インターネット・エクスプローラの脆弱性を悪用してクッキー不正閲覧/盗難が可能
概要:
マイクロソフト社のインターネット・エクスプローラー(IE)ウェブ・ブラウザの脆弱性を突きURLにJavaScriptの"about"機能を使用する事により遠隔より攻撃目標のcookiesにアクセスできる。通常、認証データ(ユーザー名、パスワード、暗証番号、セションidsなど)が
国際
海外情報
マイクロソフト社のインターネット・エクスプローラー(IE)ウェブ・ブラウザの脆弱性を突きURLにJavaScriptの"about"機能を使用する事により遠隔より攻撃目標のcookiesにアクセスできる。通常、認証データ(ユーザー名、パスワード、暗証番号、セションidsなど)が、ユーザのハードディスク又はメモリーにクッキー形式で保存されている(2001年10月31日、 ID#106067)。
"about"について;"about"機能は特定のウェブ・ブラウザの表示情報指示(例えば about:cache, about:authors等)を調べる特に利用される。悪用例として下記の如く特定のユーザのanydomain.com用の cookieを警戒ウィンドー表示させてしまう事が出来る。
about://www.anydomain.com/<script language=JavaScript>alert(document.cookie);
攻撃者は、実際cookieのコンテンツを表示させない代わりに、悪意のあるURLにユーザを誘導させ、cookie情報をサーバの別のスクリプトに移す事によって隠蔽、保存する事ができる。
情報ソース:
・BugTraq (Jouko Pynnonen, jouko@solutions.fi), Nov. 08, 2001
・Microsoft Corp. (Security Bulletin MS01-055) Nov. 08, 2001
http://www.microsoft.com/technet/security/bulletin/ms01-055.asp
分析:
ユーザ一が一度アプリケーション(例えばHotmail、アマゾン、イーベイなど)にログ・オンすれば、ウェブサイト内の各個所に行くのに一々パスワードの再入力の必要をなくす為、認証データを格納する機能として役立つ。 例えば、ユーザが銀行やショッピングなどのサイトにアクセスする際にログオン画面で"Remember Me"機能の選択をオンにしておくと、攻撃者はcookie情報を入手する事で、ユーザ名やパスワード無しで、ユーザ権限を悪用する事ができる。特に銀行など金融関連ではユーザが、オープンブラウザでアクセスしていると(セッション中に)、接続している間に攻撃者はウェブのログオンに関する情報を盗み出す事ができる。
検知方法:
IE 5.5およびIE 6.0のバージョンに脆弱性あり。
リカバリー方法:
ログイン情報などクッキーに格納されている情報の漏洩の危険があると思われる場合は、クッキー情報が格納されていると思われるウェブにアクセスし、Remember meの選択を外す。
暫定処理:
アウトルック 電子メールセキュリティのアップデートを行っていれば、悪意のあるコードの潜んでいるURLをHTMLベースの電子メールで開封しても脅威に曝される事はない。
アップデートは
http://office.microsoft.com/downloads/2000/Out2ksec.aspx
より入手可能。
システム管理者は、デスクトップ・ウェブ・ブラウザ上の稼動中にスクリプト書き換え防止を以下の2つの方法から選択し実行すると良い。
IE経由、次の手順に従う:
1.ツールのドロップダウンメニューよりインターネット・オプション選択。
2.セキュリティ・タブをクリック。
3.レベルのカスタマイズをクリック。
4.アクティブ・スクリプティングが表示されるまでスクロールし、無効にする。
SMSまたはログオンのスクリプトの規制を利用する場合は、次のレジストリ変更によりクライアント・ホスト側のアクティブ・スクリプティンングの書き換えを規制できる:
HKLMSoftwareMicrosoftWindowsCurrentVersionInternet Settingsones
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settingsones
その際、各ゾーンで稼動中のスクリプトの書き換えを規制する為、DWORDの値を変更する必要がある。デフォルトでREG_WORDの値"1400"を"3"("0"から)に設定変更する事により、アクティブスクリプティングを規制できる。HKCAの設定も即座に有効になる。但し、HKLMの設定は再起動を要求してくる。
ベンダー情報:
マイクロソフト社からパッチはリリースされていない。
(詳しくはScan本誌をご覧下さい)
http://www.vagabond.co.jp/vv/m-sc.htm
※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【19:05 GMT、11、9、2001】
《ScanNetSecurity》