[Sicurezza] Universal Cross Site Scripting (XSS) in Internet Explorer 11

Parliamo qui dei rootkit hypervisor-level, ma anche di quale piattaforma mobile preferire o delle ripercussioni di Facebook sulla nostra privacy.
Regole del forum
Rispondi
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

[Sicurezza] Universal Cross Site Scripting (XSS) in Internet Explorer 11

Messaggio da hashcat » mar feb 03, 2015 8:35 pm

La gravità della vulnerabilità è notevole: visitando una pagina strutturata ad hoc, viene bypassata completamente la Same Origin Policy (SOP). Ciò comporta che:
Gli attaccanti possono rubare qualsiasi risorsa da un altro dominio^ ed iniettare codice attivo in un altro dominio
Inoltre, volendo, è possibile scavalcare anche un'eventuale Content Security Policy imposta dal dominio bersaglio. Ad esempio come quella proposta (ma al momento non ancora implementata) per TLI (QUI).

^Un dominio differente da quello visitato.

PoC (LINK) e discussione su Full Disclosure (LINK).

NOTA: TurboLab.it non è affetto perché impone, oltre ad alcune regole suggerite in QUESTA discussione, la policy di poter essere incorporato in una pagina solo se la richiesta proviene da una pagina locata nello stesso dominio.

P.S.: La vulnerabilità non è stata ancora corretta.

:ciao
“The quieter you become, the more you can hear”

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: [Sicurezza] Universal Cross Site Scripting (XSS) in Internet Explorer 11

Messaggio da System » mar feb 03, 2015 8:35 pm


Avatar utente
developerwinme
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1319
Iscritto il: mer mag 01, 2013 1:35 pm
Località: Como
Contatta:

Messaggio da developerwinme » mer feb 04, 2015 8:31 am

Vulnerabilità piuttosto pericolosa, grazie per la segnalazione: Leggo che Microsoft ha riconosciuto il difetto, spero che entro pochi giorni sia pronta una correzione, credo che la circostanza meriti un rilascio di aggiornamento all'infuori del ciclo mensile (che questo mese cade tra pochi giorni, il 10 febbraio).

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re:

Messaggio da hashcat » mer feb 04, 2015 12:47 pm

developerwinme ha scritto:Vulnerabilità piuttosto pericolosa, grazie per la segnalazione: Leggo che Microsoft ha riconosciuto il difetto, spero che entro pochi giorni sia pronta una correzione, credo che la circostanza meriti un rilascio di aggiornamento all'infuori del ciclo mensile (che questo mese cade tra pochi giorni, il 10 febbraio).
Stando a quanto riportato nella mailing list di Full Desclosure, la vulnerabilità è stata resa nota a Microsoft il 13 Ottobre 2014 mentre il primo post pubblico è del 31 Gennaio 2015 quindi (circa 3 mesi e 18 giorni dopo la segnalazione privata). Credo sia stata esposta pubblicamente proprio per "spronare" Microsoft ad occuparsene (in tempi ragionevoli).

:fiu
“The quieter you become, the more you can hear”

Avatar utente
developerwinme
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1319
Iscritto il: mer mag 01, 2013 1:35 pm
Località: Como
Contatta:

Re: [Sicurezza] Universal Cross Site Scripting (XSS) in Internet Explorer 11

Messaggio da developerwinme » mer feb 04, 2015 1:09 pm

hashcat ha scritto:
developerwinme ha scritto:Vulnerabilità piuttosto pericolosa, grazie per la segnalazione: Leggo che Microsoft ha riconosciuto il difetto, spero che entro pochi giorni sia pronta una correzione, credo che la circostanza meriti un rilascio di aggiornamento all'infuori del ciclo mensile (che questo mese cade tra pochi giorni, il 10 febbraio).
Stando a quanto riportato nella mailing list di Full Desclosure, la vulnerabilità è stata resa nota a Microsoft il 13 Ottobre 2014 mentre il primo post pubblico è del 31 Gennaio 2015 quindi (circa 3 mesi e 18 giorni dopo la segnalazione privata). Credo sia stata esposta pubblicamente proprio per "spronare" Microsoft ad occuparsene (in tempi ragionevoli).

:fiu
Stando così le cose, supponendo che dietro al ritardo si celino potenziali problemi di compatibilità (non vedo altri motivi leciti per ritardare la risoluzione del problemi): mi auguro ancora che la patch venga sviluppata in fretta, ma senza produrre un aggiornamento dal basso livello qualitativo (come accaduto più volte in precedenza, di recente, per aggiornamenti di Microsoft).

Riguardo la pratica di pubblicare un proof-of-concept e i dettagli di come sfruttare una vulnerabilità continuo a rimanere perplesso: Quando si tratta di falle che riguardano un numero estremamente ampio di utenti (con le relative problematiche di compatibilità e testing degli aggiornamenti), come per prodotti molto diffusi (e con basi di codice estremamente ampie) quali Internet Explorer, iOS, Android, Windows ecc..., credo che 3 mesi (o poco più. come sembra essere lo "standard", visti i recenti casi delle falle pubblicate da Google) possano, in determinati casi, non essere una quantità ragionevole di tempo per la risoluzione del problema: sarebbe interessante sapere se Microsoft ha risposto o meno alla segnalazione di Ottobre confermando al segnalatore che un aggiornamento era previsto.
Comunque, questa è una mia considerazione personale, ampiamente OT, quindi chiudo qui :)
Marco Adriani
developerwinme.wordpress.com

Avatar utente
developerwinme
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1319
Iscritto il: mer mag 01, 2013 1:35 pm
Località: Como
Contatta:

Re: [Sicurezza] Universal Cross Site Scripting (XSS) in Internet Explorer 11

Messaggio da developerwinme » mer feb 04, 2015 1:20 pm

Ho confermato la falla su Internet Explorer 11.0.15 su Windows 8.1 Update (sia versione desktop che Metro), mentre su Windows Phone 8.10.14219.341 (che usa una versione mobile di Internet Explorer 11), ultima versione disponibile, la falla non è presente.
Marco Adriani
developerwinme.wordpress.com

Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 4243
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: [Sicurezza] Universal Cross Site Scripting (XSS) in Internet Explorer 11

Messaggio da Zane » mer feb 04, 2015 6:10 pm

Grazie per la segnalazione.

Concordo: è sicuramente una vulnerabilità piuttosto seria. Non mi stupirei se l'update fosse già pronto e arrivasse prox sett con il patch day di febbraio... in caso contrario, ora che il PoC è fuori, my aspetto un out-of-band nettamente prima del patch day di marzo...
Zane - TurboLab.it

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: [Sicurezza] Universal Cross Site Scripting (XSS) in Internet Explorer 11

Messaggio da hashcat » mer feb 04, 2015 8:42 pm

developerwinme ha scritto:su Windows Phone 8.10.14219.341 (che usa una versione mobile di Internet Explorer 11), ultima versione disponibile, la falla non è presente.
Buono a sapersi!

:approvo
“The quieter you become, the more you can hear”

Avatar utente
developerwinme
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1319
Iscritto il: mer mag 01, 2013 1:35 pm
Località: Como
Contatta:

Re: [Sicurezza] Universal Cross Site Scripting (XSS) in Internet Explorer 11

Messaggio da developerwinme » mer feb 11, 2015 9:00 am

Nel Patch Tuesday di questo mese la falla non è stata corretta ( http://blogs.msdn.com/b/ie/archive/2015 ... lorer.aspx ).

Nei commenti al post, Eric Law, ex membro del team di sviluppo di Internet Explorer (probabilmente anche di posizione elevata: parecchi post ufficiali del blog di IE relativi allo sviluppo di IE 9 e precedenti sono firmati da lui), ha chiesto esplicitamente notizie riguardo la falla in questione: la risposta di un membro del team è stata:
We’re not aware of this vulnerability being actively exploited and are working to address it with an update.
Nel commento di risposta, che condivido, lo stesso Law fa notare che i meccanismi incorporati nel browser per la segnalazione di crash e telemetria in genere non permettono di rilevare se la falla in questione venga utilizzata per attacchi mirati, quindi in questo caso il rischio è di allungare i tempi solo perché Microsoft non rileva che la falla è attivamente utilizzata, mentre magari invece lo è.

Sulla base della risposta, la linea di MS sembra quella di non rilasciare un aggiornamento straordinario: mi auguro che cambino idea. :(
Marco Adriani
developerwinme.wordpress.com

Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 4243
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: [Sicurezza] Universal Cross Site Scripting (XSS) in Internet Explorer 11

Messaggio da Zane » mer feb 11, 2015 11:10 am

Grazie Dev! Fammi dire che hanno dato una risposta un po' del cavolo: ci sono mille motivi per cui la telemetria può non aver riportato un attacco mirato già andato a buon fine (perchè il browser non crasha, ad esempio!) ( :s:s Speriamo davvero cambino idea...
Zane - TurboLab.it

Avatar utente
developerwinme
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1319
Iscritto il: mer mag 01, 2013 1:35 pm
Località: Como
Contatta:

Re: [Sicurezza] Universal Cross Site Scripting (XSS) in Internet Explorer 11

Messaggio da developerwinme » mer feb 11, 2015 11:25 am

Zane ha scritto:Fammi dire che hanno dato una risposta un po' del cavolo: ci sono mille motivi per cui la telemetria può non aver riportato un attacco mirato già andato a buon fine
Concordo al 100%.

Sicuramente hanno a disposizione una tra le migliori strumentazioni sul mercato per la telemetria del software, ma questa specifica falla mi sembra particolarmente difficile da individuare tramite telemetria.

L'unica che mi viene in mente è che Windows Defender/MSE possa intercettare codice potenzialmente malevolo nell'HTTP tramite il controllo di rete (processo NirSrv.exe, per intenderci)) e che quindi stiano usando quel canale (magari insieme a cooperazione con altre case che producono software per la sicurezza) per tenere d'occhio la situazione, ma mi sembra una rilevazione abbastanza debole.
Marco Adriani
developerwinme.wordpress.com

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Re:

Messaggio da hashcat » gio feb 12, 2015 10:09 pm

hashcat ha scritto:Credo sia stata esposta pubblicamente proprio per "spronare" Microsoft ad occuparsene (in tempi ragionevoli).

:fiu
Visto l'andamento si rafforza la mia opinione: è stata una mossa ragionevole.
“The quieter you become, the more you can hear”

Avatar utente
developerwinme
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1319
Iscritto il: mer mag 01, 2013 1:35 pm
Località: Como
Contatta:

Re: [Sicurezza] Universal Cross Site Scripting (XSS) in Internet Explorer 11

Messaggio da developerwinme » mar mar 10, 2015 11:37 pm

Falla turata (insieme con un nutrito numero di problemi, incluso FREAK): https://technet.microsoft.com/library/security/MS15-018
Marco Adriani
developerwinme.wordpress.com

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: [Sicurezza] Universal Cross Site Scripting (XSS) in Internet Explorer 11

Messaggio da System » mar mar 10, 2015 11:37 pm


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio