Crédits : AFP

3 applications populaires victimes d’usurpation d’URL

Des chercheurs découvrent des failles d’usurpation d’URL sur Zoom, Box et Google Docs.

Plusieurs bugs d’usurpation d’URL dans Box, Zoom et Google Docs permettraient aux hameçonneurs de générer des liens vers du contenu malveillant. En général, ils font croire qu’ils se trouvent sur le compte SaaS d’une organisation.

Des URL usurpés

Dans un billet de blog, les chercheurs de Varonis expliquent en détail comment ils ont réussi à usurper des liens de Box, Google et Zoom. “Ces URL usurpées peuvent être utilisées pour des campagnes de phishing, des attaques d’ingénierie sociale, des attaques de réputation et la distribution de logiciels malveillants“, notent les chercheurs de Varonis.

Les vulnérabilités résultent d’un manque de validation des URL dites “vaniteuses”. Elles permettent aux attaquants disposant de leurs propres comptes SaaS de modifier l’URL des pages hébergeant des fichiers, des formulaires et des pages de destination malveillants. Et ce, afin de maximiser leur potentiel de tromperie des utilisateurs. En bref, les personnes malveillantes peuvent personnaliser les vanity URL pour inclure le nom d’une marque et une description de l’objectif du lien. Elles redirigent généralement vers une URL générique plus longue.

En clair, les chercheurs ont découvert que certaines applications ne valident pas la légitimité du sous-domaine d’une vanité URL, mais uniquement le localisateur de ressources universel (URI). Ainsi, les acteurs de la menace peuvent utiliser leur propre compte SaaS pour générer des liens vers du contenu malveillant. Ils font ensuite croire que ce contenu est le fruit d’un compte Software-as-a-Service sanctionné d’une entreprise. “La plupart des gens sont plus enclins à faire confiance à un lien sur varonis.box.com qu’à un lien générique app.box.com. Cependant, si quelqu’un peut usurper ce sous-domaine, alors la confiance dans l’URL de vanité peut se retourner contre lui”, regrette les chercheurs.

La preuve par trois

Les chercheurs ont démontré l’exploitabilité de ces failles en plusieurs exemples. D’abord, ils ont hébergé un PDF malveillant et un formulaire d’hameçonnage sur leur compte Box de test. Et ce, en créant des URL de partage de fichiers et de demande de fichiers publics et en changeant le sous-domaine dans ceux-ci. Au final, surprise, les liens ont continué à fonctionner. Ils ont aussi créé des pages d’inscription malveillantes, des pages de connexion des employés et des pages hébergeant des enregistrements de réunions. Tous les URL ont été modifiés, de même que leur logo de marque. Enfin, ils ont créé des formulaires et des documents Google en usurpant l’identité d’une entreprise/marque spécifique.

Ainsi, les vulnérabilités découvertes dans Box, Zoom et Google Docs permettent aux attaquants d’abuser de l’apparente assurance que les vanity URL offrent aux destinataires qu’ils ont affaire à une organisation légitime plutôt qu’à des cybercriminels. Varonis invite donc les utilisateurs à être “prudents lorsqu’ils accèdent à des liens Zoom de marque, car “les utilisateurs cliquent souvent sur des messages d’avertissement non critiques”. Les attaquants peuvent également marquer un formulaire Google demandant des données confidentielles sensibles avec le logo de l’entreprise ciblée. Enfin, les documents Google Doc échangés via la fonction “publier sur le web” sont également vulnérables.

Les correctifs

“Nous pouvons encore reproduire le bug de Google Docs et Google Forms. Nous pouvons reproduire l’enregistrement et l’enregistrement du webinaire Zoom dans certaines circonstances, mais l’utilisateur reçoit un message d’avertissement dans tous les cas”, a déclaré l’équipe de recherche de Varonis à Help Net Security. En clair, Box a déjà corrigé les vulnérabilités d’usurpation d’URL, mais ce n’est pas le cas pour Zoom et Google Docs. “Nous sommes toujours en contact avec Google et Zoom au cas où ils auraient besoin de plus de détails, mais nous n’avons pas pu savoir s’ils prévoient d’apporter des corrections supplémentaires”, ont ajouté les chercheurs.

Étant donné que les vanity URL existent dans de nombreuses applications SaaS différentes, ils conseillent aux organisations d’éduquer les employés sur le risque de faire aveuglément confiance aux liens comprenant le sous-domaine de l’organisation ou celui d’une marque populaire, et de faire attention lorsqu’on leur demande de soumettre des informations sensibles via des formulaires. Et ce, même si ces formulaires semblent être hébergés par les comptes SaaS sanctionnés de leur entreprise.

_
Suivez Geeko sur Facebook, Youtube et Instagram pour ne rien rater de l'actu, des tests et bons plans.