Un nouveau vecteur d'attaque expose plus de 200 millions machines dans le monde à un danger d'exploit facile: Des fichiers de sous-titres destinés pour des lecteurs vidéos populaires
Une faille jugée critique est découverte par des chercheurs chez l'éditeur de sécurité Check point dans les lecteurs vidéos populaires VLC, Kodi, Popcorn Time et Strem.io. L’exploitation est effectuée pendant le chargement du fichier malveillant de sous-titres dans le lecteur vulnérable. L’impact d'attaque peut aller du vol de données sensibles, à l'installation de ransomwares, à des attaques par déni de services en masse et bien plus encore. Les chercheurs considèrent l'exploitation de cette faille au niveau de lecteurs vidéos en utilisant les fichiers de sou-titres comme un nouveau vecteur d'attaque qui est différent au vecteurs traditionnels connus, comme l'incitation de l'utilisateur à visiter un site web, ou de mener une action au niveau de sa machine comme l'ouverture d'un répertoire ou fichier particulier. Le danger de cet nouveau vecteur d'attaque potentiel est qu'il n’entraîne aucune action de la part de l'utilisateur victime ce qui rend sa prévention difficile. Jusque-là les fichiers de sous-titrage pour vidéos n'ont jamais été prêtés attention pour qu'ils soient exploités comme vecteurs d'attaque. Ils sont considérés comme des simples fichiers textes sans moindre suspicion. D'ailleurs les différentes solutions antivirus du marché ne les considèrent pas dans la liste des menaces potentielles. Du fait la grande popularité des lecteurs concernés et la diversité de machines dont sont installés (Pcs, Tablettes, mobiles, TVs,..), Le nombre de victimes potentielles à travers le monde serait très élevé (estimé approximativement de 200 millions par l'éditeur Check point). Comme le montre ce schéma de cette vulnérabilité figuré par check point, l'attaquant peut manipuler l'algorithme d'indexation et de classement des sous-titres sous 25 formats différents répertoriés dans plusieurs répertoires partagés en ligne:
Intensité de cette Attaque :
Cette faille est estimée par les chercheurs parmi les vulnérabilités à plus large échelle de propagation, facilité d’exploitation et zéro-résistentes recensées ces dernières années. Heureusement qu'aucune attaque n'est relevée, après la découverte de cette faille, Ce qui permet aux différents éditeurs de lecteurs vidéos concernés de corriger leurs produits vulnérables. A bon escient, l'éditeur Check point n' a pas délivré publiquement les détails techniques de cette vulnérabilité afin d'éviter d'être exploitée avant sa correction complète chez les éditeurs concernés. Les éditeurs de lecteurs VLC et streamio ont déjà mis à disposition de nouvelles versions qui corrigent le problème de sécurité. Les utilisateurs sont recommandés d'appliquer les mises à jour respectifs disponibles pour leurs lecteurs de vidéos:
- Popcorn Time: https://ci.popcorntime.sh/job/Popcorn-Time-Desktop/249/
- VLC Player: http://get.videolan.org/vlc/2.2.5.1/win32/vlc-2.2.5.1-win32.exe
- Kodi: https://kodi.tv/download
- Stremio: https://www.strem.io/
L'éditeur de sécurité Check point qui a découvert cette faille à posté un article dans son blog dont il inculque une vidéo démontrant l'exploitation de cette vulnérabilité par un attaquant distant: Le lien : http://blog.checkpoint.com/2017/05/23/hacked-in-translation/
Source : Undernews, LeMondeInformatique.fr [ Mai 2017 ]
