Sécurité : Le site spécialisé KrebsOnSecurity dit avoir découvert un botnet de 12 500 machines qui scannaient, via un plugin Firefox, les sites visités à la recherche de failles.
Un botnet aux techniques "inhabituelles". Un add-on "Microsoft .NET Framework Assistant" pour le navigateur Mozilla Firefox, a priori légitime, a infecté 12500 systèmes, les transformant en machines zombies au sein d'un réseau découvert, selon ses dires, par le site spécialisé en sécurité KrebsOnSecurity.
Le botnet lui-même prend le nom de "Advanced Power", et même si l'on ne sait comment l'infection initiale a eu lieu, il a pu se développer grâce à l'inclusion d'un malware au sein qui installait un plugin pour Firefox appelé "Microsoft .NET Framework Assistant". Le même nom quece module complémentaire développé par Microsoft...
Qui fonctionne avec : ClickOnce est la technique Microsoft qui permet à l'utilisateur d'un système Windows d'installer et de lancer une application en cliquant sur un lien dans une page web. ClickOnce est un composant du framework Microsoft .NET, à partir de la version 2.0 de celui-ci. Il permet de déployer des applications développées avec Windows Forms ou avec Windows Presentation Foundation (WPF). Ces applications sont souvent appelées clients intelligents. ClickOnce est similaire aux techniques Java Web Start de la plate-forme Java et Zero Install de Linux.
Un faux plugin nommé comme un vrai
Le système infecté n'y voyait donc que du feu - et ce, même s'il faut souligner que ce n'est pas le module distribué directement par Mozilla qui est en cause - et participait d'un botnet de taille convenable destiné à trouver des vulnérabilités sur les sites visités.
Les systèmes infectés scannaient donc des sites web à la recherche de vulnérabilités aux attaques par injection SQL. Le botnet aurait permis de trouver 1800 pages susceptibles d'accueillir des failles, sur l'ensemble des pages visitées par les utilisateurs touchés.
Au-delà de cette information, rien n'est vraiment certain. Il semble que le botnet ait été actif depuis mai 2013, et que ses créateurs soient originaires de République tchèque. Si cela n'a pas de conséquence pour l'add-on légitime édité par Microsoft, Mozilla a bloqué le module homonymesur les machines infectées. Selon le site de l'éditeur, il est "automatiquement désactivé et [ne sera] plus utilisable".
Tout l'intérêt de l'information réside dans l'existence d'un plugin officiel et légitime. Il est à noter qu'un module légitime de vérification des failles SQL existe - mais que celui-ci ne fait pas remonter les informations vers un serveur où elles pourraient être utilisées pour nuire au site visité.
Par ailleurs, le faux module incriminé disposait selon KrebsOnSecurity d'une fonctionnalité de vol de mots de passe et d'identifiants de connexion. Il semble cependant que la fonction n'a pas été activée par ses créateurs. "Advanced Power" n'a touché que des PC tournant sous Windows.
REF.: