Penktadienį, balandžio 12 d., informacijos saugumo specialistas Johnas Page paskelbė informaciją apie nepataisytą pažeidžiamumą dabartinėje „Internet Explorer“ versijoje, taip pat pademonstravo jos įgyvendinimą. Šis pažeidžiamumas gali leisti užpuolikui gauti vietinių „Windows“ naudotojų failų turinį, apeinant naršyklės saugumą.
Pažeidžiamumas slypi tame, kaip „Internet Explorer“ tvarko MHTML failus, dažniausiai tuos, kurių plėtinys yra .mht arba .mhtml. Šį formatą Internet Explorer pagal numatytuosius nustatymus naudoja tinklalapiams išsaugoti ir leidžia išsaugoti visą puslapio turinį kartu su visu medijos turiniu kaip vieną failą. Šiuo metu dauguma šiuolaikinių naršyklių nebeišsaugo tinklalapių MHT formatu ir naudoja standartinį WEB formatą – HTML, tačiau vis dar palaiko šio formato failų apdorojimą, taip pat gali jį naudoti įrašymui su atitinkamais nustatymais arba naudojant plėtinius.
Johno aptiktas pažeidžiamumas priklauso XXE (XML eXternal Entity) pažeidžiamumo klasei ir susideda iš neteisingos XML kodo tvarkyklės „Internet Explorer“ konfigūracijos. „Šis pažeidžiamumas leidžia nuotoliniam užpuolikui gauti prieigą prie vartotojo vietinių failų ir, pavyzdžiui, išgauti informaciją apie sistemoje įdiegtos programinės įrangos versiją“, – sako Page. "Taigi užklausa "c:Python27NEWS.txt" pateiks tos programos versiją (šiuo atveju Python interpretatorių)."
Kadangi sistemoje Windows visi MHT failai pagal numatytuosius nustatymus atidaromi naršyklėje Internet Explorer, išnaudoti šį pažeidžiamumą yra nereikšminga užduotis, nes vartotojui tereikia du kartus spustelėti pavojingą failą, gautą el. paštu, socialiniais tinklais ar momentiniais pasiuntiniais.
„Paprastai, kurdamas „ActiveX“ objekto egzempliorių, pvz., Microsoft.XMLHTTP, vartotojas gaus saugos įspėjimą „Internet Explorer“, kuris prašys patvirtinimo, kad suaktyvintų užblokuotą turinį“, – aiškina tyrėjas. „Tačiau atidarant iš anksto paruoštą .mht failą naudojant specialios stilistikos žymėjimo žymas vartotojas negaus įspėjimų apie galimai žalingą turinį“.
Anot Page, jis sėkmingai išbandė pažeidžiamumą dabartinėje „Internet Explorer 11“ naršyklės versijoje su visais naujausiais „Windows 7“, „Windows 10“ ir „Windows Server 2012 R2“ saugos naujiniais.
Turbūt vienintelė gera žinia viešai atskleidžiant šį pažeidžiamumą yra ta, kad, remiantis NetMarketShare, kadaise dominavusios „Internet Explorer“ rinkos dalis dabar sumažėjo iki 7,34%. Tačiau kadangi „Windows“ naudoja „Internet Explorer“ kaip numatytąją programą MHT failams atidaryti, vartotojai nebūtinai turi nustatyti IE kaip numatytąją naršyklę ir jie vis tiek yra pažeidžiami tol, kol IE vis dar yra jų sistemose ir jie nemoka. atkreipkite dėmesį į atsisiuntimo formato failus internete.
Dar kovo 27 dieną Johnas pranešė „Microsoft“ apie šį pažeidžiamumą jų naršyklėje, tačiau balandžio 10 dieną tyrėjas gavo atsakymą iš bendrovės, kuriame nurodė, kad šios problemos nelaikoma kritine.
„Pataisymas bus išleistas tik su kita produkto versija“, – rašoma „Microsoft“ laiške. „Šiuo metu neplanuojame išleisti šios problemos sprendimo.
Po aiškaus „Microsoft“ atsakymo tyrėjas savo svetainėje paskelbė informaciją apie nulinės dienos pažeidžiamumą, taip pat demonstracinį kodą ir vaizdo įrašą „YouTube“.
Nors šio pažeidžiamumo įdiegimas nėra toks paprastas ir reikalauja kažkaip priversti vartotoją paleisti nežinomą MHT failą, nepaisant to, kad Microsoft nereaguoja, į šią pažeidžiamumą žiūrėti nereikėtų. Įsilaužėlių grupės anksčiau naudojo MHT failus sukčiavimui ir kenkėjiškų programų platinimui, ir niekas joms netrukdys to daryti dabar.
Tačiau norint išvengti šio ir daugelio panašių spragų, tereikia atkreipti dėmesį į iš interneto gaunamų failų plėtinį ir patikrinti juos antivirusine programa arba VirusTotal svetainėje. O kad padidintumėte saugumą, tiesiog nustatykite savo mėgstamą naršyklę, išskyrus „Internet Explorer“, kaip numatytąją .mht arba .mhtml failų programą. Pavyzdžiui, „Windows 10“ tai gana lengvai atliekama meniu „Pasirinkti standartines failų tipų programas“.
Šaltinis: 3dnews.ru