Безопасные для сценариев элементы ActiveX

Во время работы система Windows активно использует множество элементов ActiveX. Когда в странице Web, загруженной с Web-сайта, встречается тег <ОВJЕСТ> со ссылкой на элемент ActiveX, браузер ищет в системе Windows требуемый элемент ActiveX и далее либо использует для воспроизведения страницы найденный элемент ActiveX, либо загружает его из указанного места в Web. При этом выполняется, как указано выше, проверка цифрового сертификата элемента ActiveX. И вот тут-то и возникает некоторая проблема.

Часть элементов ActiveX системы Windows имеет установленный параметр safe for scripting (безопасные для сценариев), что отменяет проверку их сертификатов при загрузке из Web. И вот, исследуя некоторые элементы ActiveX, помеченные как безопасные для сценариев, известный специалист Георгий Гунинск (Georgi Guninski) нашел следующую уязвимость. Оказалось, что некоторые таких ActiveX, а именно, элементы Scriptlet и Eyedog, имеют изъян реализации позволяющий нарушить систему защиты браузера IE 4. Для демонстрации этой уязвимости на сайте http://www.guninski.com был предложен HTML-код эксплойта (эксплойт - код, использующий ту или иную брешь в системе безопасности иллюстрирующего возможности элемента Scriptlet по записи и редактированию файлов на локальном компьютере, и элемента Eyedog по извлечению системного реестра Windows различных данных. Все эти возможности реализовывались для браузера IE 4 на системах Windows 9x.

В системах Windows 2000/XP также имеются свои элементы ActiveX, отмеченные как безопасные для сценариев, и угроза их использования для взлома системы защиты браузеров IE 5 и IE 6 остается актуальной. Таким образом, на каждом компьютере Windows 2000/XP потенциально находятся, так сказать, «спяшие троянские кони», только и ждущие своего хозяина. От мыслей по поводу появляющихся при этом возможностей просто «захватывает дух» - ведь среди якобы безопасных ActiveX могут находиться элементы с весьма обширными функциями. Так что, надо думать, появление мощных инструментов хакинга, опирающихся на описанную выше уязвимость, не за горами.

В Листинге 8.5 содержится код HTML, использующий недостатки реализаи двух функций браузера IЕ, выполняющих проверку принадлежности в доме для чтения локального файла. (Этот код HTML разработан Георгием Гунинским и его, как и множество других примеров, можно найти на caf http://www.guninski.com).

Листинг 5. Открытие локальных файлов из сценария

Загрузка кода из Листинга 5 в браузер IE 6 приводит к отображению страницы представленной на Рис. 3.

Рис. 8.3. На странице содержится текст локального файла security.txt

Как видим, содержимое файла security.txt стало доступным для сценария и, стало быть сценарий может передать содержимое файла security.txt на Web-сервер, с которого была загружена эта страничка, или передать содержимое файла по любому другому адресу Интернета. Так что, зная расположение важных файлов Windows, можно попробовать извлечь их содержимое, помещая на сайтах Интернета такого рода странички и сценарии сбора извлеченных данных. Польза от таких действий несомненна - ведь эти файлы могут содержать многое. Например, очень много могут рассказать файлы куки (cookie), сохраняемые Web-браузерами для связи с различными ресурсами Web.