Une nouvelle classe de vulnérabilités pourrait être exploitée par les acteurs de la menace pour injecter des logiciels malveillants visuellement trompeurs d’une manière qui est sémantiquement admissible, mais qui modifie la logique définie par le code source, ouvrant effectivement la porte à davantage de risques de première partie et de chaîne d’approvisionnement.
Surnommé « Attaques de chevaux de Troie», la technique « exploite les subtilités des normes de codage de texte telles que Unicode produire un code source dont les jetons sont logiquement codés dans un ordre différent de celui dans lequel ils sont affichés, ce qui entraîne des vulnérabilités qui ne peuvent pas être perçues directement par les réviseurs de code humain », ont déclaré Nicholas Boucher et Ross Anderson, chercheurs de l’Université de Cambridge dans un article récemment publié. .
Les vulnérabilités — suivis comme CVE-2021-42574 et CVE-2021-42694 — affectent les compilateurs de tous les langages de programmation courants tels que C, C++, C#, JavaScript, Java, Rust, Go et Python.
Les compilateurs sont des programmes qui traduisent le code source lisible par l’homme de haut niveau dans leurs représentations de niveau inférieur telles que le langage d’assemblage, le code objet ou le code machine qui peuvent ensuite être exécutés par le système d’exploitation.
Au fond, le problème concerne le bidirectionnel (ou Bidi) qui permet la prise en charge des langues de gauche à droite (par exemple, l’anglais) et de droite à gauche (par exemple, l’arabe), et propose également ce que l’on appelle des remplacements bidirectionnels pour permettre l’écriture de mots de gauche à droite à l’intérieur d’un phrase à gauche, ou vice versa, forçant ainsi le texte de gauche à droite à être traité comme de droite à gauche.
Alors que la sortie d’un compilateur est censée implémenter correctement le code source qui lui est fourni, les divergences créées en insérant des caractères de remplacement Unicode Bidi dans commentaires et les chaînes peuvent activer un scénario qui produit un code source syntaxiquement valide dans lequel l’ordre d’affichage des caractères présente une logique qui s’écarte de la logique réelle.
En d’autres termes, l’attaque fonctionne en ciblant l’encodage des fichiers de code source pour créer des vulnérabilités ciblées, plutôt que d’introduire délibérément des bogues logiques, afin de réorganiser visuellement les jetons dans le code source qui, bien que rendus d’une manière parfaitement acceptable, incitent le compilateur à traiter le code d’une manière différente et en changeant radicalement le déroulement du programme — par exemple, faire apparaître un commentaire comme s’il s’agissait de code.
« En fait, nous analysons le programme A dans le programme B », ont supposé les chercheurs. « Si le changement de logique est suffisamment subtil pour ne pas être détecté lors des tests ultérieurs, un adversaire pourrait introduire des vulnérabilités ciblées sans être détecté. »
De tels encodages contradictoires peuvent avoir un impact sérieux sur la chaîne d’approvisionnement, préviennent les chercheurs, lorsque des vulnérabilités logicielles invisibles injectées dans des logiciels open source se frayent un chemin en aval, affectant potentiellement tous les utilisateurs du logiciel. Pire encore, les attaques de Trojan Source peuvent devenir plus graves si un attaquant utilise homoglyphes pour redéfinir des fonctions préexistantes dans un package en amont et les invoquer à partir d’un programme victime.
« Le fait que la vulnérabilité Trojan Source affecte presque tous les langages informatiques en fait une opportunité rare pour une comparaison des réponses entre plates-formes et entre fournisseurs à l’échelle du système et écologiquement valable », ont noté les chercheurs. « Comme de puissantes attaques de la chaîne d’approvisionnement peuvent être lancées facilement à l’aide de ces techniques, il est essentiel pour les organisations qui participent à une chaîne d’approvisionnement logicielle de mettre en œuvre des défenses. »
