- Статистика
- Основні види вразливостей
- Уразливості, що дозволяють зловмисникові отримати доступ до системи
- Уразливості, що призводять до створення DoS
- Обхід налаштувань безпеки, заданих для поточного домена
- спуфінга
- міжсайтовий скриптинг
- Приклад експлоїта, що застосовується хробаком NetSky
- Уразливості, засновані на особливостях реалізації Internet Explorer
- Зберігання налаштувань в реєстрі
- файли Cookies
- Журнал відвіданих сайтів
- Недостатній захист паролів доступу до Web-сайтів і до даних системи автозаповнення форм
- Неавторизована установка BHO
- Як перевірити, вразливий чи ваш Internet Explorer
- Методика протидії уязвимостям
- висновок
Олег Зайцев
Статистика
Основні види вразливостей
Уразливості, що дозволяють зловмисникові отримати доступ до системи
Уразливості, що призводять до створення DoS
Обхід налаштувань безпеки, заданих для поточного домена
спуфінга
міжсайтовий скриптинг
Приклад експлоїта, що застосовується хробаком NetSky
Уразливості, засновані на особливостях реалізації Internet Explorer
Зберігання налаштувань в реєстрі
файли Cookies
Журнал відвіданих сайтів
Недостатній захист паролів доступу до Web-сайтів і до даних системи автозаповнення форм
Неавторизована установка BHO
Як перевірити, вразливий чи ваш Internet Explorer
Методика протидії уязвимостям
висновок
Незважаючи на наявність на ринку альтернативних рішень (наприклад, Opera і FireFox), одним з основних браузерів досі залишається Internet Explorer. Як наслідок, його вразливості становлять загрозу для дуже великого числа користувачів, а тому досить активно експлуатуються розробниками шкідливих програм.
Статистика
світі існує ряд компаній, які займаються реєстрацією фактів виявлення вразливостей в різних продуктах з подальшою статистичною обробкою і публікацією результатів. Для визначеності будемо спиратися на дані, опубліковані на сайті Secunia ( http://secunia.com ) На підставі аналізу вразливостей Internet Explorer за період 2003-2005 років (рис. 1-3). Як видно з діаграми (див. Рис. 1), майже щомісяця в Internet Explorer знаходять нову вразливість, причому в середньому в місяць виявляється близько двох нових вразливостей.
Мал. 1. Кількість виявлених вразливостей в IE версій 6.x і 5.x
Якщо ж подивитися на статистику ступеня небезпеки виявлених вразливостей, то за вказаний період виходить картина, представлена на рис. 2. Слід зазначити, що 29% не уявляють небезпеку вразливостей відноситься до таких, практична цінність яких, з точки зору зловмисника, близька до нуля.
Мал. 2. Статистика вразливостей IE версії 6.x
за ступенем небезпеки
Ще цікавіша для користувача статистика - по усуненню виявлених вразливостей (див. Рис. 3). На даний момент не було усунуто 28% відомих вразливостей, причому для ряду цих вразливостей існують експлоїти. Крім того, важливим показником є час між виявленням уразливості, появою реалізує вразливість експлоїта, створенням експлуатують уразливість шкідливих програм і виходом оновлення, що усуває вразливість.
Мал. 3. Статистика усунення вразливостей
IE версії 6.x
Основні види вразливостей
випробуємо ввести класифікацію вразливостей - в нашому випадку найзручніше класифікувати їх по вражаючій впливу на браузер.
Уразливості, що дозволяють зловмисникові отримати доступ до системи
Найчастіше дана уразливість зводиться до виконання машинного коду, створеного зловмисником. Найбільш розповсюдженим різновидом з даної категорії є переповнення буфера, яке призводить до зриву стека і до виконання програмного коду, сформованого атакуючим. Крім того, за статистикою автора, нерідкі уразливості, засновані на некоректної обробки CHM-файлів через протоколи ms-its (ms-itss, its, mk: @MSITStore) - дана методика часто застосовується для впровадження на комп'ютер користувачів троянських програм і SpyWare-компонентів .
