De standaardinstellingen van Internet Explorer 7 en 8 zijn onveilig en zorgen ervoor dat crackers toegang kunnen krijgen tot interne applicaties en netwerken, zo meent een Argentijnse beveiligingsonderzoeker.
Cesar Cerrudo heeft een onderzoek gepubliceerd waarin hij vertelt hoe de instellingen van de intranetzone zowel aanvallers van binnen als buiten een organisatie toegang tot vertrouwelijke informatie kunnen verschaffen.
Omdat de instellingen van de intranetzones in Internet Explorer eerder vertrouwd worden dan die van de internetzones, zijn ze makkelijker uit te buiten door aanvallers. Zo staat automatisch aanmelden in de intranetzone standaard aan, kunnen ook websites met minder rechten deze zone bereiken, worden vensters gestart door scripts toegestaan, kunnen websites vensters met adresbalk of statusbalk openen en is standaard het cross-site scripting-filter uitgeschakeld voor deze zone.
In het onderzoek van Cerrudo worden verschillende aanvalsceneraio’s beschreven, zoals ‘phishing in de Windows-desktop’. Zo is het via een een cross-site scripting-kwetsbaarheid mogelijk een nep-Windows-aanmeldscherm te maken en zo gegevens van gebruikers te stelen.
Een andere optie is het uploaden van HTML-code naar de intranetwebsite. Deze aanval wordt omschreven als cross site SQL injection (XSSQLI), een combinatie van cross site request forgery (XSRF) en SQL-injectieaanvallen.
De problemen worden vooral veroorzaakt omdat intranetapplicaties vaak onveiliger zijn dan internetapplicaties. Er wordt namelijk bij die applicaties minder vaak een audit uitgevoerd. Daarnaast menen veel beheerders dat die applicaties beschermd zijn door externe netwerksegmentatie, maar dat is niet zo. "Deze acties en aannamen zorgen ervoor dat intranetwebsites kwetsbaarder en eenvoudiger zijn aan te vallen."
Overigens is het aanvallen van het intranet via het web niet nieuw. Vier jaar geleden werden al met op JavaScript-gebaseerde aanvallen voor websites gedemonstreerd hoe ook het intranet is aan te vallen. Echter zijn de aanvallen van Cerrudo zeer praktisch en gewoon uit te voeren vanuit Internet Explorer.
"Het wordt allemaal via het internet gedaan, door Internet Explorers zwakke standaardbeveiligingsinstellingen te misbruiken", vertelt Cerrudo. "Alle aanvallen zijn gevaarlijk en kunnen resulteren in het compromitteren van de hosts, servers en netwerk tot het stelen, wijzigen of vernietigen van gegevens."
Als oplossing wordt aangedragen beveiligingslekken in de webapplicatie op te lossen. Daarnaast zouden de standaardinstellingen van Internet Explorer gewijzigd kunnen worden zodat de instellingen voor de internetzone ook gebruikt worden voor de intranetzone. Echter zou dit voor sommige gebruikers problemen op kunnen leveren.
Het zou bovendien handig zijn als Internet Explorer ook zelf ingestelde beveiligingszones zou ondersteunen. "Iets wat IE nu mist is de gebruiker zelf beveiligignszones te laten instellen waar websites aan kunnen worden toegevoegd en beveiligingsinstellingen aan de hand van verschillende behoeften zijn in te stellen."
2 uur geleden
