Problem dotyczy przeglądarki Microsoftu w najpopularniejszej (choć nie najnowszej) wersji - 6.0 (oraz 5.0). Osoby korzystające z najnowszego wydania - 7.0 - mogę więc spać spokojnie.
Z ustaleń ekspertów z Rapid7 wynika, że błąd w MSIE pozwala na przejęcie sesji FTP - aczkolwiek aby to było możliwe, muszą zostać spełnione określone warunki. Po pierwsze, napastnik musi znać login "ofiary"; po drugie - atak musi zostać przeprowadzony, gdy "ofiara" będzie podłączona do danego serwera FTP właśnie za pośrednictwem Internet Explorera. W takiej sytuacji atakujący może uzyskać dostęp do sesji (poprzez wysłanie do przeglądarki odpowiednio zmodyfikowanego odnośnika FTP) - będzie mógł wtedy dowolnie przeglądać, modyfikować czy kasować pliki na serwerze FTP. Co ważne, atak może zostać przeprowadzony np. za pośrednictwem niewidocznego dla użytkownika komponentu iFrame - jest więc bardzo prawdopodobne, że ofiara w ogóle go nie zauważy.
Atak na znajomego?
Przedstawiciele Rapid7 przyznają, że możliwości przeprowadzenia takiego ataku są dość ograniczone (napastnik musi znać login ofiary) - nie znaczy to jednak, że luka nie jest groźna i że nie może być wykorzystana do atakowania użytkowników IE. "Ten błąd to świetny sposób na wykradanie danych" - mówi Derek Abdine, szef inżynierów w Rapid7.
Odkrycia Abdine'a i jego kolegów potwierdza Craig Schmugar, analityk z McAfee Avert Labs: "Faktycznie, w zabezpieczeniach przeglądarki znajduje się luka, pozwalająca na uzyskanie nieautoryzowanego dostępu do FTP - ale powodzenie ataku uzależnione jest od idealnego zgrania kilku czynników. Nie dość, że najpierw do serwera musi zalogować się "legalny" użytkownik, to jeszcze serwer ten musi mieć ustawione dość słabe zabezpieczenia" - tłumaczy Schmugar.
Odkrywcy błędu informują, że w drugiej połowie stycznia zgłosili problem Microsoftowi - skoro jednak koncern do tej pory nie załatał luki, to specjaliści z Rapid7 zdecydowali się na opublikowanie prototypowego exploita, demonstrującego mechanizm problemu (w nadziei, że skłoni to koncern z Redmond do przygotowania odpowiedniego patcha).
Powtórka z rozrywki
Warto wspomnieć, że Microsoft już raz załatał w IE bardzo podobną lukę - nastąpiło to w sierpniu 2006. Przygotowane wtedy zbiorcze uaktualnienie (cumulative patch) dla Internet Explorera spowodowało zresztą spore zamieszanie - okazało się, że usuwające kilkanaście luk poprawka sama zawierała poważny błąd w zabezpieczeniach, który koncern musiał awaryjnie łatać (problem wykryto dopiero po udostępnieniu patcha).
Przedstawiciele Microsoftu potwierdzili doniesienia Rapid7 - w wydanym właśnie oświadczeniu koncern tłumaczy, że problem nie dotyczy najnowszej wersji IE i że do firmy nie dotarły żadnego sygnały o wykorzystywaniu luki do atakowania użytkowników przeglądarki. Nie wiadomo na razie, czy firma przygotuje poprawkę dla Internet Explorera 6 (raczej na pewno nie należy spodziewać się usunięcia błędu z IE5 - Microsoft nie uaktualnia już tej wersji).
Daniel Cieślak
