14:38
20/4/2010

Filtr mający chonić użytkowników Internet Explorera przed atakami XSS może zostać wykorzystany do wprowadzenia ataku XSS i to na dowolnej stronie, nawet takiej, która sama w sobie nie jest podatna na atak XSS…

Anti-XSS w IE8

Lukę w Microsoftowym filtrze anty-XSS zaprezentowano podczas konferencji Black Hat. Do demonstracji wykorzystano serwisy takie jak, Digg, Twitter i Bing.

Demonstracja ataku na przykładzie Twitter.com

Demonstracja ataku na przykładzie Bing.com

Jeśli chcecie przetestować exploit typu PoC na sobie, możecie to zrobić pod tym adresem. Podatność występuje w przypadku większości stron, które pozwalają użytkownikowi IE8 na stworzenie własnego profilu.

Jak działa anti-XSS w IE8?

W skrócie, IE8 skanuje żądania jakie wysyła przeglądarka do serwera pod kątem “podejrzanych” instrukcji. Jeśli taka instrukcja zostanie wykryta, IE8 układa wyrażenie regularne, pasujące do złośliwego kodu, a następnie za jego pomocą filtruje odpowiedzi od serwera (aby złapać i ubić reflected XSS).

O samym filtrze i jego zasadach działania można poczytać tutaj, natomiast sam atak wykorzystuje błąd w parserze neutralizującym wykryte w odpowiedziach od serwera XSS-y.

Microsoft naprawił, naprawia i będzie naprawiał

Microsoft już wziął się za łatanie i częściowo usunął błędy w filtrze cross-site scriptingowym (MS10-002 i MS10-018). Nadal jednak nie można powiedzieć, że internauci korzystający z IE8 są w 100% bezpieczni — jednym z wyjść jest wyłączenie filtru do czasu naprawy mechanizmu.

My powyższy błąd chcielibyśmy podsumować stworzoną przez nas grafiką:

Gdyby ktoś nie wiedział o co kaman z powyższym, tutaj kilka słów wyjasnienia i genezy tego memu.

SecurityFail to cykl wpisów o wtopach z dziedziny (nie)bezpieczeństwa — nie tylko komputerowego. Wszystkie posty tego cyklu przeczytasz tutaj.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

16 komentarzy

Dodaj komentarz
  1. Cóż, kto mieczem wojuje… odcisków się nabawi (jak mówi stare filodendryckie przysłowie).

  2. LMFAO! a widzialem ostatnio reklame MS! [reklamy wyciszam, wiec rzucila mi sie w oczy tylko pstrokacizna] – oczywiscie wychwalali IE8 i jej bezpieczenstwo. Kiepski to pomysl eksponowac slaba strone produktu …

    • Heinrich: Ja bym się tak z tego anti-XSS nie naśmiewał — podejście nie jest może jakoś superinnowacyjne, ale moim zdaniem dość unikalne jak na obecny stan rynku. To że ma błędy? A co nie ma? Początki zawsze są ciężkie i pod górkę :-)

  3. a widzieliscie reklamy IE8 w warszawie, kolo dworca centralnego? “IE8 – sufruj bezpiecznie”. Pomijajac, czy Ie8 jest, czy nie jest bezpieczne, jak zje***ym trzeba byc, zeby reklamowac przegladarke INTERNETOWA na ulicy? Chociaz w sumie, moze to i tansze, niz rownowazna ilosc odslon w internecie :P

  4. U mnie nie działa :)
    Nie pamiętam, abym w najbliższym czasie instalował aktualizacji dla IE, no chyba, że ta łatka wyszła kilka dni temu

  5. error w grafice. chyba ktos zgubił N.

  6. @kubz – może masz ZA STARĄ wersje IE ? :D

  7. @jurek ogórek: w czasach pierwszej bańki wp.pl czy ahoj.pl reklamowały się na bilbordach w różnych miastach. Nie zmienia to faktu, że zamysł marketingowy jest nieprzenikniony… ;) Po co im brand recognition zamiast clickthru’s w baner…

  8. @Piotr_Konieczny – w zasadzie mozna sie z toba zgodzic. Rozbawilo mnie jedynie samo zjawisko, jednak wysilki jakie podejmuja nalezy docenic. Lepsze to, niz brak dzialan. Moze powinni jednak zatrudnic specjalistow ds. bezpieczenstwa IT z prawdziwego zdarzenia … ?

  9. Szczerze mówiąc to nie wiem czego chcesz od ich specjalistów od bezpieczeństwa IT – w tej chwili nie ma bezpieczniejszej przeglądarki niż IE8, szczególnie uruchomione na Windows 7. Można jej zarzucać wolne działanie i problemy z W3C, ale na pewno nie brak dbałości o bezpieczeństwo. A dziury? Dziury są wszędzie.

  10. >w tej chwili nie ma bezpieczniejszej przeglądarki niż IE8, szczególnie uruchomione na
    >Windows 7.
    Co za bzdury. Na pwn2own IE poszedł na dno jako drugi ;]
    http://dvlabs.tippingpoint.com/blog/2010/02/15/pwn2own-2010

  11. Pomysł mieli dobry – załatać strony, których nie potrafią załatać ich twórcy. Gorzej z tym, że nie do końca się udało. Najwyraźniej powinni mieć zatrudnionych więcej prawdziwych hackerów-entuzjastów, którzy by dbali o jakość takich rozwiązań.

  12. @andy:
    to nie znaczy, ze IE8 jest mniej bezpieczny, niz FF, czy Opera. Chrome rzeczywiscie niezle sobie radzi, dzieki sandboxowi.
    Czasy jezdzenia po IE za ilosc dziur bezpowrotnie mijaja, wyeksploitowanie IE8 na win7 to juz wyzsza szkola jazdy :P

  13. @Piotr Konieczny
    Masz waśc racje, początki są cięzkie… Pozostaje żyć nadzieją, że IE9 wyjdzie poza początkowa faze beta testowaną na userach….

  14. […] czytając publikacje podobne  do tej wdaję się, że cieżko zaufać jej twórcom, na tyle aby używać jej jako domyślnej […]

  15. Chyba każdy normalny użytkownik internetu wie że IE i bezpieczeństwo to antonimy.

Odpowiadasz na komentarz Torwald

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: