Microsoftin Egde ja Internet Explorer -selaimissa korjaamaton XSS-haavoittuvuus

Haavoittuvuus7/2019

Tietoturvatutkija James Lee on löytänyt Microsoftin Edge ja Internet Explorer -selaimista haavoittuvuuden, jonka avulla hyökkääjä voi ohittaa selaimen suojauksia ja asettaa haitallista koodia muille sivustoille.

Lee on julkaissut Twitterissä haavoittuvuuksista demonstraatioita, jossa Universal Cross Site Scripting (UXSS) -haavoittuvuuden toimintaa esitellään lisäämällä sivuille harmitonta sisältöä.

Maaliskuun lopulla julkaistut haavoittuvuudet mahdollistavat haitallisen webisivun hakemaan sisältöä miltä tahansa sivulta, jolla uhri on aiemmin vierailut haavoittuvalla selaimella. Haavoittuvuuden avulla hyökkääjän on mahdollista asettaa toiselle verkkosivulle haitallista ohjelmakoodia houkuttelemalla ensin uhri omalle sivustolleen. Tämä voi tapahtua myös käyttäjän huomaamatta. Hyökkääjän ohjelmakoodin asettaminen vieraille verkkosivuille mahdollistaa mm. käyttäjätunnuksien ja salasanojen urkkimisen, kirjautuneen session haltuunottamisen sekä altistaa käyttäjän haittaohjelmalatauksille tai muulle haitalliselle sisällölle. Haavoittuvuutta on kuvattu universaaliksi siksi, että se ei toimiakseen edellytä haavoittuvuuksia kohdesivustossa, vaan hyväksikäyttää selaimen haavoittuvuuksia.

Hyökkäys ohittaa ns. Same Origin Policy (SOP) -suojauksen, joka toimiessaan estää vieraita sivuja asettamasta ohjelmakoodia toisille verkkosivustoille.

SOP on moderneissa selaimissa oleva tietoturvaominaisuus, joka estää yhdestä osoitteesta ladattavan resurssin (kuten websivun tai skriptin) interaktion toisessa paikassa sijaitsevan resurssin kanssa. Toisin sanoen SOP mahdollistaa sen, että sivusto voi ladata sisältöä vain samasta domainista, jolla sivusto itse on.

Päivitystä odotellessa ongelmaa voi rajoittaa käyttämällä vaihtoehtoista verkkoselainta.

Kohde

  • Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Suojauksen ohittaminen
  • Käyttövaltuuksien laajentaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Ongelman rajoittaminen
  • Ei päivitystä