Уразливості, що призводять до створення DoS
Під DoS в даному випадку мається на увазі будь-який збій в роботі Internet Explorer, починаючи від його аварійного завершення і зависання і закінчуючи значними витратами ресурсів і зниженням продуктивності системи в цілому. Найтиповіша реалізація - переповнення буфера (тільки в разі DoS досить простого зриву стека), шкідливі скрипти. Найпростішою демонстрацією DoS може служити HTML-файл виду:
<body onload = "window ();">
</ body>
Відкриття такого файлу в Internet Explorer 6.0 призводить до аварійного завершення роботи браузера.
Обхід налаштувань безпеки, заданих для поточного домена
Internet Explorer використовує так звану доменну модель забезпечення безпасность (Cross-Domain Security Model), основна ідея якої полягає в тому, що операції з даними, відкритими у вікні одного вузла, недоступні з боку іншого. Файлова система локального комп'ютера розглядається як домен, а отже, при порушенні доменної безпеки можна отримати доступ до локальних файлів. Одним з методів обходу налаштувань безпеки є застосування тега IFRAME - це плаваючий фрейм, який розміщується в web-сторінці аналогічно зображенню; в реалізації підтримки IFRAME в IE різних версій відомий ряд вразливостей, які дуже широко експлуатувалися (і експлуатуються) поштовими хробаками.
спуфінга
Найбільш поширені форми спуфинга - відображення в поле «адреса» Internet Explorer такого адреси, яка не збігається з адресою завантаженого сайту (це називається URL-спуфинг); відображення спливаючих вікон (які, з точки зору користувача, належать переглядається в браузері сторінці (див. приклад http://secunia.com/multiple_browsers_ dialog_origin_ vulnerability_test /, в якому відкривається вікно IE з сайтом www.google.com, а потім виводиться діалогове вікно, візуально належить даній сторінці); модифікація заголовка вікна або даних в панелі статусу.
міжсайтовий скриптинг
Міжсайтовий скриптинг (Cross-Site Scripting, CSS) полягає в тому, що в загружаемую web-сторінку впроваджується сторонній код, створений атакуючим. Як правило, подібний вид атаки можливий через некоректну обробки параметрів запиту на стороні сервера (в цьому випадку на сервер передається особливим чином сконструйований запит) або через уразливості самого браузера (наприклад, відома уразливість в DHTML Edit ActiveX). В результаті таких атак в контексті завантаженої Web-сторінки виконується шкідливий скрипт, який може застосовуватися, зокрема, для крадіжки Cookies, модифікації вмісту Web-сторінки, перехоплення сесії. Детальний опис уразливості в DHTML Edit ActiveX можна знайти за адресою http://secunia.com/advisories/13482/, а за адресою http://secunia.com/internet_explorer_ cross-site_scripting_vulnerability_test / розміщений тестовий експлоїт, який демонструє застосування даної уразливості).
Приклад експлоїта, що застосовується хробаком NetSky
Розглянемо як приклад класичний експлоїт, який використовується поштовим хробаком Email-Worm.Win32.NetSky.q (сам лист було вилучено з карантину поштового сервера в момент написання статті).
<BODY bgColor = 3D # ffffff> If the message will not
displayed automatically, <br>
follow the link to read the delivered message. <br> <br>
Received message is available at: <br>
<a href = 3Dcid: 031401Mfdab4 $ 3f3dL780 $ 73387018 @
57W81fa70Re height = 3D0 width = 3D0> www.z-oleg.com/
inbox / newvirus / read.php? sessionid-5434 </a>
<iframe
src = 3Dcid: 031401Mfdab4 $ 3f3dL780 $ 73387018 @ 57W81fa70Re
height = 3D0 width = 3D0> </ iframe>
<DIV> & nbsp; </ DIV> </ BODY> </ HTML>
--- = _ NextPart_001_001C_01C0CA80.6B015D10-
--- = _ NextPart_000_001B_01C0CA80.6B015D10
Content-Type: audio / x-wav;
name = "message.scr"
Content-Transfer-Encoding: base64
Content-ID: <031401Mfdab4 $ 3f3dL780 $ 73387018 @
57W81fa70Re>
TVqQAAMAAAAEAAAA // 8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAA ...
Тіло листа йде в форматі HTML і містить посилання, нібито веде на ресурс www. z-oleg.com/inbox/newvirus/read.php?sessionid-5434. Крім того, в HTML-коді розміщений тег IFrame - посилання і IFRAME вказують на тіло хробака. При цьому необхідно звернути увагу на те, що черв'як є виконуваним файлом, але при цьому у нього заданий некоректний Content-Type - audio / x-wav.
