IE-bug zou phishing met Google Desktop mogelijk maken

Volgens hacker Matan Gillon stelt een bug in Microsoft Internet Explorer phishers in staat om de harddrives van gebruikers van Google Desktop (of vergelijkbare applicaties) op privacygevoelige informatie te scannen. De fout zou zitten in de manier waarop Internet Explorer stylesheets afhandelt; dit zou het mogelijk maken om ongeldige objecten te importeren alsof het stylesheets zijn - waardoor een 'cross site scripting'-aanval kan worden opgezet. Gillon heeft op zijn weblog proof-of-concept-code gepubliceerd. De hacker zegt erin geslaagd te zijn stiekem zoekopdrachten los te laten op de harddrives van bezoekers van een testsite die hij had opgezet. Inmiddels zou Google zijn code iets hebben aangepast waardoor Gillon's code op dit moment niet meer werkt; gegeven dat het stylesheet-probleem nog wel bestaat zou dat echter geen garantie zijn dat Internet Explorer-gebruikers van Google Desktop zich geen zorgen meer hoeven te maken. Voor een succesvolle aanval is het nodig dat slachtoffers naar een kwaadaardige website worden geleid. Gillon zegt dat het uitzetten van 'Active Scripting' in de opties van Internet Explorer het bevissen van de lokale schijf onmogelijk maakt. Alternatieve browsers zoals Firefox en Opera zouden geen last hebben van het probleem.

IT-banen

Reacties (21)

Cameleon73 5 december 2005 07:51

Even voor de duidelijkheid ('t werd ook al een keer aangestipt hierboven): Active Scripting is NIET ActiveX. Active Scripting is de (enigszins verwarrende) naam voor JScript ... de Microsoft implementatie van JavaScript. Als je in IE 'Active Scripting' uitzet, schakel je dus alle JavaScripts uit.

By the way, ik heb die proof of concept nu op verschillende machines gedraaid, maar ik krijg alleen maar 'Failed retrieving the Google Desktop link'. 't Lijkt erop dat in m'n news.google.com pagina net niet goed genoeg is om de Desktop link uit te vissen...

MaTriCX @Cameleon73 • 5 december 2005 08:00

Update: The proof of concept no longer works because Google slightly changed their site's code.

Het is erg netjes van Google om het probleem tijdelijk op te lossen, zodat scriptkiddies geen schade kunnen aanrichten.
Daarmee is - zoals het bericht al aangeeft - het probleem jammer genoeg niet verholpen.

Verwijderd 5 december 2005 00:25

Wat mij nog meer zorgen baart is het feit dat Google dus blijkbaar verschillende methoden door elkaar gebruikt om tot dezelfde oplossing te komen. Immer suggeert:

Gillon zegt dat het uitzetten van 'Active Scripting' in de opties van Internet Explorer het bevissen van de lokale schijf onmogelijk maakt. Alternatieve browsers zoals Firefox en Opera zouden geen last hebben van het probleem.

dat het programma ook gewoon werkt zonder active scripting met IE. Dit betekent dus dat Google speciaal voor IE een Active Scripting implementatie heeft gemaakt, terwijl de alternatieve methode voor alle browser werkt. Het lijkt wel Windows op die manier

.

Hopelijk halen ze dit soort truckjes niet teveel uit, want dan is de kans groot dat er nog veel exploits en problemen gaan komen in de Google tools en met de meest gebruikte zoekmachine, een populaire emailclient en ook de andere tools die gretig aftrek vinden, wil je als systeembeheerder niet nog meer gerotzooi.

Het draaien van een lokale webserver om te kunnen zoeken in je eigen bestanden vind ik trouwens ook erg NOT DONE. Geen idee wie het heeft gebouwd, maar volgens mij hadden ze best wat andere oplossingen mogen bedenken. Mijn baas zou me levend villen als ik met zo'n oplossing aan zou komen.

@cSp: Ach ja, verrek. Eerste punt heb je helemaal gelijk. Niet helemaal goed gelezen. Het zal wel bedtijd wezen

Verwijderd @Verwijderd • 5 december 2005 00:36

Nou snap ik de techniek hierachter ook niet helemaal, maar het lijkt me nogal zinloos dat Google speciaal voor IE een ActiveX script maakt dat uiteindelijk tot hetzelfde resultaat leidt als wanneer je ActiveX uitzet. M.a.w.... dat doet Google niet.

Ik denk dat het stukje code aan de phisher-kant bestaat uit ActiveX code. Deze stuurt dan Google aan, en verkrijgt door een bugje in IE inzicht in de harde schijf.

CyberSnooP @Verwijderd • 5 december 2005 00:56

Dit betekent dus dat Google speciaal voor IE een Active Scripting implementatie heeft gemaakt, terwijl de alternatieve methode voor alle browser werkt.

Dit is absoluut onjuist. De kwaadaardige website maakt gebruikt van scripts om Internet Explorer gegevens van webpagina's uit een ander domein door te spelen naar de kwaadaardige website. GDS (Google Desktop Search) speelt hier geen actieve rol in bij en gebruikt dus ook geen active scripting van IE.

