(cache) Windows+IEにおけるローカルファイル内容漏洩の実験（その５）

実験
ファイル名： ShiftキーまたはCtrlキーが押されたら送信するアクティブスクリプトが無効です。

●更新履歴
2002年7月26日公開
2002年8月23日修正プログラムが公開されたのでその情報を追加

●概要
　Windows 98/NT/2000/XP上のIE5.5SP2/IE6には、『インターネット・ゾーンの「アクティブスクリプト」が有効になっていて、同時にインターネット・ゾーンの「ActiveXコントロールとプラグインの実行」または「スクリプトによる貼り付け処理の許可」のいずれかが有効になっているとき、インターネット・ゾーンの「暗号化されていないフォームデータの送信」を許可すると、悪意のあるウェブページを表示した状態でShiftキーまたはCtrlキーに触れたときにユーザのハードディスクの中にある名前を知られている任意のファイルの内容が盗まれる可能性がある』というセキュリティホールがあります。

　このセキュリティホールはユーザがShiftキーまたはCtrlキーに触れなければ漏洩は起こらないので、スクリプトだけで漏洩が発生するものと比較して、漏洩が発生する確率は低くなっています。しかし、ShiftキーまたはCtrlキーを押させるためにユーザを巧みに誘導したり、アンケートを装って暗号化されていないフォームデータの送信を促したり、アップロードをさとられないようにダウンロード中を装うといった手口も考えられるので、注意する必要があります。

　ユーザのハードディスクの中のファイルの内容が漏洩するセキュリティホールは他にもありますが、その多くが表示可能な形態を経由するため、盗まれるファイルは名前を知られているテキストまたはHTMLファイルに限られていました。しかし、このセキュリティホールはブラウザが持っているアップロードの機能を悪用するので、実体の存在するすべての種類のファイルの内容がそのまま盗まれる可能性があります。例えば、IEのインターネット一時ファイル、Cookie、履歴などのインデックス情報を盗まれた場合はそれらのランダムに決められたパスを含む個々のファイル名を知られてしまうことになり、本来ならばファイル名を知られていないはずのファイルの内容まで漏洩の危険に晒されることになります。また、レジストリの情報が盗まれる可能性もあり、漏洩が発生した場合の危険度はかなり高いと言えます。

●解説
　ファイルをアップロードするための<INPUT TYPE="file" ～>タグのファイル名は、セキュリティ対策のために、初期値を設定したりスクリプトでファイル名を操作することができないようになっています。しかし、ShiftキーまたはCtrlキーが押されたときにeventオブジェクトを書き換えてShift+InsertまたはCtrl+Vが押されたように振る舞わせることで、ShiftキーまたはCtrlキーを押してもらうだけでファイル名のところにクリップボードの内容を貼り付けることができます。さらに、「スクリプトによる貼り付け処理の許可」が有効になっているときはクリップボードの内容を書き換えることができるので、その場合はShiftキーまたはCtrlキーを押してもらうだけで<INPUT TYPE="file" ～>タグのファイル名をスクリプトで自由に書き換えられるということになります。

　インターネット・ゾーンの「スクリプトによる貼り付け処理の許可」を有効にしておくとクリップボードの内容が漏洩することになるので、通常はこの設定を無効にして利用しているはずです。しかし、クロスドメインスクリプティングのバグを悪用するとアクティブスクリプトをマイコンピュータ・ゾーンで実行することができるため、「ActiveXコントロールとプラグインの実行」が有効になっている場合はインターネット・ゾーンの「スクリプトによる貼り付け処理の許可」を無効にしていてもクリップボードの内容をスクリプトで読み書きすることができます。

　onPropertyChangeイベントを監視してファイル名の貼り付けが実行された後に自動的にフォームをsubmitすることで、ShiftキーまたはCtrlキーを押してもらうだけで任意のファイルをアップロードできるページを作ることができてしまいます。

●修正プログラム
　~~2002年7月26日現在、このセキュリティホールを塞ぐことができる修正プログラムは公開されていません。~~
　2002年8月23日、このセキュリティホールを塞ぐことができる「MS02-047：Internet Explorer 用の累積的な修正プログラム (Q323759)」が公開されました。August 2002, Cumulative Patch for Internet Explorer (Q323759)（Microsoft）で言語とプラットフォームに合った修正プログラムをダウンロードおよびインストールすることで、このセキュリティホールを塞ぐことができます。

●実験
　この実験は、次の環境で動作を確認しました。
　　Windows98SE＋IE5.5SP2（IEの累積的な修正プログラム（Q321232）を適用済み） … ファイルの内容が漏洩する

　　Windows98SE＋IE5.5SP2（IEの累積的な修正プログラム（Q323759）を適用済み） … ファイルの内容は漏洩しない

　インターネットゾーンの「スクリプトによる貼り付け処理の許可」は無効になっていると思いますので、ここではインターネット・ゾーンの「アクティブスクリプト」と「ActiveXコントロールとプラグインの実行」および「暗号化されていないフォームデータの送信」が有効になっている場合について実験を行います。

　下の枠の中に実在する任意のファイル名を1つ記入し、チェックボックスをONにしてください。この枠のテキストエリアは初期値が設定されていることからわかるように<INPUT TYPE="text" ～>タグですので、本来ならば記入されたファイルをアップロードすることはできないはずです。しかし、チェックボックスをONにしてからShiftキーまたはCtrlキーを押すと、記入されたファイルのアップロードが始まります。アップロードされた内容はCGIによって先頭の1KBまでエコーバックされるので、実際にアップロードされたかどうか確認することができます。

　実験を繰り返す場合は「リセット」ボタンを押してください。

　警告：指定されたファイル名とそのファイルの内容は暗号化されずに送信されます。ファイル名を知られると困るファイルおよび内容を知られると困るファイルは絶対に記入しないでください。面倒でもダミーのファイルを作って実験されることをお勧めします。