Уразливості, засновані на особливостях реалізації Internet Explorer
язвімості даної категорії не є такими в прямому сенсі цього слова - скоріше це конструктивні недоробки, які можуть в тому або іншому вигляді використовуватися в непристойних цілях.
Зберігання налаштувань в реєстрі
Всі настройки Internet Explorer зберігаються в системному реєстрі і можуть модифікуватися з діалогового вікна налаштування IE або шляхом безпосередньої правки реєстру, а Internet Explorer ніяк не контролює цілісність цих налаштувань і не проводить їх захист. З цієї причини зловмисниками було створено безліч шкідливих програм, що модифікують ті або інші настройки Internet Explorer (існують тисячі таких програм, причому досить часто запуск подібної троянської програми проводиться за рахунок тієї або іншої уразливості Internet Explorer).
Зазвичай шкідливі програми модифікують наведене нижче
- домашня сторінка, настройки пошуку;
- параметри безпеки для однієї або декількох зон, причому можливе додавання одного або декількох серверів в список надійних вузлів;
- настройки підключення для реалізації обміну через проксі-сервер зловмисників.
файли Cookies
Файли Cookies у Internet Explorer зберігаються у вигляді окремих текстових файлів з іменами типу "zaitsev @ yandex [1] .txt" в папці Documents and Settings \ <ім'я користувача> \ Cookies. Ця папка має атрибут «Системний» і не видно в провіднику, але ніякої іншої захисту Cookies не передбачено. Отже, троянська програма може провести аналіз Cookies з метою пошуку паролів або іншої інформації, що зберігається в них інформації. Крім того, при використанні чужого комп'ютера (наприклад, в Інтернет-кафе) слід пам'ятати, що Cookies залишаються і можуть бути використані зловмисниками.
Заходи проти несанкціонованих дій полягають в обмеженні прав доступу до папки Cookies і в відключенні прийому Cookies для певних сайтів. У разі використання чужого комп'ютера потрібно видалити файли Cookies після завершення сеансу роботи.
Журнал відвіданих сайтів
Internet Explorer веде журнал, в якому фіксуються відвідані користувачем сайти. Особливої небезпеки це не представляє, проте такий журнал не захищений і тому може бути проаналізований троянської програмою.
Щоб запобігти атакам, рекомендуємо очищення журналу і настройку часу його зберігання в параметрах Internet Explorer.
Недостатній захист паролів доступу до Web-сайтів і до даних системи автозаповнення форм
Коли користувачеві доводиться авторизуватися на деякому Web-сайті, Internet Explorer пропонує зберегти паролі. Це дуже зручна функція, за одним винятком - захист збережених паролів доступу знаходиться на низькому рівні. Розглянемо для прикладу програму Advanced Internet Explorer Password Recovery ( http://www.passwords.ru/aiepr.html ), Призначену для відображення збережених паролів (рис. 4) і дозволяє переглянути збережені паролі до Web-сайтів і дані системи автоматичного заповнення форм.
Мал. 4
Тому радимо не використовувати збереження паролів і автозаповнення Web-форм, причому це особливо важливо при роботі на комп'ютері, до якого є публічний доступ. Вікно настройки автоматичного заповнення форм, показане на рис. 5, дозволяє виконати два види операцій: налаштувати автозаповнення і провести очищення журналів автозаповнення.
Мал. 5
Неавторизована установка BHO
Для підключення BHO (Browser Helper Object) до Internet Explorer досить зареєструвати в реєстрі клас BHO і записати його в ключі реєстру з настройками IE. Дана операція може бути проведена будь-яким додатком, що дозволяє шкідливій програмі приховано встановити будь-якої BHO.
Протидія - настройка прав доступу (тільки читання) до трьох ключів реєстру:
- HKEY_LOCAL_MACHINE \ Software \ Microsoft \ indows \ CurrentVersion \ Explorer \ Browser Helper Objects;
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Toolbar;
- HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Internet Explorer \ Extensions.
