Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



The Middler, un outil de man in the middle automatique

Par Ludovic Blin, secuobs.com
Le 02/03/2009


Résumé : The Middler, développé par le chercheur Jay Beale et doté d’une architecture modulaire, permet d’utiliser de manière automatisée des techniques de type man in the middle.



Alors que la plupart des utilisateurs, et des organisations, sont de plus en plus conduits à se servir d’applications web, il est particulièrement intéressant de pouvoir évaluer la résistance d’un réseau à l’injection de code dans les sessions ouvertes sur des applications web.

L’outil The Middler, développé par le chercheur en sécurité Jay Beale de la société américaine Inguardians permet d’automatiser différentes attaques sur la navigation web d’utilisateurs connectés à un même réseau local. Il est disponible depuis peu sur le site de la société, après avoir été présenté à plusieurs conférences.

En utilisant cette application il est ainsi possible à un attaquant de se faire passer pour le routeur d’un réseau local, via l’injection de paquets ARP forgés, ou encore de répondre à des requêtes DNS avec sa propre IP. A partir de ce moment les connexions transitent par l’outil, qui peut modifier à la volée leur contenu. Il est aussi possible, par exemple, de modifier les liens à la volée, en changeant le protocole de https vers http.

Il est également possible d’injecter des commandes dans des sessions d’applications qui repassent en http après une authentification https (certaines applications grand public sont dans ce cas).

Une fonction « autopwn » est intégrée, qui utilise Metasploit et permet de corrompre automatiquement tous les navigateurs vulnérables en injectant une iframe dans les pages transitant par l’outil.

The Middler est par ailleurs doté d’une architecture modulaire, via un système de plug-ins (en python), qui permet d’intégrer de nombreuses attaques spécifiques à telle ou telle application.

Pour se protéger de ces attaques, de proximité, la solution la plus efficace est d’utiliser un VPN par lequel passeront toutes les connexions (notamment DNS). Il est aussi conseillé de s’assurer de l’adresse MAC du routeur du réseau. Enfin, il peut être utile d’utiliser un seul onglet de navigateur (ouvert sur une application en https) de manière à éviter les injections de code au sein de sites http ouverts dans d’autres onglets qui pourraient ainsi être utilisés pour des attaques CSRF ou des exploits sur le navigateur.


The Middler sur le site de Inguardians : lien

Présentation de l’outil à Defcon : lien