Edge の宿敵、ブエノスアイレスのセキュリティ テスター Manuel Caballero が再びブラウザーに侵入し、同一生成元ポリシーを回避して保存されている認証情報を盗み出しました。
Caballero 氏は自身の Broken Browser ブログで、攻撃者がリファラースプーフィングの発信元を偽装できると説明し、「data-uri の存在と、ほとんどのサイトが iframe をレンダリングするという事実により、この脆弱性を完全な SOP バイパスに変えてしまう可能性がある」と述べています。
さらに良いことに、「パスワード マネージャーは賢く動作し、過剰なチェックを行わずにすべてを完了しようとするため、どこでも機能する汎用的なコード スニペットを簡単にレンダリングできます。」
彼は概念実証 (こちら) を公開しており、これを見たいけれど Edge を使用していない場合は、YouTube ビデオがあります:
YouTubeビデオ
カバレロ氏は次のように説明する。
ウィンドウの位置を、あたかもイニシエーターがウィンドウ自身であるかのように強制的に変更することができます。例えば、evil.com をホストしているタブが Paypal タブの位置を bankofamerica.com に変更すると、BankofAmerica はリファラーとして evil ではなく Paypal を受け取ります。これは、Edge がリクエストの真のイニシエーターを誤認したためです。同じ考え方を、対象ページの iframe とコード付きの data-uri に適用すれば、SOP を完全に回避できます。
Caballero 氏は読者に対し、以前にも SOP のバイパスに成功したことがあるが、それ以降にユーザーがパッチを適用していたとしても、新しい攻撃は有効であると指摘しています。
誰かのGoogle Cookieを取得したいですか?それもできます:
彼は次のコード スニペットで、Edge のオートコンプリートがいかに役立つかを説明しています。
<フォーム> <入力 /> <入力タイプ="パスワード" /> </フォーム>
「まさにそれだ!パスワードが保存されているドメインにこのコードを挿入すれば、Edgeは即座にパスワードを自動補完する」と彼は書いている。つまり、被害者をFacebookに誘導すると、以下のようにパスワードが表示されるのだ。
<フォーム> <入力 /> <入力タイプ="パスワード" onchange="アラート(this.value)" /> </フォーム>
パッチがすぐに提供されるかどうかは、Microsoft の選択次第です。
昨年 12 月に、Caballero 氏は、詐欺師が Edge で本物に見えるポップアップを表示する方法を示しました。®
