De standaard instellingen van Internet Explorer 7 en 8 zorgen ervoor dat hackers toegang tot interne applicaties en netwerken kunnen krijgen, zo heeft een Argentijnse beveiligingsonderzoeker ontdekt. Cesar Cerrudo publiceerde een onderzoek waarin hij laat zien hoe de instellingen voor de intranet "zones" zowel aanvallers van binnen als buiten de organisatie toegang tot vertrouwelijke informatie kan geven. De instellingen voor de intranet zones worden meer vertrouwd dan die van de internet zone en daar maken de aanvallen gebruik van. Zo staat automatische logon in de Intranet zone standaard aan, kunnen websites met minder rechten deze zone bereiken, worden door scripts gestarte vensters toegestaan, ondanks hun omvang en positie, kunnen websites vensters met een adresbalk of statusbalk openen en staat het cross-site scripting filter van IE8 standaard uit.
Cerrudo beschrijft in zijn onderzoek verschillende aanvalsscenario's, zoals "Phishing in de Windows desktop". Via een cross-site scripting kwetsbaarheid is het mogelijk om de gebruiker op een vals Windows inlogscherm te laten inloggen en zo zijn gegevens te stelen. Een andere mogelijkheid is het uploaden van willekeurige HTML code in de Intranet website. De Argentijn omschrijft zijn tweede aanval als "Cross Site SQL Injection (XSSQLI)", een combinatie van Cross Site Request Forgery (XSRF) en SQL-injectie aanvallen. Door het bezoeken van een kwaadaardige website is het mogelijk om een aanval op de intranetsite uit te voeren.
Audits
De problemen worden veroorzaakt doordat Intranet webapplicaties meestal minder veilig zijn dan externe websites, omdat er ze minder vaak geaudit worden. Daarnaast denken veel beheerders dat de applicaties via externe netwerksegmentatie beschermd zijn, terwijl dat niet het geval is. "Deze acties en aannamen zorgen ervoor dat Intranet websites kwetsbaarder en eenvoudiger zijn aan te vallen." Voor kwaadwillende werknemers is het nog makkelijk om het eigen netwerk aan te vallen. Cerrudo merkt op dat "insiders" liever geen sporen achterlaten en mogelijke kwetsbaarheden daarom beter via het web kunnen op zoeken.
Het aanvallen van Intranet via het web is niet nieuw, in 2006 lieten onderzoekers al zien hoe ze via JavaScript-gebaseerde aanvallen voor websites ook het intranet konden aanvallen. De technieken van Cerrudo zijn echter zeer praktisch en ook nog eens via IE uit te voeren. "Het wordt allemaal via het Internet gedaan, door Internet Explorer's zwakke standaard beveiligingsinstellingen te misbruiken", aldus Cerrudo. "Alle aanvallen zijn gevaarlijk en kunnen resulteren in het compromitteren van de hosts, servers en netwerk tot het stelen, wijzigen of vernietigen van gegevens."
Oplossing
De eerste stap die bedrijven moeten nemen om hun Intranet te beschermen is ervoor te zorgen dat er geen beveiligingslekken in de webapplicatie zitten. Daarnaast kunnen beheerders ook de standaard security instellingen van IE wijzigen, hoewel dit voor sommige gebruikers problemen kan opleveren. Hij adviseert om de Internet zone instellingen ook voor de Intranet zone te gebruiken. Ook zou het handig zijn als IE zelf ingestelde security zones zou ondersteunen. "Iets dat IE nu mist is de gebruiker zelf security zones te laten instellen waar websites aan kunnen worden toegevoegd en beveiligingsinstellingen aan de hand van verschillende behoeften zijn in te stellen."
Deze posting is gelocked. Reageren is niet meer mogelijk.