Ve druhé dekádě měsíce ledna 2010 byl zjištěn bezpečnostní problém spočívající ve zranitelnosti prohlížeče Microsoft Internet Explorer. Zranitelnost lze zneužít k tomu, aby útočník ovládl počítač své oběti a spustil na něm svůj vlastní, škodlivý kód. Pracuje-li uživatel přihlášen jako administátor, pak by útočník získal stejný rozsah oprávnění.
Početná skupina uživatelů informačního systému datových schránek (dale jen ISDS) užívá webovou aplikaci klientského portálu. Tato aplikace, jakkoliv je pečlivě zabezpečena, běží v internetovém prohlížeči osobního počítače uživatele. Výsledná bezpečnost je tak v řadě ohledů závislá na stavu a bezpečnosti internetového prohlížeče. Webová aplikace ISDS některé bezpečnostní vlastnosti internetového prohlížeče sama využívá. Jejich absenci nelze žádnými opatřeními na straně systému plně nahradit. Bude-li prohlížeč uživatele kompromitován, pak může s velkou pravděpodobností dojít ke kompromitaci uživatele, který se z takového prohlížeče přihlašuje k webové aplikaci ISDS.
Bylo prokázáno, že prohlížeč Microsoft Internet Explorer obsahuje vážnou zranitelnost, v jejímž důsledku může útočník ovládnout počítač své oběti a spustit na něm vlastní program s právy administrátora. Na takovém počítači není uživatel schopen bezpečně pracovat, a to s žádným systémem či aplikací. Pokud by se uživatel z podobně kompromitovaného počítače připojil k ISDS, pak by se vystavil vysokému riziku krádeže přístupových údajů, zcizení své identity, úniku osobních či citlivých údajů, případně tomu, že by jiná osoba konala pod jeho jménem důležité právní úkony.
Útočník by mohl postupovat i tak, že by útok prováděl automatizovaně, z nebezpečných webových stránek, které ovládá a na něž své oběti vláká (například pomocí e-mailových zpráv, instantních zpráv a podobně). Podvodné webové stránky by nebezpečný kód automaticky injektovaly do zasažených počítačů a spouštěly ho zde s takovými právy, s jakými by jejich uživatelé právě pracovali.
Útok lze provést proti uživatelům, kteří pracují s internetovými prohlížeči Microsoft Internet Explorer 6, 7 nebo 8, a to na platformách Windows 2000 SP4, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 a Windows Server 2008 R2.
Společnost Microsoft následně zveřejnila bezpečnostní záplatu, která tento problém řeší. Ti uživatelé, kteří mají nastaveny automatické aktualizace svých MS Windows, by ji měli získat a nasadit automaticky. Ostatní najdou potřebné informace i záplatu ke stažení na adrese: http://www.microsoft.com/technet/security/bulletin/ms10-002.mspx
Doporučení uživatelům ISDS
Nasadit si výše uvedenou záplatu společnosti Microsoft. Nepracovat se svým počítačem jako administrátor operačního systému při všech úkonech, kdy to není nutné. Zřídit si v operačním systému účet s nižším oprávněním a účet administrátora využívat pouze v případě, kdy je to nezbytné. Po provedení takových činností se opět přihlásit k účtu s nižším oprávněním.
Nereagovat na neznámé zprávy elektronické pošty ani na instantní zprávy, neklikat na žádné odkazy, které se v nich mohou nalézat, nenavštěvovat neznámé webové servery, nepostupovat podle cizích návodů a nepřihlašovat se k webovým systémům, včetně ISDS, na žádný cizí pokyn, a to v jakékoliv formě (třeba i ve formě varování).
Mít instalovánu a pravidelně aktualizovat kvalitní antivirovou ochranu, nejlépe rozšířenou o osobní firewall v příchozím i odchozím směru, o systém prevence před průnikem do počítače a prevence krádeže identity či přístupových údajů. Tato ochrana je dostupná v několika komerčních produktech, z nichž několik je lokalizováno do českého jazyka.
Dočasně nepoužívat zranitelné verze prohlížeče Microsoft Internet Explorer, nemůžete-li na ně nasadit bezpečnostní záplatu, pro práci s internetovým obsah, a to ani s webovou aplikací ISDS. Do vyřešení problému doporučujeme používat prohlížeč Firefox, který lze zdarma stáhnout z internetu, je lokalizován do českého jazyka a je k dispozici jak pro operační systémy Windows, tak i pro Linux a Macintosh (tento přechod bude vyžadovat novou instalaci pluginu 602xml filler pro Firefox).
V případě důvodného podezření na kompromitaci svého počítače se k ISDS nepřihlašovat. Při podezření na kompromitaci svých přístupových údajů a své identity v ISDS kontaktovat pracoviště podpory uživatelů a vyžádat si další instrukce.
Kontrolovat údaj o času svého posledního přihlášení se k ISDS, který je zobrazován na přihlašovací stránce. Je-li to možné, zvýšit bezpečnost práce s ISDS získáním a registrací komerčního přístupového certifikátu na technickém prostředku, který chrání tajnou část certifikátu.
Uživatelé, kteří by záplatu nenasadil a přes toto varování by i nadále používali zranitelný prohlížeč Microsoft Internet Explorer pro přístup k ISDS, musí být srozuměni s tím, že tak mohou sami ohrozit svoji bezpečnost. V případě úspěšného útoku proti své datové schránce by pak sami nesli odpovědnost za důsledky, které z takového konání mohou vyplynout.