image

Onderzoeker "kraakt" beveiliging Internet Explorer

zondag 5 december 2010, 09:42 door Redactie, 5 reacties

De Protected Mode in Internet Explorer is helemaal niet zo veilig als de naam doet vermoeden en kan omzeild worden, aldus een onderzoeker van Verizon. Tom Keetch onderzocht in hoeverre Protected Mode gebruikers tegen zero-day aanvallen op de browser en extensies beschermt. "Ik ontdekte dat de maatregel veel minder bescherming biedt dan de naam doet vermoeden", zo laat hij in een blogposting weten.

Aangezien het volgens Keetch geen officiële beveiligingsmaatregel betreft, geeft Microsoft geen garanties dat het problemen tijdens de maandelijkse patchcyclus patcht. Toen het de onderzoeker lukte om Protected Mode te omzeilen, kon Microsoft geen datum geven wanneer het probleem was opgelost.

Aanval
Tijdens zijn onderzoek ontdekte Keetch een generieke en betrouwbare manier om zijn rechten van laag naar medium integrity aan te passen, zonder dat er enige interactie van de gebruiker vereist is. Hiervoor moet wel de Local Intranet Zone zijn ingeschakeld, iets wat standaard voor workstations is. De aanval van de onderzoeker maakt gebruik van sockets, die niet onder de "Mandatory Integrity Control" vallen, en het feit dat Protected Mode voor websites in de Local Intranet Zone staat uitgeschakeld.

Voor het uitvoeren van deze aanval moet een aanvaller eerst over een andere exploit beschikken. Het zijn echter dit soort aanvallen die Protected Mode moet voorkomen. "Als de oorspronkelijke remote exploit is gebruikt om willekeurige code met low integrity op de client uit te voeren, kan de payload een webserver starten die op elke willekeurige poort op de loopback interface luistert, zelfs als een gebruiker met verminderde rechten en low integrity", schrijft Keetch in zijn rapport.

Vervolgens kan een aanvaller hetzelfde lek een tweede keer gebruiken, waarbij er dan willekeurige code als dezelfde gebruiker wordt uitgevoerd, alleen dan op medium integrity. Dit geeft een aanvaller volledige toegang tot het account van de gebruiker. De aanval van Keetch werkt zowel tegen IE7 als IE8. "Het feit dat een enkele exploit voor zowel remote als local privilege escalation is te gebruiken, is de kern waarom dit zo'n groot probleem is."

Volgens de onderzoeker zijn maatregelen als Protected Mode alleen effectief als het een aanval lastiger maakt, maar dat is in dit geval niet zo. Keetch adviseert systeembeheerders om UAC op werkstations in te schakelen, te controleren dat gebruikers geen adminrechten hebben, Protected Mode voor alle zones waar mogelijk in te schakelen, de Local Intranet Zone uit te schakelen en te controleren dat software van derden geen "privilege escalation bugs" bevat.

Reacties (5)
05-12-2010, 11:36 door Spiff has left the building
Bestaat er een goede reden waarom Protected Mode niet ingeschakeld staat voor Local Intranet Zone?
05-12-2010, 12:35 door [Account Verwijderd]
[Verwijderd]
05-12-2010, 13:03 door Didier Stevens
Door Peter V: ......IE-9....daar werkt ie niet tegen? Althans, dat suggereert men hier?

Tom publiceerde zijn onderzoek voor IE7 en IE8, maar hij is nog met zijn IE9 onderzoek bezig. IE9 is trouwens nog beta.
Zelf verwacht ik dat zijn techniek ook voor IE9 werkt, maar ik zal het hem vragen.

Update: Tom denkt inderdaad dat het op IE9 nog zal werken, te bevestigen éénmaal IE9 afgewerkt is.
06-12-2010, 00:16 door Anoniem
Door Spiff:
Bestaat er een goede reden waarom Protected Mode niet ingeschakeld staat voor Local Intranet Zone?

Bestaat er een goede reden om IE te gebruiken dan?
06-12-2010, 16:10 door Anoniem
Door Anoniem:
Door Spiff:
Bestaat er een goede reden waarom Protected Mode niet ingeschakeld staat voor Local Intranet Zone?

Bestaat er een goede reden om IE te gebruiken dan?
Bestaat er een goede reden om eens te kappen met dat gezeik tegen Microsoft? Ja dus.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.