Una vulnerabilità critica di Internet Explorer 11 può essere utilizzata per rubare le credenziali degli utenti

Table Of Contents

• Un ricercatore di sicurezza scopre una vulnerabilità critica universale di Cross Site Scripting (XSS) che colpisce Internet Explorer 11 su Windows 7 e 8.1
• Vulnerabilità

Un ricercatore di sicurezza scopre una vulnerabilità critica universale di Cross Site Scripting (XSS) che colpisce Internet Explorer 11 su Windows 7 e 8.1

David Leo, un ricercatore di sicurezza, ha scoperto una vulnerabilità universale di Cross Site Scripting (XSS) che colpisce Internet Explorer 11 su Windows 7 e 8.1, e che potrebbe consentire ai potenziali hacker di eseguire attacchi di phishing estremamente convincenti contro gli utenti di IE.

Leo ha inviato la sua rivelazione alla mailing list Full Disclosure, che può essere trovata qui. Ha detto di aver anche segnalato il problema a Microsoft il 13 ottobre 2014, ma Microsoft non ha ancora corretto la vulnerabilità.

Vulnerabilità

La vulnerabilità è conosciuta come una falla universale di cross-site scripting (XSS). La falla XSS può essere sfruttata dagli attaccanti per eludere la Same Origin Policy (SOP). La SOP è una politica cruciale per qualsiasi utente di Internet perché non consente a una scheda del browser di accedere alle informazioni su un’altra scheda o di modificare i cookie del browser o altri contenuti impostati da qualsiasi altro sito su quella scheda.

Leo ha creato un sito web con il proof-of-concept dell’exploit della falla XSS, che può essere accessibile qui. Il sito web può visualizzare un messaggio che Leo ha scritto solo per mostrare quanto sia critica la vulnerabilità.

Qualsiasi attacco potenziale può utilizzare questa vulnerabilità contro gli utenti che utilizzano versioni supportate di Internet Explorer con le ultime patch per inviarli a pagine create in modo malevolo.

Utilizzando il PoC di Leo, gli hacker possono mostrare contenuti potenzialmente dannosi all’utente mentre l’URL mostrato nella barra degli indirizzi del browser rimane lo stesso che l’utente intendeva visitare. Il potenziale malevolo della falla è stato confermato dall’ingegnere della sicurezza di Tumblr, Joey Fowler, che ha risposto a Leo,

Ciao David, “carino” è un eufemismo qui. Ho fatto alcuni test con questo e, mentre ci sono delle stranezze, funziona sicuramente. Elude anche le restrizioni standard HTTP-to-HTTPS. Finché le pagine incapsulate non contengono intestazioni X-Frame-Options (con valori deny o same-origin), viene eseguito con successo. In attesa che il payload venga iniettato, la maggior parte delle politiche di sicurezza dei contenuti sono anche eluse (iniettando HTML invece di JavaScript, cioè). Sembra che, attraverso questo metodo, tutte le tattiche XSS valide siano aperte! Ottima scoperta! È stato segnalato a Microsoft al di fuori (o all’interno) di questo thread? — Joey Fowler Senior Security Engineer, Tumblr

Il codice dell’exploit appare come segue

function go() {
w=window.frames[0];
w.setTimeout(“alert(eval(‘x=top.frames[1];r=confirm(\’Chiudi questa finestra dopo 3 secondi…\’);x.location=\’javascript:%22%3Cscript%3Efunction%20a()%7Bw.document.body.innerHTML%3D%27%3Ca%20style%3Dfont-size%3A50px%3EHacked%20by%20Deusen%3C%2Fa%3E%27%3B%7D%20function%20o()%7Bw%3Dwindow.open(%27http%3A%2F%2Fwww.dailymail.co.uk%27%2C%27_blank%27%2C%27top%3D0%2C%20left%3D0%2C%20width%3D800%2C%20height%3D600%2C%20location%3Dyes%2C%20scrollbars%3Dyes%27)%3BsetTimeout(%27a()%27%2C7000)%3B%7D%3C%2Fscript%3E%3Ca%20href%3D%27javascript%3Ao()%3Bvoid(0)%3B%27%3EVai%3C%2Fa%3E%22\’;’))”,1);
}
setTimeout(“go()”,1000);

Microsoft ha dichiarato che stanno lavorando a una patch per la falla, affermando che non sono a conoscenza della falla che viene attivamente sfruttata nel mondo.

“Per sfruttare questo, un avversario dovrebbe prima indurre l’utente a un sito web malevolo, spesso attraverso il phishing. SmartScreen, che è attivato per impostazione predefinita nelle versioni più recenti di Internet Explorer, aiuta a proteggere contro i siti web di phishing,” ha detto. “Continuiamo a incoraggiare i clienti a evitare di aprire link da fonti non affidabili e visitare siti non affidabili, e a disconnettersi quando lasciano i siti per aiutare a proteggere le loro informazioni.”