Les pirates exploitent de plus en plus souvent des fichiers SVG contenant du JavaScript intégré et des charges utiles encodées en Base64 pour diffuser des pages de phishing et des logiciels malveillants tout en échappant aux systèmes de détection traditionnels. La technologie Deep CDR™, l’une des technologies clés qui sous-tendent MetaDefender , neutralise ce type d’attaque en supprimant tout contenu actif (scripts, références externes, gestionnaires d’événements, etc.) et en fournissant une image propre et conforme aux normes qui préserve les fonctionnalités tout en éliminant les risques. Les fichiers SVG (Scalable Vector Graphics) normaux et fiables n'ont pas besoin de JavaScript ; celui-ci est donc supprimé par défaut.
Pourquoi SVG ?
Le véhicule parfait pour les charges utiles d'hameçonnage
SVG est un format d'image vectorielle basé sur XML, et non une simple image bitmap.
Un fichier SVG peut inclure
- Scripts
- Gestionnaires d'événements
- Références externes
Ces caractéristiques sont utiles pour les graphiques interactifs, mais les pirates les exploitent pour :
- Exécuter un code malveillant
- Injecter des données XML malveillantes
- Récupérer du contenu externe
- Créer de fausses pages de connexion
Les attaquants combinent également les SVG avec la contrebande HTML/JS en intégrant des charges utiles Base64 dans des images apparemment inoffensives et en les décodant au moment de l'exécution. Cette technique fait désormais l'objet d'un suivi officiel en tant que MITRE ATT&CK "SVG Smuggling" (T1027.017).
Principaux enseignements
In normal enterprise content workflows (logos, icons, diagrams), SVGs don’t require JavaScript or active content. If you find <script>, event handlers, or remote references in an inbound SVG, treat them as risky.
Ce que nous observons dans la nature
Pièce jointe à un courriel avec décodage Base64 Phishing
- Livraison : Un courriel de routine contient une pièce jointe .svg que de nombreuses passerelles de messagerie traitent comme une image.
- Technique: Inside the SVG, an obfuscated <script> reconstructs a phishing page from a Base64 blob and loads it in the browser.
Un site Web Drive qui utilise des gestionnaires d'événements pour la redirection
- Livraison : Un site compromis ou contenant des fautes de frappe utilise une superposition SVG transparente avec des régions cliquables.
- Technique : Les attributs d'événements (onload, onclick) déclenchent des redirections à l'aide du décodage Base64.
Pourquoi la détection a du mal à s'imposer ici
Les approches traditionnelles telles que les signatures, les règles de configuration et l'inspection statique du code échouent lorsque les attaquants :
- Obfusquer à l'aide de Base64, de XOR, d'un remplissage de texte indésirable ou de modèles polymorphes.
- Différer l'exécution jusqu'au moment de l'exécution (par exemple, onload), ce qui rend l'analyse statique peu fiable.
- Cacher la logique derrière les fonctions SVG légitimes telles que les gestionnaires d'événements et les références externes.
Fait intéressant
Le SVG est utilisé par 92 % des 1000 premiers sites web pour les icônes et les graphiques, selon les données de HTTP Archive.
"Si c'est actif, c'est risqué".
Technologie Deep CDR™ pour SVG
La technologie Deep CDR™, l'une des technologies clés qui sous-tendent MetaDefender Core, ne cherche pas à deviner ce qui est malveillant. Elle part du principe que tout contenu exécutable ou actif présent dans des fichiers non fiables est dangereux et le supprime ou le neutralise.
Pour les SVG, cela signifie
- Remove JavaScript: Strips out any <script> elements and inline scripts to prevent code execution.
- Supprimer CDATA : élimine le code caché à l'intérieur des sections CDATA qui pourrait intégrer une logique nuisible.
- Supprimer l'injection : Bloque le contenu injecté susceptible d'exécuter des programmes malveillants.
- Traiter l'image : Assainissement récursif des images intégrées et suppression des images externes.
- Normaliser et reconstruire : Crée un SVG conforme aux normes avec uniquement des éléments visuels sûrs.
- Optionnellement Rastériser : Convertit les SVG en PNG ou PDF pour les flux de travail qui ne nécessitent pas d'interactivité vectorielle.
Cette approche est conforme aux recommandations en matière de sécurité : assainir ou mettre en bac à sable les SVG (ou les rastériser) afin d'empêcher l'exécution du code.
Principaux cas d'utilisation de la technologie Deep CDR™
Passerelles de courrier électronique
Assainir les pièces jointes entrantes et les fichiers liés (URL résolus par téléchargement) avant la livraison. Les SVG convertis en SVG propres empêchent les collecteurs d'informations d'identification d'effectuer le rendu et les téléchargeurs de déclencher l'envoi.
Plateformes de collaboration
Appliquez la technologie Deep CDR™ aux fichiers partagés via des outils tels que Teams, Slack ou SharePoint. Le nettoyage des fichiers SVG garantit ainsi qu'aucun écran de connexion caché ni aucun script malveillant ne puisse tromper les utilisateurs dans le cadre de leur collaboration quotidienne.
Portails de téléchargement sur le web
Appliquez la désinfection à tous les fichiers téléchargés sur vos sites web, CMS ou systèmes de gestion des ressources numériques. Cela empêche les pirates de dissimuler du code dangereux dans ce qui semble être un simple logo ou un graphique.
Transfert de fichiers et MFT Managed File Transfer
Intégrez la technologie Deep CDR™ à vos processus de transfert de fichiers afin de garantir la sécurité de chaque fichier, en particulier ceux provenant de partenaires ou de fournisseurs, avant leur entrée dans votre réseau. Cela permet de réduire les risques liés à la chaîne d'approvisionnement résultant de la compromission de ressources.
Impact sur les entreprises
Ignorer l'assainissement du SVG peut conduire à :
- Vol de données d'identification : De fausses pages de connexion recueillent les informations d'identification des utilisateurs.
- Infections par des logiciels malveillants : Les chaînes de redirection livrent des ransomwares ou des voleurs.
- Violations de la conformité : Les violations de données sensibles peuvent entraîner des amendes et des atteintes à la réputation.
Bonnes pratiques pour prévenir les attaques basées sur les SVG
- Position par défaut : Pas de JavaScript dans les SVG provenant de sources non fiables.
- Nettoyer ou pixelliser : appliquer la technologie Deep CDR™ à tous les fichiers SVG entrants.
- Combiné avec le CSP : à utiliser comme défense en profondeur et non comme contrôle principal.
- Audit et enregistrement : Suivi de chaque action d'assainissement à des fins de conformité et de criminalistique.
Réflexions finales
Le phishing par SVG n'est pas une hypothèse théorique, c'est une réalité. Les outils de détection ne parviennent pas à suivre le rythme des techniques de dissimulation en constante évolution. La technologie Deep CDR™ propose une approche déterministe de type « zero-trust », qui élimine le risque avant même qu'il n'atteigne vos utilisateurs.
