Używasz Internet Explorera? Możesz mieć XSS-a w każdej domenie

Kilka dni temu na liście dyskusyjnej full disclosure został opublikowany błąd pozwalający na wykonanie XSS-a w kontekście dowolnej domeny w najnowszych wersjach Internet Explorera. Odkrywca błędu, David Leo, zgłosił ten błąd do Microsoftu 13 października 2014, jednak błąd nie jest wciąż poprawiony.

Oryginalny PoC (proof of concept) nie był zbyt czytelny, dlatego inny badacz, @filedescriptor, przedstawił na swojej stronie analizę podatności oraz uprzystępnił PoC.

Istotą podatności jest sposób wykonywania Javascriptu przez Internet Explorera. Na stronie umieszczane są dwa elementy iframe: jeden w domenie atakującego, a drugi w domenie atakowanej (np. www.google.com). Tuż po uruchomieniu strony zaczyna się wykonywanie skryptu w kontekście pierwszego iframe’u. W międzyczasie jednak, w tym samym iframie wykonywane jest przekierowanie do domeny atakowanej. Przekierowanie nie przerywa wykonywania skryptu (które jest celowo tymczasowo zatrzymywane), dzięki czemu skrypt zaczyna nagle wykonywać się w kontekście innej domeny (www.google.com). Omija to praktycznie wszystkie zabezpieczenia przed złośliwym wykonywaniem skryptów; jedyną obroną może być nagłówek X-Frame-Options (ale bardzo często obrazki czy plik robots.txt są wyświetlane bez tego nagłówka).

• Link do przykładowego kodu wykorzystującego podatność w IE 10 i 11 wykonującego XSS-a w kontekście domeny www.google.com.

Chyba najlepszym sposobem ochrony przed podatnością jest… po prostu nieużywanie Internet Explorera do czasu aż Microsoft naprawi problem.

–Michał Bentkowski