Подібна операція хоча і ускладнить установку BHO (доведеться тимчасово дозволити модифікацію даних ключів, а потім заборонити її після установки), але заблокує неавторизовану установку BHO.
Слід зазначити, що в останніх версіях Internet Explorer з'явилася можливість переглядати підключення надбудови і модулі розширення (меню Сервіс \ Властивості оглядача, в вікні властивостей - закладка «Програми», кнопка «компонентами»). В даному вікні (рис. 6) можна не тільки переглянути встановлені надбудови та розширення IE, але і відключити будь-яку з надбудов.
Мал. 6
Як перевірити, вразливий чи ваш Internet Explorer
ровесті комплексну перевірку і дати однозначні відповіді вкрай важко, але перевірка наявності десятка найбільш популярних вразливостей доступна будь-якому користувачеві. Найпростіше виконати перевірку за допомогою онлайнових ресурсів (наприклад, http://bcheck.scanit.be/bcheck/ ). Ідея подібних тестів досить проста: після початку тесту проти браузера по черзі застосовується кілька експлойтів, а користувач при цьому може спостерігати за реакцією браузера на кожен з них. Потім формується звіт, в якому зазначено, скільки експлойтів успішно спрацювало, з описом відповідних їм вразливостей і методів їх усунення. Зокрема, для Internet Explorer 6.0 з комплекту Windows XP SP2 було запропоновано 22 тесту, а в результаті була виявлена єдина вразливість - Microsoft Internet Explorer DHTML Edit Control Script Injection Vulnerability, що дозволяє реалізовувати міжсайтовий скриптинг. Крім того, корисно відвідати сайт http://secunia.com/product/11 , Присвячений уязвимостям Internet Explorer 6.x; в описах багатьох вразливостей на даному сайті розміщуються тестові експлоїти або фрагменти скриптів.
Методика протидії уязвимостям
тепер перерахуємо основні способи протидії уязвимостям Internet Explorer:
- Своєчасна установка оновлень. Як не банальний ця рада, своєчасна установка оновлень є однією з найбільш ефективних заходів боротьби з уразливими.
- Застосування антивірусних моніторів. Відомо, що такий монітор може виявити експлоїт (особливо якщо він до того ж має здатність контролювати Інтернет-трафік), а оскільки метою багатьох експлойтів є завантаження і запуск троянської програми, то монітор може виявити цю програму в момент її завантаження або запуску. Деякі антивірусні монітори можуть перевіряти скрипти перед їх виконанням (таку перевірку, зокрема, виконує монітор антивіруса Касперського).
- Робота з Internet Explorer з-під облікового запису користувача, причому в ідеалі користувач повинен мати мінімальні правами. Від уразливості це не врятує, але нанесений системі збиток буде незрівнянно нижче. Крім того, можна запустити Internet Explorer зі зниженими правами - за допомогою запуску від імені користувача з обмеженими правами або за рахунок застосування програм типу DropMyRights (дана програма працює тільки в Windows XP, і, власне, її робота зводиться до запуску зазначеного в параметрах програми з мінімальними правами).
- Застосування брандмауерів. Деякі брандмауери можуть виявляти і блокувати експлоїти по сигнатурам, і практично будь-який брандмауер виявиться корисним в разі проникнення на комп'ютер шкідливих програм, так як він заблокує її спроби обміну з Інтернетом.
- Ретельна настройка безпеки, особливо для Інтернет-зони. Налаштування безпеки Internet Explorer необхідно періодично перевіряти, оскільки вони можуть бути несанкціоновано перекручені шкідливими програмами.
- Підвищена обережність при відкритті посилань, особливо в листах, отриманих по електронній пошті.
висновок
Зараз в Internet Explorer існує ряд вразливостей, і в міру їх ліквідації будуть виявлятися нові, а отже, необхідно вживати додаткових заходів захисту від можливих наслідків експлуатації цих вразливостей. Крім того, від вразливостей певних типів (наприклад, від переповнення буфера) передбачені загальні механізми захисту, зокрема DEP (Data Execution Prevention), підтримка якої з'явилася в Windows XP і Windows Server 2003, і програми типу DefencePlus (http: // www. softsphere.com/), які відстежують переповнення буфера і в більшості випадків адекватно йому протидіють.
КомпьютерПресс 10'2005
Php?
Php?