Osudová rána pro Internet Explorer?

Na konci června odbornými médii otřásla zpráva, že řada webů je kompromitována k tomu, aby uživatelům IE dopravila do počítače spyware. Podle statistik návštěvnosti následně podíl IE začal klesat. Co se vlastně přihodilo, jak nebezpečné to bylo a jaká je situace nyní?

Vezměme situaci popořádku: 9. června se jako první postaral o rozruch US-CERT, instituce financovaná americkou vládou a sídlící na Carnegie Mellon University. US-CERT má funkci hlídacího psa počítačové bezpečnosti a jako takový často vydává varování o chybách v IE, které by se mohly dotknout právě bezpečnosti jeho uživatelů či jiných subjektů. Tentokrát však hlášení nebylo obvyklé, jelikož zatímco dosud US-CERT vždy s varováním o „díře“ v prohlížeči přicházel až po té, co byla na příslušnou chybu vydána záplata, 9. června učinil z tohoto pravidla výjimku. Zpráva o ochotě IE ignorovat nastavení bezpečnostních zón uživatelem byla vydána za stavu, kdy Microsoft oficiálně žádnou záplatu na tuto chybu nenabízel. Ostatní servery z oblasti bezpečnosti zprávu šířily také, navíc jí přidaly i status „extremely critical“, avšak do čela pozornosti se zatím tento problém nedostal.

Vyjdeme-li ze zprávy CERTu, skládá se uvedená díra ze dvou podproblémů. První spočívá ve využití odpovědi na HTTP požadavek webserverem kódem série 300. Tato odpověď je klientovi zasílána v případě, že se požadovaný dokument nachází na jiné adrese. V rámci využití námi popisované chyby je nutné, aby útočník nastavil odpověď webserveru tak, aby ukazoval na zdroj v klientském počítači. Tím obejde nastavení bezpečnostních zón v IE, jelikož zóna lokálního počítače v něm má typicky nejnižší úroveň zabezpečení, na rozdíl od zóny „Internet,“ kterou by jinak prohlížeč zdroj na web serveru ohodnotil.

Pokud tuto odpověď server IE podstrčí při jeho požadavku na obsah rámce ve stránce a zkombinuje ji s modálním dialogovým boxem (metoda showModalDialog), volaným před přesměrováním z původního rámce, IE vyhodnotí bezpečnostní zónu dialogového boxu jako shodnou se zónou pro doménu původního rámce. Dialogový box však sám může obsahovat HTML dokument, který může být z úplně jiné domény. Zároveň díky přesměrování obsahu rámce je možné změnit jeho zdroj na lokální a spustit v něm Javascript v bezpečnostní zóně místního počítače. Důležitost varování bezpečnostních organizací pak vycházela především z faktu, že k aktivaci tohoto mechanismu stačí, aby uživatel navštívil stránky kompromitovaného serveru.

Tím se dostáváme k druhé nutné podmínce zneužitelnosti této díry, a tím je úspěšný útok na serverovou stranu s výsledkem propašování škodlivého kódu do jeho stránek. Zde už je rejstřík postupů přirozeně širší, neboť způsobů, jak překonat zabezpečení webserveru a získat na něj přístup s možností zápisu do dokumentů na něm uložených, je celá (nepříliš klesající) řada. Kromě operačního systému a verze webového serveru tu záleží především na schopnostech útočníků nezanechat po sobě stopy, jelikož škodlivý kód by měl zůstat na stránkách aktivní alespoň po nějakou dobu. Vzhledem k praktické nemožnosti stoprocentního zabezpečení jakéhokoliv systému se však odborníci netajili obavami o nevyhnutelném nástupu pokusů o zneužití čerstvé díry v IE.

V době uveřejnění zprávy Microsoft skutečně záplatu na tuto díru neposkytoval. Problém však znal, neboť jeho nápravu zahrnul do servisního balíku (Service Pack 2) pro Windows XP. Ten však v té době ještě nebyl koncovým uživatelům k dispozici a do vydání speciální záplaty pro samostatný IE tak byli jeho uživatelé vystaveni nepříjemné situaci reálného ohrožení – pokud o tom ovšem věděli. Tak jako vždy totiž podobné výstrahy zajímaly především potenciální útočníky spíš než jejich budoucí oběti.

Netrvalo však dlouho a obavy expertů došly svého (očekávaného) naplnění. 25. června se Internetem rozproudily zprávy o počítačích infikovaných z řady webových stránek škodlivým kódem pod názvem Download.Ject či JS.scob. Postižené počítače byly plně záplatované a používaly IE, přičemž k infikaci došlo pouhým „brouzdáním“ po Internetu. Seznam kompromitovaných serverů nebyl zveřejněn, nicméně zprávy se shodovaly na „značném počtu serverů, včetně hojně navštěvovaných webů velkých finančních institucí“. Varování obíhala po takřka každém významnějším IT médiu a tentokrát již byl tón zpravodajů poměrně vyhrocený – server News.com například citoval jednoho z odborníků: „Řekl jsem své ženě, aby vůbec nechodila na Internet, pokud to není bezpodmínečně nutné.“

Ostatní doporučení byla zpravidla mírnější, avšak shodovala se v jednom zásadním bodě: pokud je to možné, použijte alternativní prohlížeč. Takový tlak na podporu konkurence Microsoftu zřejmě ještě uživatelé nezažili a důvod byl velmi jednoduchý – spočíval v kombinaci zneužité kritické chyby IE a neexistující záplaty. Zatímco antivirové společnosti reagovaly poměrně pružně a vydaly aktualizaci proti příslušnému trojskému koni, Microsoft stále neměl záplatu pro klientskou stranu připravenou.

Co se týče serverové strany, k útoku byly zneužity systémy IIS stejné firmy, přičemž nebylo úplně jasné, jakým konkrétním způsobem ke kompromitaci došlo. Nejspíše šlo o díru popsanou a opravenou v Microsoft Security Bulletinu MS04–011, ale možností je víc – například využití SSL-PCT chyby. Útočníci upravili jejich HTML kód tak, že do něj přidali patičku s Javasriptem, který se spustil díky popsanému mechanismu ze zóny místního počítače a přesměroval je na jeden ze dvou serverů v Rusku, odkud se do počítače stáhl program, jehož určení nebylo zcela jasné. Zatímco někteří komentátoři hovořili o adware, tedy aplikaci sledující chování uživatele k zasílání reklamního obsahu podle jeho preferencí, jiné zdroje uváděly přímo keystroker, logující stisky kláves a zasílající je zpět na server v Rusku (217.107.218.147). Jako další zdroj útoku pak jsou často zmiňovány spammerské organizované skupiny.

Server v Rusku byl krátce po odhalení útoku odstaven, avšak IE zůstal „bez ochrany“ a příčiny útoku přetrvávaly. Až 30. června vydal Microsoft mimořádnou aktualizaci, jíž kromě této kritické chyby opravoval dvě další (jedna se týkala chyby ve výpočtu při zpracovávání BMP souborů, druhá pak obrázků GIF – obě chyby také mohly vést až ke spuštění nebezpečného kódu). Počet serverů zneužitých k distribuci trojského koně zůstal neznámý, stejně jako množství infikovaných počítačů koncových uživatelů. Zdánlivě tedy celá situace dospěla ke stejnému závěru jako ve všech předešlých případech odhalených chyb v IE, avšak okolnosti tentokrát nasvědčují poněkud zajímavějšímu finále. US-CERT totiž oficiálně doporučil jako jedno z řešení nápravy chyb v IE použití alternativního prohlížeče, což bylo prakticky poprvé, co nějaká státní agentura sáhla k tomuto kroku.

Analytická společnost WebSideStory následně oznámila, že podle jejích měření klesl podíl IE o 1,3 procenta z 95,5 procent na 94,1 procenta, na českém Internetu podobné výsledky oznámila služba Navrcholu.cz. Přes tato nevelká čísla mnohé komentáře naznačují, že by se mohlo jednat o počínající trend: uživatelé, bombardováni neustálým proudem varování o chybách IE, dost možná dosáhli bodu roztrpčení, ze kterého již k původnímu stavu nebude návratu. Svůj díl viny pak bezesporu k celé situaci přidává i Microsoft svojí nebývale dlouhou inovační pomlkou od poslední verze IE. Alternativních prohlížečů je k dispozici celá řada a jejich funkční i designové přednosti jsou oproti starému browseru od Microsoftu nepřehlédnutelné. Softwarovému gigantu sice může být celkem jedno, klesne-li jeho převaha u jednoho produktu z 95 procent na 94, dlouhodobě však jistě neponechá vývoj situace náhodě. Nakonec tak může dojít i k překvapení na poslední chvíli, kdy v rámci uvedení svého nového operačního systému pod názvem Longhorn přijde i se zbrusu novým a dostatečně atraktivním prohlížečem, s jehož pomocí opět přivede zběhlé surfery na svoji stranu. Do té doby však bude díky přitažlivosti IE pro útočníky nejspíš stále více platit názor komentátora magazínu BusinessWeek online Stephena H. Wildstroma: Internet Explorer je dnes prostě příliš riskantní věc.