Posté le février 27, 2019 à 20:36
MARIONET: UNE MENACE RECEMMENT DECOUVERTE POUR TOUS LES NAVIGATEURS WEB.
Des chercheurs universitaires grecs ont découvert un nouveau type de cyberattaque appelé MarioNet. MarioNet continue d’exploiter les navigateurs Web même lorsque l’utilisateur quitte la page Web infectée. Cette capacité de MarioNet découle de l’utilisation de Service Workers, une version mise à niveau de l’API. Les recherches dévoileront leurs conclusions aujourd’hui lors du symposium sur la sécurité des réseaux et des systèmes distribués à San Diego.
Son nom, MarioNet, vient du mot «marionnette». Il s’agit en réalité d’une amélioration d’une méthode d’attaque similaire découverte en 2007. L’ancien type d’attaque consistait également à créer des botnets fonctionnant en exploitant des navigateurs Web. Cependant, il ne pouvait pas continuer à fonctionner après la fermeture du site Web infecté, contrairement MarioNet qui semble pouvoir le faire.
Comment est-ce possible?
Comme les chercheurs l’ont indiqué dans leur rapport, MarioNet exploite l’API du navigateur Web de l’utilisateur. Il permet de collecter des botnets à partir des navigateurs et de les utiliser ultérieurement à de nombreuses fins malveillantes. Certains oeuvrent dans le minage de crypto-monnaies et d’autres dans les attaques DDoS. Il peut utiliser les navigateurs Web pour héberger ou partager du contenu malveillant, pour partager des mots de passe piratés ou pour créer des réseaux proxy. Il est également connu pour faire une publicité de fraude au clic clic et de manipuler les statistiques de taux de fréquentation de site Web.
Pour les anciens sites Web, l’API s’appelait « Web worker». Lorsque le site Web les charge, ils font leur travail en arrière-plan jusqu’à la fermeture de la page. Le nouveau service worker est en réalité une version améliorée du Web worker. La différence est que les agents de maintenance peuvent rester actifs même si l’utilisateur quitte le site Web. Le Web worker est un outil qui permet de séparer deux types d’opérations: celles qui aident à la création de l’interface utilisateur d’une page, et l’autre qui gèrent des tâches informatiques complexes, empêchant ainsi le gel de l’interface utilisateur. C’est une fonctionnalité très utile à la fois pour le bien que pour le mal.
Presque tous les navigateurs Web, version pour ordinateur de bureau ou appareil mobile, sont vulnérables à MarioNet. Cela est dû au fait que les techniciens de maintenance constituent une mise à niveau relativement nouvelle par rapport à il y a deux ans. MarioNet ne comprend que trois navigateurs: Internet Explorer pour le bureau, Opera Mini et Blackberry pour les appareils mobiles.
Que fait MarioNet?
Pendant que l’utilisateur attend le chargement de la page Web infectée, il/elle ne sait pas que le site Web a activé un service worker. Les navigateurs les plus populaires n’envoient aucune notification à ce sujet. Une fois le activé, MarioNet commence à manipuler l’interface SyncManager de Service Worker. De cette manière, le service worker reste toujours activé et utilisé à des fins malveillantes, même si l’utilisateur quitte le site Web.
De plus, MarioNet peut également utiliser un autre serveur tout en maintenant le contrôle du service worker sur le serveur précédent. Si les hackers téléchargent un virus sur un site Web populaire très visité, il infectera de nombreux utilisateurs. Lorsque les hackers suppriment le virus du site Web, ils pourront toujours manipuler tous les services workers qu’ils ont réussi à obtenir au cours de cette courte période.
L’utilisateur n’obtiendra aucune notification à ce sujet que dans le cas où MarioNet tente d’exploiter l’API Web Push. De cette façon, il pourrait survivre au redémarrage du navigateur. Cependant, pour ce faire, l’utilisateur doit lui accorder l’autorisation d’accéder à cette API.
L’une des découvertes les plus intéressantes sur MarioNet est qu’il n’a pas besoin d’utiliser les failles des navigateurs Web pour réussir une attaque. MarioNet exploite uniquement les caractéristiques HTML5 et JavaScript, récemment introduites, qui sont utilisées régulièrement. Par exemple, certains bots de MarioNet sont destinés à l’hébergement de fichiers. Pour qu’ils fonctionnent, ils n’ont besoin que de l’API existante pour le stockage de données. L’API nécessaire est déjà intégrée aux navigateurs Web, ce qui permet aux utilisateurs de transférer des données d’un appareil personnel vers un site Web, et inversement.
En raison de sa capacité à préparer une attaque par le biais de fonctionnalités standard et non de failles, l’attaque de MarioNet est presque impossible à trouver. Les chercheurs ont proposé des moyens par lesquels MarioNet pourrait ne pas être détecté par des extensions anti-programme malveillant et des mesures contre les minages de crypto-monnaies. Ils ont également apporté des propositions aux développeurs de navigateurs Web sur la manière de réduire la gravité des attaques de MarioNet.
Les résultats des recherches seront annoncés aujourd’hui lors du Symposium sur la sécurité des réseaux et des systèmes distribués qui se tiendra à San Diego. D’ici là, il y a un autre article sur MarioNet intitulé « Master of Web Puppets : Abusing Web Browsers for Persistent and Stealthy Computations » par Papadopoulos et al.
