Un nouvel exploit de type « zero-day » sévit sur Yahoo! Messenger en modifiant les statuts des utilisateurs…

La diffusion de malwares via Yahoo! Instant Messenger existe depuis plusieurs années. L’infection était toutefois limitée par le fait qu’elle requérait une certaine interaction avec les utilisateurs. Ce n’est désormais plus le cas.

Un exploit découvert récemment dans la version 11.x du client de messagerie (y compris la récente version 11.5.0.152-us) permet à un attaquant de modifier de façon arbitraire, à distance, le message du statut de pratiquement tout utilisateur de Yahoo! Messager disposant de la version vulnérable.

Comment cela est-il possible ?

La modification du message d’état se produit lorsqu’un attaquant simule l’envoi d’un fichier à un utilisateur. Cette action manipule le paramètre $InlineAction (responsable de la façon dont le formulaire du Messenger affiche l’acceptation ou le refus du transfert) afin de charger une iFrame qui, une fois chargée, remplace le message de statut de l’utilisateur par le texte ‘personnalisé’ de l’attaquant. Ce statut peut également comprendre un lien suspect. Cette iFrame est envoyée sous la forme d’un message quelconque et provient d’un autre utilisateur de Yahoo! Instant Messenger, même si celui-ci ne fait pas partie de la liste de contacts de la victime.

Fig 1 : L'exploit tel qu'il apparait dans la fenêtre de conversation

Fig 2 : Un diagramme d'un "renifleur normal", pour les mordus de technologie

Fig 3 : Image déformée dans laquelle le token est remplacé par la charge utile.

A présent, quand le client Yahoo! Messenger reçoit la donnée de la figure 2, il essaie de le restituer comme ceci :

Fig 4 : Transfert dans la fenêtre de messagerie.

Le code HTLM derrière cette image ressemble à ceci :

Cependant quand il reçoit une information déformée, il essaie tout de même de la diffuser, comme s'il l'adressait à un groupe restreint d'amis.

Et voilà le code HTLM de l'image déformée :

Pourquoi est-ce dangereux ?

Les messages de statut sont particulièrement efficaces en termes de « taux de clics »puisqu’ils sont adressés à un petit groupe d’amis. Il y a donc de fortes chances pour que la plupart des contacts qui les voient cliquent dessus.

Un scénario possible : le message de statut de la victime est remplacé par un texte accrocheur pointant vers une page hébergeant un exploit de type « zero-day »ciblant le navigateur Internet Explorer, les environnements Java ou Flash installés localement, ou même, un bug de fichier PDF. Une fois qu’un contact a cliquésur le message de statut de la victime, son ordinateur risque d’être infectéet ce àson insu. La victime ignore alors que son message de statut a été piraté.

L’affiliation est une autre méthode lucrative permettant de modifier les messages de statut (des sites rémunèrent par exemple aux affiliés les visites ou les achats réalisés àpartir d’un lien personnalisé.) Il est facile de créer un compte affilié, de générer des liens personnalisés pour les produits de la campagne, puis de cibler en masse les victimes vulnérables de Yahoo! Instant Messenger pour remplacer leur statut par le lien affilié. Il suffit ensuite d’attendre le trafic généré par le contact. Certains services paient également les utilisateurs de Yahoo! Instant Messenger pour qu’ils remplacent leur statut par des liens personnalisés.

Suis-je vulnérable ?

Si vous recevez des messages de contacts ne faisant pas partie de votre liste, vous l’êtes à100%.

Vous n’êtes pas vulnérable si :

• Vous utilisez une solution de sécurité Bitdefender (Bitdefender Antivirus Plus, Bitdefender Internet Security ou Bitdefender Total Security). Nous détectons cette menace via le scanner HTTP et la bloquons avant qu’elle n’atteigne l’application de messagerie.

• Vous avez paramétré Yahoo! Messenger afin qu’il ignore toute personne ne faisant pas partie de vos contacts Yahoo! (option désactivée par défaut).

Bitdefender a déjà identifiéce type d’attaque en circulation. Pour éviter ce type d’attaque, nous vous recommandons d’installer une solution antivirus ou de régler vos paramètres de sécurité selon les instructions ci-dessus.

Nous avons fourni à Yahoo! la documentation et le code « proof of concept » pour leur permettre de corriger ce problème.

Nous remercions les chercheurs Doina Coşovan et Răzvan Benchea pour l’analyse de cet exploit.