Voici un nouveau type d'attaque qui utilise à la fois de la stéganographie et une technique nommée Polyglots pour pouvoir lancer un exploit sur un serveur.

Baptisée Stegosploit, cette technique imaginée par Saumil Shah consiste à encoder le payload dans une image JPG ou PNG (partie stéganographie), puis à le faire décoder par le navigateur au moment de la lecture de l'image (Polyglots).

La technique Polyglots consiste à placer une entête HTML de type Content-Type: text/html dans l'image pour que le navigateur l’interprète comme du HTML / Javascript, exécutant par la même occasion le code malicieux.

stegosploit_diagram

Et vous vous en doutez, c'est parfaitement indétectable par les antivirus pour le moment. Si la technique vous intéresse, le chercheur en sécurité Ange Albertini a mis en ligne une démo de tout ça (zip) où un simple Gif ou BMP exécute un Hello World en javascript.

Capture d'écran 2015-11-09 09.55.27

Vous trouverez toutes les explications techniques sur Stegosploit ici.

Source