最近はマイクロソフトのEdgeブラウザの欠陥発見に注力しているセキュリティ研究者のマヌエル・カバレロ氏が、攻撃者が人気のウェブサービスからユーザーのパスワードを盗むことを可能にする新たなバグを発見した。
同一生成元ポリシーの回避
同一生成元ポリシー(SOP)は、ウェブアプリケーションにとって重要なセキュリティ概念であり、あるウェブページ上の悪意のあるコードが別のウェブページ上の機密データにアクセスするのを防ぎます。SOPがなければ、攻撃者はユーザーのブラウザでウェブページのコンテンツを改ざんし、個人情報を盗む可能性があります。
Caballero 氏は、Edge ブラウザで SOP バイパスを発見しました。このバイパスにより、攻撃者はデータの Uniform Resource Identifier (URI)、メタ リフレッシュ タグ、および「about:blank」などのドメインのないページを利用して悪意のあるコードを実行し、ログインしたユーザーの名前でツイートできるようになります。
この攻撃を成功させるには、まず攻撃者は標的のユーザーを騙して悪意のあるリンクをクリックさせる必要があります。カバレロ氏のウェブサイトで公開されたデモでは、Bingのホームページで悪意のあるコードを実行し、別のユーザーになりすましてツイートし、TwitterアカウントからパスワードとCookieを盗むことに成功しました。
Edgeのパスワード自動入力機能を悪用した攻撃
パスワードの盗難は、Edgeに組み込まれたパスワードマネージャーによって可能になりました。このパスワードマネージャーは、ユーザーがログアウトした後にパスワードを自動入力します。これにより、ユーザーがブラウザに悪意のあるコードを既に読み込んでいる状態で、攻撃者がリンクをクリックすることでパスワードを盗むことが可能となります。
カバレロ氏によると、この脆弱性は現在も修正されていないとのことです。マイクロソフトに連絡し、近いうちに修正プログラムが公開されるかどうかを尋ねたところ、広報担当者から次のような回答がありました。
Windows は、報告されたセキュリティ問題を調査し、影響を受けるデバイスを可能な限り速やかにプロアクティブに更新することをお客様にお約束します。当社の標準ポリシーでは、現在の Update Tuesday スケジュールに沿って解決策を提供しています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
カバレロ氏は、この攻撃はマルバタイジング(悪意のある広告)を通じて自動化され、Facebook、Amazon、その他のサービスの何千人ものユーザーからパスワードを入手することも可能だと付け加えた。
「もし攻撃者がYahoo!バナー内にホストされていて、ユーザーがTwitterアカウントにログインしていたら、ユーザーは操作不能になり、一切のやり取りができなくなる」とカバレロ氏は警告した。
SOPバイパスの脆弱性はEdgeブラウザにのみ影響します。これは、SOPの実装がブラウザごとに異なるためです。Edgeは最近、Pwn2Ownハッキングコンテストで最もハッキングされたブラウザとなりましたが、研究者たちは依然として重大なバグを発見しているようです。Microsoftは最近、Edgeに大幅なセキュリティ強化を約束しましたが、実際にどれほど役立つかはまだ分かりません。
