De Protected Mode in Internet Explorer is helemaal niet zo veilig als de naam doet vermoeden en kan omzeild worden, aldus een onderzoeker van Verizon. Tom Keetch onderzocht in hoeverre Protected Mode gebruikers tegen zero-day aanvallen op de browser en extensies beschermt. "Ik ontdekte dat de maatregel veel minder bescherming biedt dan de naam doet vermoeden", zo laat hij in een blogposting weten.

Aangezien het volgens Keetch geen officiële beveiligingsmaatregel betreft, geeft Microsoft geen garanties dat het problemen tijdens de maandelijkse patchcyclus patcht. Toen het de onderzoeker lukte om Protected Mode te omzeilen, kon Microsoft geen datum geven wanneer het probleem was opgelost.

Aanval
Tijdens zijn onderzoek ontdekte Keetch een generieke en betrouwbare manier om zijn rechten van laag naar medium integrity aan te passen, zonder dat er enige interactie van de gebruiker vereist is. Hiervoor moet wel de Local Intranet Zone zijn ingeschakeld, iets wat standaard voor workstations is. De aanval van de onderzoeker maakt gebruik van sockets, die niet onder de "Mandatory Integrity Control" vallen, en het feit dat Protected Mode voor websites in de Local Intranet Zone staat uitgeschakeld.

Voor het uitvoeren van deze aanval moet een aanvaller eerst over een andere exploit beschikken. Het zijn echter dit soort aanvallen die Protected Mode moet voorkomen. "Als de oorspronkelijke remote exploit is gebruikt om willekeurige code met low integrity op de client uit te voeren, kan de payload een webserver starten die op elke willekeurige poort op de loopback interface luistert, zelfs als een gebruiker met verminderde rechten en low integrity", schrijft Keetch in zijn rapport.

Vervolgens kan een aanvaller hetzelfde lek een tweede keer gebruiken, waarbij er dan willekeurige code als dezelfde gebruiker wordt uitgevoerd, alleen dan op medium integrity. Dit geeft een aanvaller volledige toegang tot het account van de gebruiker. De aanval van Keetch werkt zowel tegen IE7 als IE8. "Het feit dat een enkele exploit voor zowel remote als local privilege escalation is te gebruiken, is de kern waarom dit zo'n groot probleem is."

Volgens de onderzoeker zijn maatregelen als Protected Mode alleen effectief als het een aanval lastiger maakt, maar dat is in dit geval niet zo. Keetch adviseert systeembeheerders om UAC op werkstations in te schakelen, te controleren dat gebruikers geen adminrechten hebben, Protected Mode voor alle zones waar mogelijk in te schakelen, de Local Intranet Zone uit te schakelen en te controleren dat software van derden geen "privilege escalation bugs" bevat.