Microsoft bagatelizuje zranitelnost Internet Exploreru

Italští výzkumníci tvrdí, že ve všech verzích Internet Exploreru je chyba, která podvodníkům umožňuje krádež identity pomocí přístupu k souborům cookies (cookiejacking). Microsoft popírá, že by šlo o závažný problém.


Podstatou útoku má být únos (hijacking) cookies. Rosario Valotta, který objevení zranitelnosti oznámil, ji po vzoru clickjackingu nazývá cookiejacking. Valotta nezveřejnil technické podrobnosti a metodu popsal pouze v obecné rovině. Podle ní může podvodník získat potenciálně přístup ke všem cookies na počítači oběti.

Zkopírování souborů cookies pak může otevřít cestu k mnoha účtům, webovému e-mailu i sociálním sítím. Údajně je pak možné manipulovat i internetové bankovnictví nebo nákupy v e-shopech (poznámka: to by ale jít nemělo, internetové bankovnictví standardně nedovolí automatické vyplňování hesel apod.).

Zranitelný má být tímto způsobem i nový Internet Explorer 9 včetně verze prohlížeče pro Windows 7.

Jeremiah Grossman, zakladatel a CTO společnosti WhiteHat Security, označil techniku útoku za chytrou. Podvodníci ji budou podle něj využívat vedle clickjackingu a cross site scripting (XSS).

Microsoft nicméně uvádí, že metoda útoku je oproti jiným dosti složitá a ve skutečnosti vyžaduje uživatelovu interakci. Nejde o žádné automatické vzdálené spuštění kódu jako při útoku drive by donwload. Oběť musí podvodný web nejenom navštívit, ale ještě zde provádět další akce – soubory cookies se údajně zkopírují, když uživatel na webu různě kliká a přetahuje zobrazené objekty. Jinak krádeže hesel k webovým účtům nelze provést.

Grossman na to ale namítá, že závažnost problému se ukáže, až se tato technika rozšíří. Pro podvodníky není údajně realizace technicky nijak obtížná. Volatta ve svém proof-of-concept útoku přiměl uživatele k požadovaným interakcím tak, že jim na Facebooku nabídl hru, kdy se podobně jako v puzzle skládal obrázek atraktivní ženy. Za 3 dny takto od nic netušících uživatelů získal 80 cookies (poznámka: jak se zdá, získat lze takto zřejmě jen cookies z účtů, k nimž byl uživatel přihlášen před krátkou dobou; vlastně prý přetahování objektů na webu odpovídá drag and drop přetahování souborů cookies a kliknutím se pak odešlou útočníkovi).

Microsoft však soudí, že útoky touto metodou se nerozšíří a firma neplánuje vydávat pro Internet Explorer žádnou mimořádnou záplatu.











Komentáře