Duchy straszą użytkowników Explorera

Przedstawiciele Microsoftu z pewnością nie spodziewali się, że treść odczytu wygłoszonego za zamkniętymi drzwiami firmowej konferencji BlueHat i poświęconego jednemu z poważniejszych problemów związanych z bezpieczeństwem przeglądarek wydostanie się na zewnątrz i pobudzi ambicje ekspertów.

Zagadka ta jest już w znacznym stopniu rozwiązana, a problem z Internet Explorerem został upubliczniony. Podobno podczas microsoftowej konferencji Manuel Caballero zademonstrował uniwersalne narzędzie szpiegujące, które może trafić na nasz komputer tuż po odwiedzeniu dowolnej strony WWW. Oto fragment tego odczytu:

Czy wierzycie w duchy? Wyobraźcie sobie niewidoczny skrypt, który śledzi was potajemnie podczas surfowania w Sieci - nawet po wybraniu tysięcznego adresu URL. Ten duch widzi wszystko, co robicie: wszystkie przeglądane przez was strony, wszystkie wprowadzane dane (z hasłami włącznie). Potrafi również przewidzieć wasz kolejny krok.

Informacje, które wydostały się na zewnątrz, wystarczyły kilku specjalistom do złożenia wszystkich elementów układanki w całości. Od początku było jasne, że chodzi tu o naruszenie zasady krzyżowania domen (Cross-Domain Policy), która wyklucza możliwość odczytywania danych wprowadzanych na przykład na stronie serwisu heise z witryny Microsoftu. O wykorzystaniu ramek typu IFrame dowiedziano się jednak dopiero po opublikowaniu demonstracyjnego zrzutu ekranu. Dotarcie do pozostałej wiedzy wymagało już nieco doświadczenia i przeprowadzenia kilku eksperymentów.

W sieci jest już cała masa prezentacji ukazujących, jak przełamać granice domenowe oraz jak zaimplementować przedstawione przez Caballero funkcje szpiegujące. Na przykład chińska grupa o nazwie Ph4nt0m pokazuje sposób na obejście zabezpieczeń chroniących dostęp do właściwości location. Zmusiło to amerykański CERT do wydania komunikatu ostrzegającego przed Internet Explorerem w wersji 6. W przypadku wydania IE7 przedstawiona metoda nie zadziała.

Z kolei Eduardo Vela udowadnia, że także nowa generacja microsoftowej przeglądarki nie jest odporna na tego typu zagrożenia. Odkrył on, że w celu obejścia mechanizmu ochrony dostępu do właściwości location wystarczy sprawić, by użyty łańcuch znaków był zamaskowany i tym samym trudny do wychwycenia przez filtr. Vela wyposażył swoją prezentację w keylogger działający zarówno pod Internet Explorerem 7, jak i wersjami beta przeglądarki IE8.

I faktycznie: po wywołaniu w Internet Explorerze 7 demonstracyjnego URL-a zaimplementowany kod śledził i rejestrował nasze poczynania podczas przeglądania wielu stron. Nawet po ręcznym wpisaniu adresu serwisu heise i wywołaniu strony, szpiegujący nas kod pobrał wszystkie dane wprowadzone z klawiatury i wyświetlił je w jednej z wstrzykniętych ramek IFrame.

Opisane prezentacje nie wyglądają być może olśniewająco, są jednak bardzo skuteczne. Biorąc pod uwagę fakt, że nawet setki tysięcy stron WWW mogą być skompromitowane, należy zachować szczególną ostrożność podczas korzystania z microsoftowego Internet Explorera. Profesjonalni twórcy narzędzi hakerskich typu MPACK z pewnością nie zawahają się przed wykorzystaniem tych luk do własnych celów.

Póki co, rozwiązanie całego problemu jeszcze nie istnieje. Nie wiadomo też, czy opisany problem dotyczy również konkurencyjnych produktów, np. Firefoksa. Z treścią odczytu zapoznał się między innymi ekspert do spraw bezpieczeństwa informatycznego Nate McFeters, który twierdzi na łamach swojego bloga, że zagrożone są wszystkie przeglądarki.

Być może nie wiemy jeszcze wszystkiego na temat istoty błędu i jego zasięgu. Jedno jest pewne: Firefox z rozszerzeniem NoScript znacznie ogranicza pole manewru napastnikom posługującym się tego typu technikami.