Het draaien van een lokale webserver om te kunnen zoeken in je eigen bestanden vind ik trouwens ook erg NOT DONE.

Google is wat zoeken betreft nou eenmaal bekend met google.com dus het wil zijn diensten daarin integreren. Om nu te voorkomen dat ze voor ieder browsend programma een nieuwe implementatie (met nieuwe bugs) moeten maken in de vorm van plug-ins kiezen ze ervoor om één systeem brede implementatie in de vorm van een webserver die zoekpagina's van google aanpast te maken.

Het probleem zit hem niet in de webserver rol van GDS maar in het feit dat de Internet Explorer willekeurige websites toestaat informatie uit de interface van Google te vissen. Het probleem had zich niet (in enige vorm) voorgedaan als GDS zich alleen met een andere interface dan webpagina's had aangeboden aan de gebruiker, maar dat is een begrijpelijke keuze.

YaPP @Verwijderd • 5 december 2005 13:55

Dit betekent dus dat Google speciaal voor IE een Active Scripting implementatie heeft gemaakt, terwijl de alternatieve methode voor alle browser werkt. Het lijkt wel Windows op die manier

Nee, de exploit werkt omdat:
* IE een geen veiligheidscontroles uitvoert op bestanden van andere domeinen die via een CSS-import geladen worden.
* IE de mogelijkheid biedt om CSS imports at-runtime uit te voeren.
* IE de mogelijkheid biedt om de originele CSS source te tonen.

Het draaien van een lokale webserver om te kunnen zoeken in je eigen bestanden vind ik trouwens ook erg NOT DONE. Geen idee wie het heeft gebouwd, maar volgens mij hadden ze best wat andere oplossingen mogen bedenken. Mijn baas zou me levend villen als ik met zo'n oplossing aan zou komen.

Wel nuttig om te vermelden dat de webserver aan je localhost interface gekoppeld is, en dus NIET vanaf een ander systeem te benaderen is.

daft_dutch 5 december 2005 01:06

Niet de fout van Google, Ook erg netjes dat ze snel reageren om de fout proberen aan tepassen. kan MS wat van leren. Maar de bug blijft bestaan dus onbekent of het gevaar is geweken.
Dit zou nu namelijk wel de attentie van de phishers hebben getrokken.
phishing met zoek funcite wat wil je nog meer.

btw waarom accepteerd MS niet dat er iets grondigs fout is aan active x en herschijft het.

CyberSnooP @daft_dutch • 5 december 2005 01:27

btw waarom accepteerd MS niet dat er iets grondigs fout is aan active x en herschijft het.

Omdat ActiveX geen rol speelt in deze en het niet te herschrijven valt omdat de techniek ook buiten de internet wereld een rol speelt.

Wat ActiveX betreft heeft Microsoft het eenvoudige gebruik voor integratie van software in Internet Explorer toch al redelijk herzien en lastiger gemaakt.

Wat deze fout betreft komt het er op neer dat er weer een zogeheten Cross Site Scripting (XSS) bug in Internet Explorer is ontdekt waar bij het "scripting" deel verwijst naar Javascript. De beweging die het web naar Web 2.0 maakt kan niet zonder een vorm van scripting dus dat compleet verwijderen gaat niet en dan heb je altijd het risico op security bugs.

Verwijderd @daft_dutch • 5 december 2005 01:59

Tja het is natuurlijk veel makkelijker om aan 1 site een wijziging door te voeren dan de hele installed base van IE te upgraden. Nogal wiedes dus dat Google dat snel kan oplossen.

JoetjeF 5 december 2005 00:50

Het is jammer dat dit artikel doet lijken alsof het en bug in zowel IE als Google is. De bug in IE is echter met elke toepassing te misbruiken, Gillon heeft toevallig Google Desktop als voorbeeld genomen. In principe is elke applicatie die IE's cross-domain security model gebruikt kwetsbaar.

Zie ook:
http://news.zdnet.com/2100-1009_22-5980623.html
http://www.eweek.com/article2/0,1895,1895579,00.asp

Verwijderd 5 december 2005 10:39

Even een noob vraag, maar wat is phishing precies?

Cameleon73 @Verwijderd • 5 december 2005 11:19

Wikipedia weet het antwoord

gamepower2005 @Verwijderd • 5 december 2005 12:34

Uit het artikel zou je bijna kunnen opmaken dat fishing inhoudt dat je bestanden (of informatie over..) van het slachtoffer z'n pc afhaalt.

Pishing is altijd nog het uitlokken van gevoelige gegevens geven bijv. door het namaken van de Postbank.nl website, en mensen laten "inloggen".

Verwijderd 5 december 2005 00:20

Een stylesheet hack lijkt mij echt alleen maar mogelijk als de browser ingebakken zit in het OS... Net zoiets als die simpele bug waarbij je direct toegang had tot bestanden zonder dat je het doorhad.

Als IE7 zich niet meer diep in Windows zou manifesteren zou dat denk ik een hoop uitmaken voor de veiligheid ervan. Maar het zal wel weer niet helaas.