="0" hidden="true"/></html> - On voit dans la ligne [3] que des paramètres sont envoyés au site pirate ("pl=Win32", "ce=true", etc…). Il est probable que le site pirate a tenu compte de ces paramètres pour provoquer la ligne [4] ; Si la plate-forme cible n'avait pas été de type "Win32" (i.e. un poste Windows), la balise "IFRAME" aurait sans doute utilisé un autre fichier que "1.pdf" (qui est conçu pour attaquer une plate-forme Windows).
Les éléments que nous avons tirés de cette analyse conjointe avec le CERT-Renater nous ont permis d'enrichir le "Hub de gestion de crise" que nous avions créé pour permettre aux abonnés de ce service de suivre l'évolution de la crise "PDF". Ainsi, dès le 12/02/2008 nous avons recommandé par ce canal à nos adhérents de rechercher dans les logs de leurs relais web des traces similaires à celles que nous avions constatés lors de notre investigation :
- Recherche des connexions vers le site d'IP 85.17.221.2
- Recherche d'URL de types ""/track/l.php" ou "/track/1.pdf"
Si de telles traces sont trouvées, alors les postes qui les ont générées ont très probablement été victimes d'attaques PDF.
Bannières publicitaires malveillantes
Le fait qu'une bannière publicitaire attaque l'internaute lors de sa navigation web est assez intriguant. Dans ce cas en effet l'internaute se fait attaquer en visitant des sites web tout à fait ordinaires (non suspects) mais qui diffusent sans le savoir des publicités dangereuses. Un site n'est en fait pas maître de la publicité qu'il diffuse. Il loue de l'espace sur ses pages web à une régie publicitaire qui elle réalise des campagnes de publicités en fonction des demandes des annonceurs. Et il est avéré aujourd'hui que dans ce flot publicitaire, se glisse parfois des contenus malicieux. Le Cert-IST a déjà constaté ce type d'attaque. Par exemple, en octobre 2007 nous avons traité des plaintes pour des publicités intrusives diffusées (à son insu) par le site "laposte.net". De même, plusieurs articles diffusés par la presse spécialisée relatent des incidents similaires (voir par exemple cet article du Washington Post de septembre 2007 : Banner Ad Trojan Served on MySpace, Photobucket). Il semblerait même que ce phénomène soit actuellement en forte augmentation (voir par exemple la liste des sites victimes donnée en tête de ce blog).
Les analyses de ce type d'attaques relatent que celles-ci sont souvent réalisées au moyen d'animations Flash malicieuses. Dans ce cas un pirate prépare un faux spot publicitaire sous forme d'une animation "Flash". Pour ne pas éveiller les soupçons ce spot a un comportement anodin la plupart du temps, mais de temps en temps, il lance une attaque en redirigeant l'internaute (au moyen d'une balise "IFRAME") vers un script d'attaque hébergé sur un site malicieux. Cette animation Flash est ensuite envoyée à la régie publicitaire, qui ne se rend pas compte que des attaques y sont cachées, et la diffuse sur son réseau.
Ce modèle d'attaque est très intéressant pour le pirate. Il n'est en effet plus nécessaire d'attirer l'internaute vers un site malicieux, ou même d'infecter des sites tiers mal protégés. Il suffit de réussir à insérer un spot malicieux dans une campagne de publicité pour que tous les sites web abonnés à une régie publicitaire donnée se mettent à attaquer les internautes visitant ces sites.
Le cas de l'attaque PDF
Le cas de l'attaque PDF que nous mentionnions en début d'article est redoutable par son efficacité :
- Une faille jusque là inconnue (et pour laquelle bien sur il n'existe pas encore de correctif) est découverte dans le lecteur PDF. Comme ce lecteur est intégré d'office aux navigateurs web les plus courants (Internet Explorer, Firefox, etc…), cette faille permet d'attaquer n'importe quel internaute lors de sa navigation web.
- Cette faille est alors encapsulée dans une publicité malicieuse puis injectée dans le circuit de diffusion d'une régie publicitaire. L'attaque se retrouve alors diffusée en masse sur Internet.
Dans ces conditions, n'importe quel internaute (et même si celui-ci est totalement à jour en terme de correctifs de sécurité) qui croise lors de sa navigation web cette publicité malicieuse se retrouve alors instantanément infecté, et cesans aucune interaction de sa part (il suffit de visiter le site diffusant la publicité malicieuse pour que l'attaque se déclenche).
L'attaque PDF a été démasquée le 9 février 2008 (date de diffusion des premiers messages d'alerte du Cert-IST dans la cadre de la veille 7/7), mais nous avons la preuve qu'elle était active depuis au moins le 1er février (date trouvée dans les logs que nous avons analysés). Selon certaines sources, ces attaques pourraient même avoir débuté le 20 janvier 2008. Il y aurait alors eu un délai de 3 semaines entre les premières attaques et le déclenchement de l'alerte qui a provoqué le démantèlement des sites malicieux impliqués. On voit sur ce cas que la fenêtre de vulnérabilité est large, et que pendant cette période n'importe quel internaute qui a croisé cette publicité a pu être infecté ….
Il est encore difficile de savoir si les régies publicitaires qui propagent ce type d'attaque sont victimes ou complices (savent-elles que des publicités malicieuses circulent sur leurs réseaux ?). Une étude récente publiée par Google Research (étude intitulée "All Your iFRAMEs Point to Us") mentionnent que les réseaux publicitaires les plus souvent impliqués sont ceux qui fonctionnent par syndication (plusieurs diffuseurs se groupent pour former un réseau publicitaire commun) car dans ce cas il peut plus facilement s'insérer dans le réseau un "partenaire" indélicat qui pourrait "laisser entrer" sur le réseau des publicités malicieuses.
Pour plus d'information
- Article du journal "TheRegister" : "Rogue ads infiltrate Expedia and Rhapsody"
http://www.theregister.co.uk/2008/01/30/excite_and_rhapsody_rogue_ads/
- Virus Bulletin – Janvier 2008 : "Inside rogue Flash Ads"
http://www.trustedsource.org/download/research_publications/SCJan08.pdf