セキュリティ専門家であるデイビッド・レオ(David Leo)氏が、IE 11に存在する脆弱性を報告しました。Microsoftはこの脆弱性のパッチをまだ提供していません。このゼロデイ脆弱性はUniversal XSSと呼ばれ、IEに実装されているSOP(Same Origin Policy:同一生成元ポリシー)をバイパスします。SOPとは、他のサイトが設定したCookieやコンテンツをアクセス不能にするものです。

SOPをバイパスすることにより、攻撃者は他のドメイン(サイト)からあらゆる情報を盗み、別のドメイン(サイト)にあらゆるものをインジェクトできるようになります。

PoC(概念実証)が、ドメインdeusen.co.ukのこのページで公開されています。これは、攻撃元のドメインです。ターゲットドメインはdailymail.co.ukであり、コンテンツが「Hacked by Deusen」と書かれたWebページに変わってしまいます。

この攻撃を実行するには、細工をしたページに犠牲者を誘導する必要があります。このPoCでは、害のないコンテンツをDaily Mailのサイトページにインジェクトしていますが、銀行サイトのCookieを窃取すれば、犠牲者の銀行口座に自由にアクセスできてしまいます。また、他の証明書の窃取や悪意のあるコンテンツをターゲットドメインにインジェクトすることも可能です。

今回報告された脆弱性はクライアント側の脆弱性ですが、Barracuda Web Application Firewallがあれば、クリックジャック攻撃対策モジュールで対抗できます。しかも、わずか数クリックで簡単に設定できます。

クリックジャック攻撃に対抗するには、HTTP応答にX-Frame-Options HTTPヘッダをインジェクトし、値をDENYまたはSAMEORIGINに設定します。たとえば銀行のページを攻撃するにはiframeの表示が必要になりますが、応答に上記のヘッダが含まれている場合、IE(または最新のブラウザ)では攻撃者のドメインからiframeでこのページを表示できなくなります。

設定は、[WEBSITES::Advanced Security]ページを開き、スクロールして[Clickjacking Protection]セクションに移動します。各サービスで[Edit]をクリックし、編集ウィンドウを開きます。[Status][ON]に設定し、[Render Page Inside Iframe][Never]または[Same Origin]に設定します。

詳細については、TechLibの記事をご覧ください。
https://techlib.barracuda.com/waf/clickjackingprotection

外部ドメインのページをiframeで表示する必要がある場合は、上記のオプションを[Allowed Origin URI]に設定し、該当するドメインをホワイトリストに登録します。

バックエンドWebアプリケーションがすでにこのヘッダを挿入している場合や、[Websites Translations]ページですでにこの設定を行っている場合は、改めて設定を行う必要はありません。

X-Frame-Optionsヘッダについて詳しくは、次のサイトをご覧ください。

X-Frame-Optionsヘッダでフレームスニッフィングのリスクを低減

http://en.wikipedia.org/wiki/Clickjacking

※本内容はBarracuda Product Blog 2015年2月5日Protecting your web applications from the Universal XSS Vulnerability in Internet Explorer 11を翻訳したものです。

Neeraj Khandelwal

本稿は、バラクーダネットワークスのWebサイトに掲載されている『バラクーダラボ』2月25日付の記事の転載です。