Rosario Valotta egy igen érdekes, javítatlan Internet Explorer sebezhetőséget, és egy hozzá kapcsolódó támadási láncot tett közzé, melynek lefutása után - némi felhasználói körzeműködéssel - megszerezhetők a böngészőben tárolt sütik.

Az IE sebezhetőség rém egyszerű: Egy Internet zónában működő IFRAME betölthet egy süti fájlt egy IFRAME-be.

A dolog innentől válik trükkössé, ugyanis egyrészt a sütik útvonala függ a bejelentkezett felhasználó nevétől, másrészt a same-origin policy megkerülésével valahogy ki kéne varázsolni a süti tartalmát a támadó oldal kontextusába.

A felhasználónév megszerzését Valotta egy független csatornán oldotta meg, kihasználva, hogy az IE NTLM autentikációra kényszeríthető, ha egy UNC útvonal (\\server\megosztás) betöltésére kérjük. Az autentikáció során pedig nyílt szövegként közlekedik a felhasználónév. Így egy támadó beágyazhat egy, a saját szerveréről fájlmegosztáson keresztül elérhető képre mutató hivakozást, majd a 445-ös porton figyelve elkapkodhatja azoknak a felhasználóneveit, akik megnézték a rosszindulatú weboldalt.

Innentől kezdve tudjuk az útvonalat (a User-Agentből kiolvasható az oprendszer, böngésző verzió), tehát be tudjuk tölteni a sütit egy IFRAME-be. Itt viszont a same-origin policy gátat szab a további automatizálásnak, a felhasználó segítségét kell kérni.  

Ehhez egy clickjackinghez hasonló módszer használható: ha a süti tartalmát eltüntetjük, alá pedig egy képet helyezünk, és rávesszük a felhasználót, hogy drag'n'drop módszerrel mozgassa arrébb azt, a felhasználó a szöveget ki fogja mozgatni az IFRAME-ből, és le fogja dobni a külső weboldalon, a támadó kontextusában.

A fent is látható egyszerű demo hatékonyságát mutatja, hogy Valotta 150 Facebook ismerőséből 80 bedőlt a trükknek.