Indahax - Pierre Noguès

Twitter Facebook Linkedin email

Firefox malware discovered

Il fut un temps où je m'étais posé la question de savoir s'il était possible de diffuser une extension vérolée pour Firefox ou Thunderbird sur le site addons.mozilla.org, et bien apparemment oui...

En effet, Mozilla vient d'annoncer sur son security blog que deux extensions malicieuses ont été découvertes dans la section expérimentale. Les extensions malicieuses n'affectent que les systèmes Windows, il s'agit probablement d'un binaire embarqué qui est exécuté par l'extension... Rien de bien révolutionnaire.

Il faut savoir qu'une extension malicieuse peut être entièrement faite en JavaScript et être totalement portable. Les composants XPCom apportent des fonctions au langage JavaScript qui permettent de lancer des processus, sniffer les connexions HTTPS en clair, jouer avec les sockets (Proxy, UPNP...), récupérer les mots de passe stockés, accéder au système de fichiers, tout en bypassant le firewall...

D'après les dires du security blog, Mozilla utilise plusieurs scanners anti-malware pour éviter ce genre de désagrément :

These were not originally detected with the anti-malware scanning tools that we have been using.

Cependant, j'aimerai attirer votre attention sur un détail, JavaScript met à notre disposition de nombreuses possibilités pour obfuscer son code. Ces techniques sont couramment utiliser dans les attaques Web (iframe). Par exemple, la fonction eval() permet d'interpréter le code JavaScript passé en paramètre à cette fonction. Cela rend alors totalement useless les recherches par signature.

// var signature = "something_bad();";
var signature_crypt = "XAQDFQDFQSDFQSDF";
eval(decrypt(signature_crypt));

Bien sûr, il est possible que les supers scanners de Mozilla gère ce type d'obfuscation, mais en attendant, ils viennent de laisser passer deux malwares, et peut-être beaucoup plus... FEAR.