O Microsoft Security Advisory (980088) i (znowu) o tym dlaczego Protected Mode powinien być włączony

  • Article

Microsoft 03 lutego 2010 opublikowal informacje o podatnosci w Internet Explorer, która pozwala na ujawnienie danych uzytkownika. Uzyskanie dostepu do tych danych przez atakujacego wymaga jednak od uzytkownika klikniecia na odpowiedni link i uruchomienie spreparowanej witryny. Zadna dodatkowa czynnosc ze strony uzytkownika nie jest wymagana. W efekcie atakujacemu moze udac sie uzyskac dostep do danych uzytkownika, ale nie bedzie on w stanie w pelni skompromitowac systemu – podatnosc ta nie pozwala na wykonanie zewnetrznego kodu bez odpowiednich uprawnien. Atakujacy musi znac pelna sciezke do pliku. Podatnosc ta dotyczy systemu Windows XP (wspieranego) lub Internet Explorer od wersji Internet Explorer 5.01 SP 4 do wersji 8, z Protected Mode wylaczonym.

Kto jest bezpieczny, a kto jest zagrozony?

Zgodnie z ponizsza tabela przyjmuje sie, ze podstawowa ochrona jest aktualna przegladarka z wlaczonym Protected Mode (to wyklucza systemy starsze niz Windows Vista, o Protected Mode pisalam tutaj). Dla dostepnych systemów i wersji przegladarek wyglada to nastepujaco:

Konfiguracja bezpieczna

Konfiguracja zagrozona

Internet Explorer 7 (Protected Mode wlaczony):

§ Windows Vista

§ Windows Server 2003

§ Windows 7

Internet Explorer 5.01 SP4:

§ Microsoft Windows 2000 SP4

Internet Explorer 8 (Protected Mode wlaczony):

§ Windows Vista

§ Windows Server 2003

§ Windows Server 2008 R2

§ Windows 7

Internet Explorer 6 SP1:

§ Microsoft Windows 2000 SP4

Internet Explorer 6:

§ Windows XP SP2

§ Windows XP SP3

§ Windows XP Professional x64 Edition SP2

§ Windows Server 2003 SP2

§ Windows Server 2003 SP2 for Itanium-based Systems

§ Windows Server 2003 x64 Edition SP2

Internet Explorer 7 (Protected Mode wylaczony):

§ Windows XP SP2

§ Windows XP SP3

§ Windows XP Professional x64 Edition SP2

§ Windows Server 2003 SP2

§ Windows Server 2003 SP2 for Itanium-based Systems

§ Windows Server 2003 x64 Edition SP 2

§ Windows Vista

§ Windows Vista SP1

§ Windows Vista SP2

§ Windows Vista x64 Edition

§ Windows Vista x64 Edition SP1

§ Windows Vista x64 Edition SP2

§ Windows Server 2008 32-bit

§ Windows Server 2008 SP2 32-bit

§ Windows Server 2008 for Itanium-based Systems

§ Windows Server 2008 for Itanium-based Systems SP2

§ Windows Server 2008 x64

§ Windows Server 2008 SP2 x64

Internet Explorer 8 (Protected Mode wylaczony):

§ Windows XP SP2

§ Windows XP SP3

§ Windows XP Professional x64 Edition SP2

§ Windows Server 2003 SP2

§ Windows Server 2003 x64 Edition SP2

§ Windows Server 2008 x64

§ Windows Server 2008 for SP2 x64

§ Windows Server 2008 32-bit

§ Windows Server 2008 SP2 32-bit

§ Windows Vista

§ Windows Vista SP1

§ Windows Vista SP2

§ Windows Vista x64

§ Windows Vista SP1 x64

§ Windows Vista SP2 x64

§ Windows Server 2008 R2 for Itanium-based Systems,

§ Windows Server 2008 R2 x64

§ Windows 7 x64

§ Windows 7 32-bit

 

Dodatkowo dla systemów serwerowych trzeba zaznaczyc, ze aby atak sie udal, oprócz wylaczenia Protected Mode, nalezy wylaczyc równiez Enhanced Security Configuration.

Microsoft Outlook, Microsoft Outlook Express, Windows Mail otwieraja wiadomosci HTML w strefie Restricted – dzieki temu automatycznie zapobiegja Active Scripting i kontrolkom ActiveX i nie sa bezposrednio zagrozone atakiem. Czesto zdarza sie jednak, ze uzytkownicy klikaja w linki zawarte w wiadomosciach e-mail i wtedy naraza sie na wykorzystanie podatnosci przegladarki.

