Stegosploit ou comment se faire poutrer par une simple image

http://korben.info/stegosploit-ou-comment-se-faire-poutrer-par-une-simple-image.html
Voici un nouveau type d’attaque qui utilise à la fois de la stéganographie et une technique nommée Polyglots pour pouvoir lancer un exploit sur un serveur. Baptisée Stegosploit, cette technique imaginée par Saumil Shah consiste à encoder le payload dans une image JPG ou PNG (partie stéganographie), puis à le faire décoder par le navigateur…

Sous son air “simple”, cette technique utilise beaucoup de concepts très intéressants, que ce soit pour de l’offuscation, ou concernant les différents formats utilisés.
Lorsque j’en avais entendu parler, cette technique nécessitait un loader externe. L’aspect polyglot n’était pas encore d’actualité (et donc cette technique ne présentait, finalement, pas beaucoup d’intérêt)
Je conseille vivement la lecture du lien fourni (http://stegosploit.info/).
Merci pour le partage @Korben !

1 « J'aime »

Il est vrai que l’idée est intéressante, en revanche, il ne faut pas perdre de vue qu’elle ne pourrait être exploitée réellement que si des failles de Javascript sont intégrées dans le code encapsulé dans l’image : c’est une nouvelle technique d’encapsulation qui est proposée, rien de plus …

Ça ne présente toujours absolument aucun intérêt puisqu’il faut mettre l’image dans une balise script pour que le payload soit exécuter… Utiliser le terme de faille est même franchement limite: tous les fichiers interprétés par un navigateur le sont grâce aux entêtes et non aux extensions.

Absolument pas, tu te laisses avoir par la capture d’écran de Korben. Télécharge le zip et tu verras bien que l’image est appelée via une bête balise img. C’est juste que le navigateur croit le serveur sur parole quand il lui dit que c’est du html et non un image.

J’ai bien télécharger le ZIP avant de commenter. L’image est placée dans une balise img pour l’afficher puis dans une balise script pour exécuter le code. Tu peux faire le test: retire la balise script l’image sera affichée mais aucune alerte n’apparaîtra.

Si une image pouvait s’exécuter dans une balise img on serait face à une faille majeur étant donné tous les services qui permettent d’uploader et d’afficher des images sur la toile. Réfléchis une seconde…