[Black Hat 2019] Une nouvelle attaque par déni de service cible les serveurs VNC et les lecteurs PDF [Black Hat 2019] Une nouvelle attaque par déni de service cible les serveurs VNC et les lecteurs PDF

[Black Hat 2019] Une nouvelle attaque par déni de service cible les serveurs VNC et les lecteurs PDF [Black Hat 2019] Une nouvelle attaque par déni de service cible les serveurs VNC et les lecteurs PDF © D.R. – Cegid

A lire aussi

Attaque DDos, le cas d'EDF et ses conséquences juridiques
[Cybersécurité] Derrière le cauchemar IOT Mirai, le business lucratif des serveurs Minecraft

Un nouveau genre de déni de service (DoS) pourrait être en train de voir le jour. Des recherches présentées jeudi 8 août 2019 à la conférence Black Hat de Las Vegas font état d’attaques d’un nouveau genre utilisant un bug dans certains agorithmes pour rendre des sites web indisponibles, comme le rapporte Wired.

Un déni de service… non distribué

Traditionnellement, une attaque par déni de service cherche à rendre une ressource indisponible en noyant le serveur qui l’héberge sous les requêtes. Si la capacité de traitement du serveur est inférieure au nombre de requêtes qu’il reçoit, il n’arrive plus à gérer les tentatives légitimes de connexion et peut même crasher. Il existe un grand nombre de techniques différentes pour arriver à ce résultat, qui peuvent s’attaquer à différents protocoles réseaux (UDP, TCP/IP, ICMP…), aux systèmes d’exploitation des serveurs, etc.

Les attaques par simple déni de service sont généralement faciles à contrer de nos jours : il suffit de bloquer l’adresse IP de la machine responsable de l’attaque et d’ignorer ses requêtes. Le danger provient donc surtout des attaques dites distribuées (DDoS), c’est-à-dire qui utilisent un grand nombre de machines différentes pour noyer le serveur. Cela implique donc avant tout de prendre le contrôle de ces nombreuses machines.

Tirer partie des erreurs de conception des algorithmes

Cette nouvelle attaque se différencie car elle cherche à tirer parti des défauts de conception de certains services en leur demandant d’effectuer des opérations qui les ralentissent jusqu’au plantage. Plus besoin d’inonder le serveur donc, il se saborde lui-même. Les chercheurs Nathan Hauke et David Renardy, de l’entreprise Two Six Labs, ont trouvé des vulnérabilités de ce type dans trois catégories de produits différentes : les lecteurs de fichiers PDF, les serveurs de prise de contrôle de bureau à distance, et l’outil d’évaluation de la « dureté » des mots de passe de Dropbox. Ils ont aussi publié un outil dédié baptisé ACsploit qui permet d’identifier ce type de vulnérabilité en vue d’y remédier.

Les lecteurs de PDF vulnérables…

Ils ont réussi à rendre ces services indisponibles en envoyant des requêtes spécifiquement conçues pour créer des erreurs. D’après les chercheurs, le danger de ce type d’attaque est que les vulnérabilités ne sont pas tant des bugs (qui pourraient être rapidement corrigés) que des problèmes dans la conception des algorithmes au cœur de ces services, dont les performances ne sont tout simplement pas bien optimisées.

Dans le cas des lecteurs PDF, le problème viendrait directement de la spécification technique du format PDF. Cela fait qu’il est possible de concevoir un fichier de telle manière qu’il mette des heures à être ouvert, immobilisant ce faisant beaucoup de ressources. A titre d’exemple, un seul fichier malveillant serait à même de paralyser le serveur de gestion des notes de frais d’une grande entreprise. Les chercheurs ont indiqué être en contact avec les développeurs de plusieurs bibliothèques logicielles dédiées au traitement des fichiers PDF afin d’implémenter des parades à ce type d’attaque.

 

…Tout comme les outils VNC et les vérificateurs de mots de passe

Pour les logiciels de prise de contrôle à distance (remote desktop), il est possible de cibler des serveurs Linux pour leur faire générer des données inutiles et rapidement remplir leur espace disque jusqu’à empêcher toute lecture ou écriture. Les chercheurs ont contacté 5 éditeurs logiciels et l’un d’entre eux, TurboVNC, a déjà mis en place une parade.

 

Pour l’outil d’évaluation des mots de passe mis au point par Dropbox (qu’utilisent de nombreux autres services web), il suffit de soumettre un mot de passe très complexe (de l’ordre de plusieurs milliers de signes) pour causer de très longs délais de traitement. Ce n’est pas un problème si le traitement se fait du côté client (sur la machine de l’utilisateur), mais s’il est implémenté côté serveur, comme c’est parfois le cas (contre les recommandations de Dropbox), alors cela peut le rendre indisponible.

Laisser un commentaire