Aanvallers kunnen cookies van Internet Explorer-gebruikers uitlezen. Zo is het mogelijk om toegang te krijgen tot beveiligde websites. Het gat zit in alle versies van de browser.
De onafhankelijke beveiligingsspecialist Rosario Valotta heeft een manier gevonden om cookies van Internet Explorer-gebruikers uit te lezen. Op die manier kan hij via de gegevens van een slachtoffer toegang krijgen tot websites als Facebook, Twitter of Gmail. Zijn proof of concept richt zich met name op deze grote websites, maar de techniek kan op iedere site toegepast worden.
Alle versies van IE en Windows
Er is geen specifieke versie van de browser van Microsoft nodig, zo verduidelijkt Valotta op de Britste techsite The Register. Zijn methode werkt op iedere versie van Internet Explorer en bovendien op iedere Windowsversie. Het slachtofferpotentieel is op die manier dus enorm, zo meent de onderzoeker.
De aanval van de Italiaan buit een kwetsbaarheid in de beveiligingszones van Internet Explorer uit. Met die functie van de browser kunnen gebruikers betrouwbare website scheiden van sites die zij niet kennen of waar zij geen toegang tot willen. Door een speciaal iframe in een kwaadaardige website te integreren, kan een hacker dit echter omzeilen. Op die manier kan hij de browser dwingen om de cookies die op een computer opgeslagen zijn te tonen.
Gebruikersnaam achterhalen
Om de exploit te kunnen gebruiken moet de hacker wel enkele belangrijke dingen weten. Zo kan de aanval niet worden uitgevoerd zonder dat de hacker weet waar de cookies van Internet Explorer opgeslagen worden. Deze locatie is per versie van Windows verschillend. Ook moet de hacker de Windows-gebruikersnaam van het slachtoffer kennen.
Valotta gebruikt daarom in zijn exploit een techniek die de functionaliteit om bestanden te delen in IE zo manipuleert dat de browser de gebruikersnaam op Windows in platte tekst doorstuurt. De Italiaan gebruikt daarnaast een geavanceerde vorm van clickjacking die bekend staat als drag & drop extraction. Gebruikers zetten daarmee een puzzel in elkaar en zetten tegelijk een onderliggend kwaadaardig mechanisme in gang.
'Geen hoog risico'
Een woordvoerder van Microsoft zegt ervan op de hoogte te zijn dat cookies gestolen kunnen worden als de gebruiker naar een kwaadaardige website wordt gelokt. Omdat de gebruiker eenmaal op die site ook nog een puzzel in elkaar moet zetten, ziet de softwarefabrikant het niet als een hoog risico. Gebruikers zouden verdachte links sowieso moeten mijden.
Volgens Valotta heeft hij in januari al contact gezocht met leden van Microsofts beveiligingsteam over het gat in de browser. Volgens de Italiaan is Microsoft van plan om de kwetsbaarheid te patchen in een aantal updates die gepland staan in juni en augustus.
Bron: Webwereld.nl