Hlavní navigace

Osudová rána pro Internet Explorer?

Aleš Miklík 12. 8. 2004

Na rozličné zprávy o dírách v MS Internet Exploreru (IE) jsme si podle všeho zvykli již dávno - téměř pravidelně jsme každý měsíc sledovali, jak vyhrocená varování bez účinku zapadají mezi 90procentní masy uživatelů tohoto prohlížeče. Až na to, že americká instituce starající se o bezpečnost poprvé v historii doporučila použití alternativního prohlížeče.

Na konci června odbornými médii otřásla zpráva, že řada webů je kompromitována k tomu, aby uživatelům IE dopravila do počítače spyware. Podle statistik návštěvnosti následně podíl IE začal klesat. Co se vlastně přihodilo, jak nebezpečné to bylo a jaká je situace nyní?

Vezměme situaci popořádku: 9. června se jako první postaral o rozruch US-CERT, instituce financovaná americkou vládou a sídlící na Carnegie Mellon University. US-CERT má funkci hlídacího psa počítačové bezpečnosti a jako takový často vydává varování o chybách v IE, které by se mohly dotknout právě bezpečnosti jeho uživatelů či jiných subjektů. Tentokrát však hlášení nebylo obvyklé, jelikož zatímco dosud US-CERT vždy s varováním o „díře“ v prohlížeči přicházel až po té, co byla na příslušnou chybu vydána záplata, 9. června učinil z tohoto pravidla výjimku. Zpráva o ochotě IE ignorovat nastavení bezpečnostních zón uživatelem byla vydána za stavu, kdy Microsoft oficiálně žádnou záplatu na tuto chybu nenabízel. Ostatní servery z oblasti bezpečnosti zprávu šířily také, navíc jí přidaly i status „extremely critical“, avšak do čela pozornosti se zatím tento problém nedostal.

Vyjdeme-li ze zprávy CERTu, skládá se uvedená díra ze dvou podproblémů. První spočívá ve využití odpovědi na HTTP požadavek webserverem kódem série 300. Tato odpověď je klientovi zasílána v případě, že se požadovaný dokument nachází na jiné adrese. V rámci využití námi popisované chyby je nutné, aby útočník nastavil odpověď webserveru tak, aby ukazoval na zdroj v klientském počítači. Tím obejde nastavení bezpečnostních zón v IE, jelikož zóna lokálního počítače v něm má typicky nejnižší úroveň zabezpečení, na rozdíl od zóny „Internet,“ kterou by jinak prohlížeč zdroj na web serveru ohodnotil.

Pokud tuto odpověď server IE podstrčí při jeho požadavku na obsah rámce ve stránce a zkombinuje ji s modálním dialogovým boxem (metoda showModalDialog), volaným před přesměrováním z původního rámce, IE vyhodnotí bezpečnostní zónu dialogového boxu jako shodnou se zónou pro doménu původního rámce. Dialogový box však sám může obsahovat HTML dokument, který může být z úplně jiné domény. Zároveň díky přesměrování obsahu rámce je možné změnit jeho zdroj na lokální a spustit v něm Javascript v bezpečnostní zóně místního počítače. Důležitost varování bezpečnostních organizací pak vycházela především z faktu, že k aktivaci tohoto mechanismu stačí, aby uživatel navštívil stránky kompromitovaného serveru.

Tím se dostáváme k druhé nutné podmínce zneužitelnosti této díry, a tím je úspěšný útok na serverovou stranu s výsledkem propašování škodlivého kódu do jeho stránek. Zde už je rejstřík postupů přirozeně širší, neboť způsobů, jak překonat zabezpečení webserveru a získat na něj přístup s možností zápisu do dokumentů na něm uložených, je celá (nepříliš klesající) řada. Kromě operačního systému a verze webového serveru tu záleží především na schopnostech útočníků nezanechat po sobě stopy, jelikož škodlivý kód by měl zůstat na stránkách aktivní alespoň po nějakou dobu. Vzhledem k praktické nemožnosti stoprocentního zabezpečení jakéhokoliv systému se však odborníci netajili obavami o nevyhnutelném nástupu pokusů o zneužití čerstvé díry v IE.

V době uveřejnění zprávy Microsoft skutečně záplatu na tuto díru neposkytoval. Problém však znal, neboť jeho nápravu zahrnul do servisního balíku (Service Pack 2) pro Windows XP. Ten však v té době ještě nebyl koncovým uživatelům k dispozici a do vydání speciální záplaty pro samostatný IE tak byli jeho uživatelé vystaveni nepříjemné situaci reálného ohrožení – pokud o tom ovšem věděli. Tak jako vždy totiž podobné výstrahy zajímaly především potenciální útočníky spíš než jejich budoucí oběti.

