|
|
Wanadoo Buster c'est quoi ?
Wanadoo Buster exploite une faille Wanadoo qui permet de révéler toutes vos informations personnelles accessibles depuis le site wanadoo.fr, notamment : votre nom complet, adresse email, informations utilisateur (temps de connexion, numéro de compte client, options...), lecture et effaçage de vos mails, envoi de mails depuis votre compte (etc etc), on peut faire exactement tout ce que vous pouvez faire depuis le site.
Comment ça marche ?
Wanadoo utilise votre ip pour vous identifier. Si vous visitez leur site et que votre ip fait partie du domaine wanadoo.fr, alors ils cherchent dans leur db à qui vous correspondez et vous donnent vos infos (ou quelque chose dans ce genre). Ce système est insecure au possible et c'est pas nouveau. Je suis d'ailleurs surpris que personne n'ait exploité publiquement cette faille auparavant (au paravent ?). Le principe de wanadoo buster est de transformer votre machine en proxy (allez chercher ailleurs pour les explications, j'ai la flemme moi).
Sur qui ça marche ?
Sur tous les abonnés wanadoo huhu. L'exploit fourni ici affecte uniquement les abonnés de wanadoo qui utilisent netscape. La faille en elle même n'est pas dépendante du browser, mais l'exploit que j'ai écrit est basé sur le récent BOHTTPD de Dan Brumleve, j'appellerai donc cette version WBHTTPD.
Comment est-ce que je sais si ma sécurité est compromise ?
Vous ne le savez pas. L'exploit est une applet invisible incorporée à une page web, elle s'active silencieusement et vous êtes déjà infecté sans le savoir. N'importe qui connaissant votre ip peut alors accéder à vos informations et même plus. L'applet lance un serveur sur le port 8080 et utilise la réécriture d'url, à savoir que si l'on veut accéder à www.amazon.com depuis votre machine, on tapera simplement http://xxx.xxx.xxx.xxx:8080/http://www.amazon.com/ dans notre chtit browser. Quelques liens intéressants seront inclus en haut de chaque page transmise, enfin vous verrez.
Et comment je fais pour m'en débarasser ?
Fermez complètement toutes les fenêtres de netscape, et dans le doute redémarrez (à ce qu'il parait le serveur est resté actif après la fermeture de netscape sur une machine sous win2k). Si vous ne voulez pas être vulnérable vous avez trois solutions : n'utilisez pas wanadoo (en attendant qu'ils corrigent le tir), n'utilisez pas netscape, ou désactivez java dans votre browser. Tant que vous y êtes désactivez tout ce qui est scripting et tout ça, vous serez plus tranquilles :o)
Le code, le code !
Tout est là : ./classes. Si vous voulez le tester vous avez même le droit sur infect me. La version que je fournis ici ne permet pas d'interfacer avec les mails, mais je donne quand même l'applet en développement que j'avais commencé à cet effet, des fois que ça vous intéresse.
A qui on doit tout ça ?
A Raco Pabanne lui même en personne. Vous ne pourrez pas me contacter étant donné que je passe le plus clair de mon temps entre le 6° et le 7° plan astral.