На недавней хакерский конференции в Швейцарии итальянский исследователь Розарио Валотта (Rosario Valotta) продемонстрировал интересный баг в IE 7/8/9, позволяющий скопировать кукисы с компьютера пользователя.
По аналогии с кликджекингом, метод работает через прозрачный iframe, куда выводится список файлов из папки с кукисами. Над ним размещается ещё один элемент, который пользователь перетягивает на другой фрейм с минимальными настройками безопасности (Security Zones в IE), фактически добровольно отдавая файлы злоумышленнику. В своём блоге Розарио Валотта выложил красивый паззл c полуобнажённой девушкой, где кусочки мозаики нужно убирать в сторону — и за несколько дней он получил кукисы от 80 из 150 своих френдов на Facebook. Сайт Валотты на хостинге Google уже отключен за нарушение ToS.
Более подробно об уязвимости сказано в его презентации на хакерской конференции: см. слайды и видео.
Фрагмент с демонстрацией непосредственно кукиджекинга здесь.
Ещё в январе Розарио Валетта отправил информацию об этом баге в Microsoft Security Response Center, но до сих пор не получил ответа. Более того, через несколько месяцев вышел финальный релиз IE9 с тем же багом, хотя было видно, что его попытались закрыть, но не совсем удачно.
27 мая менеджер Microsoft Security Response Center наконец-то официально прокомментировал так называемый 0-day exploit. По его мнению, поскольку подобный способ воровства кукисов требует от пользователя зайти на вредоносный сайт и совершить определённые действия, то данная атака является маловероятной и Microsoft не считает серьёзной эту уязвимость.
Однако, независимые аналитики уверены, что Microsoft ошибается. По их словам, кукиджекинг только на первый взгляд кажется примитивным и нетехническим экплоитом, но на самом деле это эффективная техника, которая может стать очень популярной среди злоумышленников, если дыру не закроют.
По аналогии с кликджекингом, метод работает через прозрачный iframe, куда выводится список файлов из папки с кукисами. Над ним размещается ещё один элемент, который пользователь перетягивает на другой фрейм с минимальными настройками безопасности (Security Zones в IE), фактически добровольно отдавая файлы злоумышленнику. В своём блоге Розарио Валотта выложил красивый паззл c полуобнажённой девушкой, где кусочки мозаики нужно убирать в сторону — и за несколько дней он получил кукисы от 80 из 150 своих френдов на Facebook. Сайт Валотты на хостинге Google уже отключен за нарушение ToS.
Более подробно об уязвимости сказано в его презентации на хакерской конференции: см. слайды и видео.
Фрагмент с демонстрацией непосредственно кукиджекинга здесь.
Ещё в январе Розарио Валетта отправил информацию об этом баге в Microsoft Security Response Center, но до сих пор не получил ответа. Более того, через несколько месяцев вышел финальный релиз IE9 с тем же багом, хотя было видно, что его попытались закрыть, но не совсем удачно.
27 мая менеджер Microsoft Security Response Center наконец-то официально прокомментировал так называемый 0-day exploit. По его мнению, поскольку подобный способ воровства кукисов требует от пользователя зайти на вредоносный сайт и совершить определённые действия, то данная атака является маловероятной и Microsoft не считает серьёзной эту уязвимость.
Однако, независимые аналитики уверены, что Microsoft ошибается. По их словам, кукиджекинг только на первый взгляд кажется примитивным и нетехническим экплоитом, но на самом деле это эффективная техника, которая может стать очень популярной среди злоумышленников, если дыру не закроют.
