Ошибка в Microsoft Internet Explorer позволяет
атакующему исполнять нападение SSL, при этом
большинство пользователей не определят его.
Единственный способ обнаружить нападение
заключается в сравнении вручную имени
сервера и названия, имеющемся в
свидетельстве.
Существует уязвимость в способе, которым
IE проверяет HTTPS объекты, внедреные в обычные
HTTP-страницы. Согласно тестам, IE делает
проверку только в случае, если сертификат
HTTP сервера должным образом подписан
доверенным сертификатом, но полностью
игнорирует проверку, если сертификат с
таким именем уже существует или срок его
действия истек. Это, фактически, не опасно,
потому что пользователь традиционно
рассматривает объекты HTTPS, внедренные в HTTP-страницу,
как небезопасные. Проблема заключается в
том, что IE помечает свидетельство как «доверяемое»
и кэширует этот сертификат «доверия» до
окончания сеанса броузера. Это означает,
что после того, как только вы посетили
нормальную HTTP страницу, которая включает
образ от MIMed SSL сервера, IE не будет
предупреждать вас о недопустимых
свидетельствах сайтов все время, пока
длится дальнейший сеанс просмотра.
Напрашивается возможный сценарий атаки:
Хакер выполняет MIM нападение на HTTP/HTTPs в
подсети вашего сайта. НТТР-часть атакующего
инструмента автоматически добавляется в
конец:
<Img src="https://www.yoursite.com/nonexistent.gif " width=1
height=1>
В любой HTML-странице или части HTTP, которые возвращаются браузеру вашего клиента будет правильное, но перехваченное свидетельство. IE только проверит, был ли сертификат подписан доверенным свидетельством, после чего попытается отобразить изображение, и не будет сравнивать название внутри сертификата или проверять срок его годности.
Если клиент попробует теперь войти на ваш сайт через HTTP, IE рассмотрит сертификат заслуживающим доверия, и не будет проверять его снова. Единственный способ клиенту убедиться, что его «накалывают», это вручную проверить имя сервера в сертификате. Но, как вы догадываетесь, только параноики стали бы проверять соответствие имен в этом случае. Большинство людей не только не делают этого, но даже и не знают, что это можно осуществить, и уж тем более не знают, как это делается.
Для доказательства концепции web-страница
была помещена на http://suspekt.org. После клика на
"безопасную страницу" IE
пошлет вашу программу просмотра на https://suspekt.org
без предупреждения, что сертификата для
этого сервера нет. IE сообщит вам, что
страница безопасна, хотя сертификат
незаконен и любой имеющий такое
свидетельство может отслеживать и
расшифровывать ваш трафик в реальном
времени.
На сегодняшний день компания Microsoft
все еще не выпустила патч, хотя она имели
почти месяц времени на устранение ошибки.
Вместо этого, господа ограничиваются
утверждениями, что проблема сложная.
Поскольку реальное положение дел
неизвестно, невозможно проверить
справедливость этих утверждений, хотя,
исправление - всего лишь дело пары строчек. К сожалению, сейчас -
рождественское и предновогоднее время и
миллионы клиентов во всем мире закупают
подарки в Internet. Это означает, что эти
миллионы клиентов осуществляют покупки с
риском для безопасности своих персональных
данных. Поскольку не имеется никаких заплат,
рекомендуется использовать другие
браузеры. Если же вы - убежденный сторонник
Internet Explorer, для гарантии, что свидетельство
правильное, сравнивайте имя сервера в
свидетельстве с тем, что видите в вашем
браузере.
Уязвимость существует в Microsoft Internet Explorer
5.0/5.5/6.0.