Netrvalo však dlouho a obavy expertů došly svého (očekávaného) naplnění. 25. června se Internetem rozproudily zprávy o počítačích infikovaných z řady webových stránek škodlivým kódem pod názvem Download.Ject či JS.scob. Postižené počítače byly plně záplatované a používaly IE, přičemž k infikaci došlo pouhým „brouzdáním“ po Internetu. Seznam kompromitovaných serverů nebyl zveřejněn, nicméně zprávy se shodovaly na „značném počtu serverů, včetně hojně navštěvovaných webů velkých finančních institucí“. Varování obíhala po takřka každém významnějším IT médiu a tentokrát již byl tón zpravodajů poměrně vyhrocený – server News.com například citoval jednoho z odborníků: „Řekl jsem své ženě, aby vůbec nechodila na Internet, pokud to není bezpodmínečně nutné.“

Ostatní doporučení byla zpravidla mírnější, avšak shodovala se v jednom zásadním bodě: pokud je to možné, použijte alternativní prohlížeč. Takový tlak na podporu konkurence Microsoftu zřejmě ještě uživatelé nezažili a důvod byl velmi jednoduchý – spočíval v kombinaci zneužité kritické chyby IE a neexistující záplaty. Zatímco antivirové společnosti reagovaly poměrně pružně a vydaly aktualizaci proti příslušnému trojskému koni, Microsoft stále neměl záplatu pro klientskou stranu připravenou.

Co se týče serverové strany, k útoku byly zneužity systémy IIS stejné firmy, přičemž nebylo úplně jasné, jakým konkrétním způsobem ke kompromitaci došlo. Nejspíše šlo o díru popsanou a opravenou v Microsoft Security Bulletinu MS04–011, ale možností je víc – například využití SSL-PCT chyby. Útočníci upravili jejich HTML kód tak, že do něj přidali patičku s Javasriptem, který se spustil díky popsanému mechanismu ze zóny místního počítače a přesměroval je na jeden ze dvou serverů v Rusku, odkud se do počítače stáhl program, jehož určení nebylo zcela jasné. Zatímco někteří komentátoři hovořili o adware, tedy aplikaci sledující chování uživatele k zasílání reklamního obsahu podle jeho preferencí, jiné zdroje uváděly přímo keystroker, logující stisky kláves a zasílající je zpět na server v Rusku (217.107.218.147). Jako další zdroj útoku pak jsou často zmiňovány spammerské organizované skupiny.

Server v Rusku byl krátce po odhalení útoku odstaven, avšak IE zůstal „bez ochrany“ a příčiny útoku přetrvávaly. Až 30. června vydal Microsoft mimořádnou aktualizaci, jíž kromě této kritické chyby opravoval dvě další (jedna se týkala chyby ve výpočtu při zpracovávání BMP souborů, druhá pak obrázků GIF – obě chyby také mohly vést až ke spuštění nebezpečného kódu). Počet serverů zneužitých k distribuci trojského koně zůstal neznámý, stejně jako množství infikovaných počítačů koncových uživatelů. Zdánlivě tedy celá situace dospěla ke stejnému závěru jako ve všech předešlých případech odhalených chyb v IE, avšak okolnosti tentokrát nasvědčují poněkud zajímavějšímu finále. US-CERT totiž oficiálně doporučil jako jedno z řešení nápravy chyb v IE použití alternativního prohlížeče, což bylo prakticky poprvé, co nějaká státní agentura sáhla k tomuto kroku.

Analytická společnost WebSideStory následně oznámila, že podle jejích měření klesl podíl IE o 1,3 procenta z 95,5 procent na 94,1 procenta, na českém Internetu podobné výsledky oznámila služba Navrcholu.cz. Přes tato nevelká čísla mnohé komentáře naznačují, že by se mohlo jednat o počínající trend: uživatelé, bombardováni neustálým proudem varování o chybách IE, dost možná dosáhli bodu roztrpčení, ze kterého již k původnímu stavu nebude návratu. Svůj díl viny pak bezesporu k celé situaci přidává i Microsoft svojí nebývale dlouhou inovační pomlkou od poslední verze IE. Alternativních prohlížečů je k dispozici celá řada a jejich funkční i designové přednosti jsou oproti starému browseru od Microsoftu nepřehlédnutelné. Softwarovému gigantu sice může být celkem jedno, klesne-li jeho převaha u jednoho produktu z 95 procent na 94, dlouhodobě však jistě neponechá vývoj situace náhodě. Nakonec tak může dojít i k překvapení na poslední chvíli, kdy v rámci uvedení svého nového operačního systému pod názvem Longhorn přijde i se zbrusu novým a dostatečně atraktivním prohlížečem, s jehož pomocí opět přivede zběhlé surfery na svoji stranu. Do té doby však bude díky přitažlivosti IE pro útočníky nejspíš stále více platit názor komentátora magazínu BusinessWeek online Stephena H. Wildstroma: Internet Explorer je dnes prostě příliš riskantní věc.

Ztratí podle vás brzy IE významně svůj tržní podíl?
Našli jste v článku chybu?

28. 9. 2006 15:48

ML (neregistrovaný)
Ještě že existuje tolik odborníků na těchto a jim podobných reklamních stránkách, kteří by zvládli to co Microsoft a to doma na koleně a mnohem lépe. Ó jak všichni dobře ví, že IE je to nejhorší na světě a firefoxy a podobné prográmky jsou ve všem lepší. Vy kdo nevíte jistě - věříte jim to? Vždyť je to jediná možnost jak se prosadit. Rozpoutat podobnou psychózu. Ničím jiným uživatele nepřitáhnou. Protože každý kdo už jednou restartoval Windows si o sobě myslí že je odborník, objevují se mezi kri…
Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

DigiZone.cz: HD programy ČT i v UPC Horizon

HD programy ČT i v UPC Horizon

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV