Ověření zranitelnosti Internet Exploreru

Uveřejněné informace se vztahují k datu vydání článku, tj. 27.6.2004. Zranitelnost byla definitivně odstraněna záplatami z 30.7.2004. Další informace o této a dalších zranitelnostech najdete v našem bezpečnostním zpravodajství na adrese zpravy.actinet.cz.

První zmínky o nových zranitelnostech Internet Exploreru se objevily v průběhu května 2004. Konkrétní fakta byla zveřejněna na bezpečnostní konferenci BugTrag 6. června. Ve čtvrtek 24. června byly publikovány zprávy o nepřátelské změně obsahu odchozích www stránek webových serverů založených na software Microsoft IIS. Ke stránkám byl připojen zákeřný JavaScript kód zneužívající právě nové zranitelnosti prohlížeče Internet Explorer k instalaci zákeřných programů. Nic netušícímu uživateli může být na jeho počítač nainstalován zákeřný software. Jedinou podmínkou je návštěva upravených www stránek.

K simulaci možnosti zneužití zranitelností Internet Exploreru jsme použili kód zveřejněný 6. června, variantu pro Windows XP s nainstalovaným Service Packem 1. Dostupná je také varianta pro Windows XP bez SP1 . Kód byl upraven tak, aby se na napadený systém pouze zkopíroval textový soubor (je možné zkopírovat spustitelný soubor a ten následně spustit).
Na testovacím systému byl naistalován operační systém Microsoft Windows XP anglické verze se Service Packem 1 (seznam záplat).
Zóna Internet byla nastavena na nejrestriktivnější úroveň „High“ a následně povolena volba „Active Scripting“ (v české verzi „Aktivní skriptování“), aby prohlížeč mohl vykonávat JavaScript.

Test proběhl úspěšně, tj. pomocí zranitelností v Internet Exploreru byl na systém zkopírován soubor aniž by uživatel byl systémem upozorněn. Další testy proběhly na dvou systémech s Windows XP české verze se Service Packem 1. Výsledek rovněž potvrdil možnost zneužití zranitelností.

Přinášíme odkaz, který umožní otestovat zranitelnost systému. Musí jít o Windows XP s nainstalovaným Service Packem 1. Funkčnost našeho odkazu může také záviset na použití, či spíše nepoužití, některých záplat. Windows musí být nainstalovány ve standardním adresáři „WINDOWS“. Pokud je počítač chránět antivirovým software, nebo se nachází v síti vybavené antivirovou ochranou či systémem prevence narušení, nemusí demonstarace proběhnout správně. Pokud náš test neprokáže zranitelnost, neznamená to, že systém zranitelný není. Uvedená demonstrace je založena na jedné z verzí kódu, jiný způsob může být funkční.

Co se stane po kliknutí na odkaz
Na napadený počítač do kořenového adresáře disku jednotky C bude nakopírován soubor „Zranitelny_IE.txt“, tj. „c:\Zranitelny_IE.txt“. Pokud na systému již soubor „c:\Zranitelny_IE.txt“ existuje, bude přepsán!

DEMONSTRACE

Zákaz aktivního skriptování v zóně Internet
Proti útoku se lze bránit zákazem aktivního skriptování v zóně Internet. Pokud nedůvěřujete serverům intranetu, pak také zakažte aktivní skriptování v této zóně. Důsledkem zákazu aktivního skriptování však může být omezená funkčnost některých legálních www stránek. Postup jsme prakticky vyzkoušeli s kladným výsledkem. Námi vytvořená simulace nebyla zdárně dokončena. Postup vypnutí aktivního skriptování viz obrázek.

Zákaz aktivního skriptování v zóně Místní počítač
Kromě zákazu aktivního skriptování v zóně Internet jsme vyzkoušeli také možnost zákazu aktivního skriptování v zóně Místní počítač. Obdobně jako v prvním případě i zde jsme se setkali s úspěchem, námi vytvořený test neproběhl zdárně, soubor se na napadený systém nezkopíroval. Postup zákazu aktivního skriptování v zóně Místní počítač je popsán v dokumentu „Článek znalostní báze Microsoft - 833633“. V jeho úvodu je varování společnosti Microsoft upozorňující na možné problémy, které mohou tímto krokem vzejít. Dojde k omezení funkcionality aplikací, které požadují ke svému běhu zaptnuté aktivní skriptování v zóně Místní počítač.

Antivirový software
Na jednom z testovaných systémů byl nainstalován personální antivirový software Norton Antivirus společnosti Symantec, který zabránil zneužití zranitelnosti pomocí námi použitého kódu. Detekován byl virus Download.Ject a Downloader.Trojan. Vyzkoušeli jsem také čtyři další personální antivirové systémy od různých výrobců, u dvou z nich náš kód nebyl zaznamenán. Vzhledem k této skutečnosti a k faktu, že zneužití zranitelnosti může potenciálně probíhat i jiným způsobem, nelze v současné době považovat pouze jednoúrovňovou ochranu antivirovým software za plně dostačující. Z koncepčního hlediska lze v organizacích doporučit antivirovou ochranu jak na úrovni síťového perimetru prostřednictvím antivirové brány, tak pomocí personálního antivirového software na jednotlivých stanicích. Každá úroveň ochrany by měla být realizována produkty odlišného výrobce.

Systémy detekce a prevence narušení (IDS/IPS)
Renomovaní výrobci by již měli mít příslušné signatury schopné tento útok odhalit. Signatury pro free IDS Snort a zařízení společnosti ISS jsou dostupné.

Instalace Service Packu 2 v prozatimní verzi
Service Pack 2 pro Windows XP se v současné době nachází ve stádiu RC2, tzn. není ve finální verzi. Vzhledem k této skutečnosti nelze doporučit jeho instalaci, mimo jiné právě z bezpečnostního hlediska. Dle společnosti Microsoft SP2 uvedené zranitelnosti Internet Exploreru opravuje. My jsme tuto variantu ochrany netestovali.

Použití jiného prohlížeče
V rámci ochrany před touto zranitelností Internet Exploreru lze použít jiné www prohlížeče (Mozilla, Opera).