Open Redirect et Phishing
Comment les attaquants utilisent les redirections ouvertes sur des sites legitimes pour contourner les defenses anti-phishing - et pourquoi la reputation de domaine seule ne suffit pas.
Poser le contexte
Le phishing, longtemps neglige, est maintenant au coeur des preoccupations. Il s’est renouvele ces dernieres annees tant du cote attaquant que defenseur.
Les methodes evoluent rapidement, tout comme les outils de defense. Ces dernieres annees, on a vu les solutions passer de filtres bayesiens classiques a des solutions dites d’intelligence artificielle, sans que les changements soient massifs en termes de detection. Pendant ce temps, le cout du phishing a explose annee apres annee.
Je presente ici une methode assez meconnue mais simple et particulierement efficace contre les systemes de securite bases sur la “qualite” du domaine et sur les menaces connues via des bases ouvertes. La qualite est generalement mesuree en calculant l’age du domaine, l’autorite du domaine, etc.
Qu’est-ce qu’un Open Redirect ?
On rencontre souvent les Open Redirects quand on parle d’exploitation web, pendant un audit ou un pentest. Tres souvent, c’est cause par un manque de sanitization des entrees - du coup il arrive souvent que le meme parametre soit aussi vulnerable a du XSS, voire du SSRF.
Souvent considere comme un probleme mineur en termes de securite pure, ces dernieres annees ont montre que ca peut etre un probleme majeur en termes de phishing et de SEO poisoning.
Une definition simple :
Un Open Redirect est une redirection non souhaitee, sans interaction utilisateur, du site A vers le site B.
Et parce que rien ne vaut un exemple, voici un OR que j’avais trouve a l’epoque :
https://www.notamweb.aviation-civile.gouv.fr/Script/IHM/Com_Chargement.php?URL=https://google.fr/humans.txtMerci a la Direction Generale de l’Aviation Civile pour sa collaboration involontaire avec cet article. Bravo pour avoir patche rapidement.
Si vous prenez ce lien et cliquez dessus, vous etes rediriges vers le site Google sans votre consentement, alors que vous etiez censes cliquer sur un lien de l’aviation civile. C’est un OR.
Open Redirect et Phishing
Vous voyez ou je veux en venir. Avec un OR sur le site A - un site respectable, credible, avec une vraie activite - et le site B un site malveillant, recent, clairement du phishing, on peut contourner les services de defense.
Si par exemple vous pensiez implementer un systeme base sur l’age du domaine pour combattre le spam et le phishing, sachez qu’il faut aussi verifier la chaine de redirections. Si vous extrayez classiquement la valeur du domaine dans un cas d’OR, le domaine extrait sera le domaine A et non le domaine malveillant B.
Prenons un exemple concret avec une vraie page de phishing d’une campagne en cours (au moment de la redaction) :
C’est clairement une page de phishing, aux couleurs d’Amazon parce que j’ai choisi Amazon via le parametre GET logo. Cette campagne ne ciblait pas qu’Amazon mais aussi des entreprises francaises.
Pour reference, l’URL malveillante est :
https://busysong.com/sf/tpl9/0?click_id=&item=J9N&logo=amazon&pub_id=&session_id=J’ai teste sur urlscan.io :
Et sur isitphishing.ai de Vade :
A l’epoque, ce n’etait pas encore detecte par cette solution - mais l’idee generale est claire. On a une page de phishing evidente avec un mauvais domaine.
Le contournement en action
Maintenant, prenons un OR utilise par une campagne de phishing en cours, combine avec l’URL de phishing ci-dessus :
http://social.bigpress.net/api/emailtrack/click?goto=https://busysong.com/sf/tpl9/0?click_id=&item=J9N&logo=amazon&pub_id=&session_id=Les deux liens pointent vers la meme page de phishing. Mais dans le second cas, l’OR fait que le parsing standard considere le domaine comme bigpress.net et non la destination reelle busysong.com.
Voici une petite experience avec la bibliotheque urllib de Python pour extraire la valeur du domaine :
Le parsing retourne bigpress.net - un domaine legitime - alors que l’utilisateur finit sur la page de phishing.
A retenir
- La reputation de domaine seule n’est pas une defense fiable contre le phishing
- Les Open Redirects sur des sites legitimes donnent aux attaquants un passe-droit a travers les filtres bases sur le domaine
- Tout parsing d’URL qui ne suit pas les chaines de redirection peut etre trompe
- Cette methode peut etre combinee avec d’autres techniques (lien HTML deguise, URL shorteners) pour une evasion encore meilleure
Le correctif est simple : sanitizer les parametres de redirection, valider les URLs de destination contre une whitelist, et s’assurer que vos defenses anti-phishing inspectent toute la chaine de redirection - pas juste le premier domaine.