Zapobieganie

1. Wlaczenie Protected Mode

Nalezy wlaczyc Protected Mode dla przegladarek (i systemów), w których jest to mozliwe.

2. Ustawienie poziomu bezpieczenstwa dla strefy Local Intranet i Internet na High

Cel zasadniczo jest taki, aby przegladarka pytala przed uruchomieniem kontrolek ActiveX i Active Scripting (mozna takze calkowicie wylaczyc Active Scripting).

Aby przestawic strefe Local Intranet i Internet na poziom bezpieczenstwa High nalezy: z menu Internet Explorer è Tools è Options, przejsc na zakladke Security, zaznaczyc ikone Internet, przesunac suwak do poziomu High. Wykonac, w miare potrzeb, te same dzialania dla Local Intranet.

3. Wlaczenie Internet Explorer Network Protocol Lockdown dla Windows XP

Wlaczenie Internet Explorer Network Protocol Lockdown poprzez utworzenie pliku *.reg o tresci:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_PROTOCOL_LOCKDOWN]

"explorer.exe"=dword:00000001

"iexplore.exe"=dword:00000001

"*"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Internet Settings\RestrictedProtocols]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Internet Settings\RestrictedProtocols\1]

"file"="file"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Internet Settings\RestrictedProtocols\3]

"file"="file"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Internet Settings\RestrictedProtocols\4]

"file"="file"

a nastepnie uruchomienie go.

4. Zainstalowanie Microsoft FixIT

Dla wszystkich systemów, wszystkie opisane powyzsze opcje. Fix sprawia, ze HTML ze sciezek UNC w strefach Internet / Local Intranet / Restricted nie bedzie uruchamial zadnych skryptów lub kontrolek ActiveX.

Microsoft Fix it 50365: Fix this problem

Uwaga! Przed zainstalowaniem Microsoft Fix it zachecam do zapoznania sie z tym jak on dziala: https://support.microsoft.com/default.aspx/kb/980088

Odwrócenie powyzszych czynnosci to: Microsoft Fix it 50366- Fix this problem

Techniczny opis

Podatnosc jest nawiazaniem do nastepujacych sytuacji: https://www.microsoft.com/technet/security/bulletin/ms08-048.mspx oraz https://www.microsoft.com/technet/security/Bulletin/MS09-019.mspx

Ladujac plik lokalny, silnik renderujacy Internet Explorer sprawdza tylko typ MIME dla pliku, aby stwierdzic, czy moze go przetworzyc. Nieznane typy traktowane sa jako HTML, poniewaz nastapilo do nich odniesienie poprzez przekierowanie a typ tresci jest domyslnie ustawiany jako text/html. W tym przypadku pliki nie bedace HTML, dla których nie ma bezposrednio okreslonego typu tresci, URLMON domyslnie ustawi na text/html (jak zasugerowano z przekserowania). W wyniku tego Internet Explorer bedzie przetwarzal pliki, które nie sa HTML, jako HTML, oraz uruchamial kazdy kod zawarty w pliku w kontekscie strefy bezpieczenstwa przypisanej do zródla tresci.

Proof of concept przedstawiony przez pracowników Core Security obejmuje ponizszy kawalek kodu:

<script language="Javascript">

var obj = document.createElement("object");

obj.data = "file://127.0.0.1/C$/.../index.dat";

obj.type = "text/html";

obj.id = "obj_results";

obj.width = "500px";

obj.height = "300px";

document.body.appendChild(obj);

</script>

Webcasty na temat Microsoft Security Bulletins

TechNet Webcast: Information About Microsoft February Security Bulletins (Level 200)

Data: Sroda, 10 Luty 2010

Godzina: 11:00 a.m. PST (UTC -8)

Rejestracja:https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032427679

TechNet Webcast: Information About Microsoft March Security Bulletins (Level 200)

Data: Sroda, 10 Marca 2010

Godzina: 11:00 a.m. PST (UTC -8)

Rejetstracja: https://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032427711

Autorzy podatnosci

Jorge Luis Álvarez Medina i Federico Muttis z firmy Core Security Technologies.

Pozostale zródla

https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0255

https://www.coresecurity.com/content/internet-explorer-dynamic-object-tag#lref.5

https://www.iana.org/assignments/media-types/

https://tools.ietf.org/html/rfc2045

https://tools.ietf.org/html/rfc2046

Autor: Paula Januszkiewicz [MVP]