Pääsivu | Tiedotteet

Zonen väärentäminen enkoodatuilla URLeilla

08.02.2005

Yleistä

Windowsissa käytetty menetelmä ns. security zonen määrittämiseen toimii väärin, jos URLin merkkejä on koodattu tietyllä tavalla. Internet Explorer voidaan huijata luulemaan, että dokumentti kuuluu "My Computer" -zoneen, kun se todellisuudessa onkin Internetissä. Tällaisen HTML-dokumentin avulla voidaan kohdekoneella suorittaa haluttua koodia JavaScriptin avulla, koska "My Computer" -zoneen kuuluviin dokumentteihin luotetaan ja niille annetaan enemmän oikeuksia kuin Internetissä oleville dokumenteille.

Tätä haavoittuvuutta hyväksikäyttävä hyökkääjä voi tehdä kohdejärjestelmässä mitä tahansa kohdekäyttäjän oikeuksin - siirrellä tiedostoja, ajaa ohjelmia, jne. Hyökkääjän tekemällä sivulla vierailemisen lisäksi kohdekäyttäjältä ei vaadita muuta interaktiivisuutta. Sähköpostihyökkäyksessä kohdekäyttäjän pitää yleensä klikata sähköpostissa olevaa linkkiä, jotta hyökkäys voisi tapahtua.

Yksityiskohdat

Security zonen määrittämisprosessin aikana URL heksadekoodataan (puretaan %xy-merkintätapa) jostain syystä useammin kuin kerran saman URLin kohdalla, eli dekoodattu URL dekoodataan uudestaan. Tällä on haitallisia seurauksia, jos URL sisältää tiettyjä erikoismerkkejä moninkertaisesti koodattuna.

Vastoin kuin eräät toiset käyttöjärjestelmät, Windows sallii prosenttimerkin esiintymisen Internet-hostien nimissä, joten edellä kuvatulla tavalla koodattu URL toimii Internet Explorerilla - olettaen, että serverin nimi resolvautuu oikein hyökkääjän IP-osoitteeksi. Tämä edellyttää usein DNS wildcard-entryn käyttöä, koska %-merkit eivät ole RFC-standardien mukaan sallittuja koneiden nimissä. Internet Explorer tulkitsee virheellisesti hyökkääjän serverillä olevan dokumentin kuuluvan "My Computer" -zoneen.

Alttiit versiot

Koe-exploittia testattiin Internet Explorer 6:lla Windows 2000:ssa ja Windows XP:ssä. Exploitti käynnistää onnistuneesti hyökkääjän EXE-ohjelman, kun kohdekäyttäjä vierailee tarkoitusta varten laaditulla www-sivulla. Täydellinen lista alttiista järjestemistä löytyy Microsoftin tiedotteesta (linkki alla).

Ongelman ratkaiseminen

Microsoftille ilmoitettiin ongelmasta 16.02.2004. Ensimmäinen korjaus tehtiin syyskuussa 2004 ja Microsoft lähetti sen minulle testattavaksi. Testauksessa kävi kuitenkin ilmi, ettei korjaus suojaa tietyltä exploitin variaatiolta, joten julkaisu lykkääntyi.

Microsoftin tiedote ja korjaus löytyvät nyt osoitteesta

http://www.microsoft.com/technet/security/bulletin/ms05-014.mspx

Tekijä

Ongelman havaitsi, tutki ja tämän tiedotteen laati Jouko Pynnönen (jouko@iki.fi).