Wyobraź sobie, że niewidzialny skrypt obecny w przeglądarce, podąża za każdym Twoim kliknięciem, niezależnie od odwiedzanych adresów. Skrypt widzi wszystko co robisz, jakie strony odwiedzasz i jakie hasła wpisujesz do formularzy. A wszystko to bez pobierania i wykonywania plików binarnych, bez okien potwierdzających, bez ActiveX. WebMalware 2.0. Fikcja, a może rzeczywistość…
Zacny jak się okazuje człowiek i zarazem audytor Manuel Caballero na konferencji BlueHat przedstawił opis ataku, który wykorzystuje skrypty obecne w przeglądarce permanentnie oraz możliwość komunikacji pomiędzy domenami (Resident scripts and global cross-domain). Przy normalnym ataku typu Cross Site Scripting (XSS), atak ogranicza się zgodnie z zasadą Same-Origin Policy do domeny, na której znajduje się skrypt. W przypadku opisywanym przez Manuela, nic nie stoi na przeszkodzie aby skrypt powędrował za nami na inne domeny.
Zaczyna się to co wszyscy specjaliści od błędów około przeglądarkowych od jakiegoś czasu próbują przekazać. Cytując za okładką ksiązki o błędach typu XSS: Xss is the New Buffer Overflow, JavaScript Malware Is the New Shell Code. Niedługo przestanie mieć znaczenie, z jakiego systemu korzystasz, czy masz aktualne łaty w systemie, czy masz antywirusa i czy nabierasz się na maile zachęcające do uruchomienia określonych programów. Wystarczy, że będziesz serfował po WWW. Malware 2.0…
Niestety (a może stety) nie są znane bliższe szczegóły ataku. Slajdów w zasadzie nie ma, obiecane jest pojawienie się nagrania audio ale mogą być to jedynie obiecanki. Manuel pracuje dla Microsoftu więc istnieje przesłanka, która mówi, że w IE7 ten błąd powinien zostać naprawiony. Miejmy nadzieję, że uda nam dowiedzieć się czegoś więcej w najbliższych dniach.