Soroush Dalili, chercheur de Secproject, offre aux webmestres une méthode de spoofing joliment empaquetée : le point virgule en fin d’extension d’url. La méthode serait particulièrement efficace avec toutes les éditions d’Internet Information Server.
Le principe est simple : pour éviter de véhiculer des contenus dangereux, les administrateurs de sites filtrent généralement les liens en se basant sur la nature de l’extension des fichiers réputés dangereux. A commencer bien sûr par les contenus actifs, ASP et autres cousins. Mais la détection de cette fameuse extension, explique Soroush Dalili, peut être annihilée par le simple ajout d’un «point virgule » situé immédiatement après le suffixe réel. Du coup, un KillerApp.asp;.jpg sera invisible aux systèmes de filtrage et pourra s’exécuter puis infecter les visiteurs du site.
D’interminables discussions byzantines sur la dangerosité réelle de la découverte escortent déjà cette publication. Bénigne selon certains, qui ne voient là qu’une méthode de forgerie facile à corriger ou à contourner, dramatique pour d’autres. En l’absence de correctif, cette faille pourrait s’avérer aussi dangereuse que le furent les extensions .com déguisées en lien.
Le problème est typique de l’architecture Windows : on devine la fonction par l’extension du nom plutôt que par un comportement de la structure du document (aka type-mime).
Rappelons qu’une bonne décennie d’attaques ciblant MS-Windows profitait d’un subterfuge sur les noms de fichier comme chargevirale.gif.pif , les versions récentes cachant par défaut l’extension dite « utile », le nom de fichier trompait l’utilisateur par sa fausse extension .gif
Et c’est là un souci très particulier : on est jamais sûr exactement de filtrer correctement un nom de fichier, alors qu’un type-mime est un poil plus précis, un « NX » en entête étant toujours différent d’un « GIF89 »