Vous êtes sur le site public du Cert-IST

Alerte orange CERT-IST/AL-2020.008 : Attaques visant F5 BIG-IP

Mécanismes de détection des scripts JavaScript ou VBS sous MAILSweeper

Date :07 Juillet 2005

Publication: Article

Le scanner de messagerie MAILsweeper (Mimesweeper – Baltimore) possède 2 fonctionnalités permettant de bloquer les scripts JavaScript ou VBSscript malicieux.

  • La première (HTML Manager - scénario) permet de bloquer tout message contenant un script dans un format HTML.
  • La seconde (Script Checking Tool) permet de ne bloquer que les scripts supposés être malicieux (en fonction de critères prédéfinis et configurables).

Il a été découvert que cette seconde méthode peut être contournée par une utilisation non standard de tags HTML.

Mimesweeper recommande de mettre à jour le fichier référençant les scripts potentiellement dangereux : http://www.mimesweeper.com/support/threatlab/script.ini

Néanmoins, il est à noter que la première fonctionnalité détecte ces scripts "exotiques" de façon normale.

Le Cert-IST recommande, dans le cadre du filtrage de scripts dans les e-mails au format HTML, d'utiliser la première fonctionnalité (HTML Manager) qui bloque tous les scripts, afin d'éviter de devoir mettre à jour l'outil "Script Checking Tool" à chaque nouvelle menace concernant les scripts HTML.

Pour plus d'information :

Article de SecurityFocus : http://www.securityfocus.com/bid/3355