Internet Explorer の脆弱性により、攻撃者はブラウザの基本的なセキュリティ メカニズムである同一生成元ポリシーを回避し、信頼性の高いフィッシング攻撃を開始したり、任意の Web サイトでユーザーのアカウントを乗っ取ったりすることができます。
この脆弱性は、ユニバーサル・クロスサイト・スクリプティングの脆弱性と説明されており、セキュリティコンサルティング会社Deusenの研究者であるDavid Leo氏によって、土曜日にFull Disclosureメーリングリストで公開されました。Leo氏の投稿には、dailymail.co.ukのウェブサイトを標的とした攻撃を実証する概念実証エクスプロイトへのリンクが含まれていました。
最新のWindows 8.1でInternet Explorer 11を開くと、エクスプロイトページへのリンクが表示されます。リンクをクリックすると、dailymail.co.ukのウェブサイトが新しいウィンドウで開きますが、7秒後にサイトのコンテンツが「Hacked by Deusen」というページに置き換えられます。
不正なページは外部ドメインから読み込まれますが、ブラウザのアドレスバーには www.dailymail.co.uk が表示され続けます。つまり、この手法は信頼性の高いフィッシング攻撃を構築するために使用できることを意味します。
攻撃者はdailymail.co.ukではなく、銀行のウェブサイトを利用し、ユーザーに個人の金融情報の入力を求める不正なフォームを挿入する可能性があります。ブラウザのアドレスバーには銀行の正規のドメイン名が表示され続けるため、ユーザーに何か問題があるとはほとんど気づかれません。
Tumblrのシニアセキュリティエンジニアであるジョーイ・ファウラー氏によると、この攻撃は標的のサイトがHTTPS(SSL暗号化付きHTTP)を使用している場合にも機能する。ファウラー氏はレオ氏の最初の投稿への返信でこの脆弱性を認めた。
ファウラー氏は脆弱性をテストする際に「奇妙な点」を発見したが、攻撃は「間違いなく機能する」と結論付けた。
「標準的な HTTP から HTTPS への制限も回避します」と彼は書いています。
さらに悪いことに、同一オリジンポリシー(SOP)がバイパスされます。これは、あるウェブサイトのコードが別のウェブサイトのiframeに読み込まれ、そのウェブサイトのコンテンツを操作したり、その逆を行ったりすることを防ぐために、すべてのブラウザに備わっているセキュリティメカニズムです。
例えば、このセキュリティ境界がなければ、サイトAは、サイトBにログインしているユーザーがサイトAにアクセスした際に、そのユーザーの認証Cookieを読み取ることができます。認証Cookieとは、ウェブサイトが認証済みユーザーを記憶するためにブラウザに設定する識別子です。これらのCookieを別のブラウザにコピーすると、対応するアカウントへのアクセスが自動的に許可される可能性があります。
このIEの脆弱性は、クロスサイトスクリプティング(XSS)の脆弱性と同じ影響を及ぼします。XSSは通常、攻撃者がCookieを盗み出し、URLを通じて不正なコンテンツを挿入することで、脆弱なサイトに不正なコンテンツを表示させる脆弱性です。Internet Explorerの脆弱性は、すべてのサイトをXSSに対して脆弱にするため、Leo氏はこれを「ユニバーサルXSS」と呼んでいます。
「ユニバーサルXSSはブラウザの脆弱性であり、ウェブサイトに既存の脆弱性が存在するかどうかに関係なく、攻撃者が任意のサイトのコンテキストでスクリプトコンテンツを実行できるようになります」と、公開されたエクスプロイトも分析したTripwireのセキュリティ研究者、クレイグ・ヤング氏は述べています。「ユニバーサルXSSのバグを悪用するには、攻撃者が被害者を悪意のあるサイトへ誘導するだけで十分です。これは、マルバタイジング、フィッシング、あるいはコメントスパムといった形で行われる可能性があります。」
マルバタイジングの手法は既に攻撃者によって広く利用されており、広告ネットワークを騙して悪意のある広告を受け入れさせ、正規のウェブサイトに表示させるというものです。このマルバタイジングとIEの脆弱性を組み合わせることで、攻撃者は様々なウェブサイトから認証Cookieを大量に盗み出す可能性があります。
ヤング氏は、この脆弱性を悪用することがユーザーの介入なしに実行できるかどうかを確認できませんでした。概念実証のエクスプロイトでは、被害者がリンクをクリックする必要があります。しかし、たとえユーザーの介入が必要であったとしても、多くのソーシャルエンジニアリングの手法を用いてその脆弱性を悪用することが可能です。
ヤング氏によると、この脆弱性はIE 11か、それより新しいバージョンのIEの一部にのみ影響を及ぼす可能性があるとのことだ。例えば、研究者はWindows 7上で動作するIE 8ではこの攻撃を再現できなかった。
この脆弱性は、数か月前に Android のデフォルト ブラウザで発見された Same-Origin バイパスの脆弱性ほど重大ではないかもしれないが、Microsoft はできるだけ早く対処する必要がある、と Young 氏は述べた。
「この脆弱性が積極的に悪用されているという認識は持っておらず、セキュリティアップデートに取り組んでいます」と、マイクロソフトの担当者はメールで述べた。「お客様には引き続き、信頼できないソースからのリンクを開いたり、信頼できないサイトにアクセスしたりしないよう、また、情報保護のため、サイトを離れる際にはログアウトするようお願いいたします。」
幸いなことに、ウェブサイトはX-Frame-Optionsと呼ばれるセキュリティヘッダーに「deny」または「same-origin」の値を設定することで、この脆弱性を悪用した攻撃から身を守ることができます。これにより、他のサイトがiframeでそのサイトを読み込めなくなります。この点は、Folwer氏と、Webセキュリティ企業SucuriのCTOであるDaniel Cid氏の両氏によって指摘されています。
残念ながら、これは推奨されるセキュリティ ヘッダーですが、使用しているサイトはごくわずかです、と Cid 氏は電子メールで述べています。
