Skip to content
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Stegosploit ou comment se faire poutrer par une simple image

Voici un nouveau type d’attaque qui utilise à la fois de la stéganographie et une technique nommée Polyglots pour pouvoir lancer un exploit sur un serveur.

Baptisée Stegosploit, cette technique imaginée par Saumil Shah consiste à encoder le payload dans une image JPG ou PNG (partie stéganographie), puis à le faire décoder par le navigateur au moment de la lecture de l’image (Polyglots).

La technique Polyglots consiste à placer une entête HTML de type Content-Type: text/html dans l’image pour que le navigateur l’interprète comme du HTML / Javascript, exécutant par la même occasion le code malicieux.

stegosploit_diagram

Et vous vous en doutez, c’est parfaitement indétectable par les antivirus pour le moment. Si la technique vous intéresse, le chercheur en sécurité Ange Albertini a mis en ligne une démo de tout ça (zip) où un simple Gif ou BMP exécute un Hello World en javascript.

Capture d'écran 2015-11-09 09.55.27

Vous trouverez toutes les explications techniques sur Stegosploit ici.

Source

Créez votre compte gratuit Azure dès aujourd’hui

Qu’est-ce que j’obtiens ?
Avec votre compte gratuit Azure, vous bénéficiez de tous ces éléments et vous n’êtes facturé que si vous effectuez une mise à niveau.

  • 12 mois de services gratuits populaires
  • Crédit de 170 €, pour explorer Azure pendant 30 jours
  • Toujours gratuits: Plus de 25 services

Créez des applications évolutives et des fonctionnalités de mise en œuvre plus rapidement
Créez des charges de travail qui adaptent leur échelle en fonction de la demande. De plus, fournissez des logiciels plus rapidement et de façon fiable grâce à des solutions de DevOps de bout en bout.

Lancez-vous avec 12 mois de services gratuits


Les articles du moment