Piektdien, 12.aprīlī, informācijas drošības speciālists Džons Peidžs publicēja informāciju par neizlabotu ievainojamību pašreizējā Internet Explorer versijā, kā arī demonstrēja tās ieviešanu. Šī ievainojamība var ļaut uzbrucējam iegūt Windows lietotāju lokālo failu saturu, apejot pārlūkprogrammas drošību.
Ievainojamība ir saistīta ar to, kā Internet Explorer apstrādā MHTML failus, parasti ar paplašinājumiem .mht vai .mhtml. Internet Explorer šo formātu pēc noklusējuma izmanto tīmekļa lapu saglabāšanai, un tas ļauj saglabāt visu lapas saturu kopā ar visu multivides saturu kā vienu failu. Šobrīd lielākā daļa mūsdienu pārlūkprogrammu vairs nesaglabā tīmekļa lapas MHT formātā un izmanto standarta WEB formātu - HTML, taču tās joprojām atbalsta failu apstrādi šajā formātā, kā arī var izmantot to saglabāšanai ar atbilstošiem iestatījumiem vai paplašinājumu izmantošanai.
Džona atklātā ievainojamība pieder XXE (XML eXternal Entity) ievainojamību klasei un sastāv no nepareizas XML koda apstrādātāja konfigurācijas programmā Internet Explorer. “Šī ievainojamība ļauj attālam uzbrucējam piekļūt lietotāja lokālajiem failiem un, piemēram, iegūt informāciju par sistēmā instalētās programmatūras versiju,” saka Peidžs. "Tātad vaicājums "c:Python27NEWS.txt" atgriezīs šīs programmas versiju (šajā gadījumā Python tulku)."
Tā kā operētājsistēmā Windows visi MHT faili pēc noklusējuma tiek atvērti pārlūkprogrammā Internet Explorer, šīs ievainojamības izmantošana ir nenozīmīgs uzdevums, jo lietotājam ir tikai jāveic dubultklikšķis uz bīstama faila, kas saņemts pa e-pastu, sociālajiem tīkliem vai tūlītējiem ziņojumapmaiņas līdzekļiem.
"Parasti, veidojot ActiveX objekta gadījumu, piemēram, Microsoft.XMLHTTP, lietotājs saņems drošības brīdinājumu programmā Internet Explorer, kas prasīs apstiprinājumu bloķētā satura aktivizēšanai," skaidro pētnieks. "Tomēr, atverot iepriekš sagatavotu .mht failu, izmantojot īpaši veidotus iezīmēšanas tagus lietotājs nesaņems brīdinājumus par potenciāli kaitīgu saturu."
Kā norāda Peidžs, viņš veiksmīgi pārbaudīja ievainojamību pašreizējā pārlūkprogrammas Internet Explorer 11 versijā ar visiem jaunākajiem drošības atjauninājumiem operētājsistēmās Windows 7, Windows 10 un Windows Server 2012 R2.
Iespējams, vienīgā labā ziņa šīs ievainojamības publiskajā atklāšanā ir fakts, ka Internet Explorer kādreiz dominējošā tirgus daļa tagad ir samazinājusies līdz nieka 7,34%, liecina NetMarketShare. Taču, tā kā Windows MHT failu atvēršanai izmanto pārlūkprogrammu Internet Explorer kā noklusējuma lietojumprogrammu, lietotājiem nav obligāti jāiestata IE kā noklusējuma pārlūkprogramma, un viņi joprojām ir neaizsargāti, kamēr viņu sistēmās joprojām ir IE un viņi nemaksā. pievērsiet uzmanību lejupielādes formāta failiem internetā.
Vēl 27. martā Džons paziņoja Microsoft par šo ievainojamību savā pārlūkprogrammā, bet 10. aprīlī pētnieks saņēma atbildi no uzņēmuma, kurā tā norādīja, ka neuzskata šo problēmu par kritisku.
"Labojums tiks izlaists tikai ar nākamo produkta versiju," teikts Microsoft vēstulē. "Pašlaik mēs neplānojam izlaist risinājumu šai problēmai."
Pēc skaidras Microsoft atbildes pētnieks savā tīmekļa vietnē publicēja sīkāku informāciju par nulles dienas ievainojamību, kā arī demonstrācijas kodu un video vietnē YouTube.
Lai gan šīs ievainojamības ieviešana nav tik vienkārša un lietotājam ir kaut kādā veidā jāpiespiež palaist nezināmu MHT failu, šo ievainojamību nevajadzētu uztvert viegli, neskatoties uz to, ka Microsoft nav reaģējusi. Hakeru grupas agrāk ir izmantojušas MHT failus pikšķerēšanai un ļaunprātīgas programmatūras izplatīšanai, un tagad nekas netraucēs to darīt.
Tomēr, lai izvairītos no šīs un daudzām līdzīgām ievainojamībām, jums vienkārši jāpievērš uzmanība no interneta saņemto failu paplašinājumiem un jāpārbauda tie ar antivīrusu vai VirusTotal vietnē. Papildu drošībai vienkārši iestatiet savu iecienītāko pārlūkprogrammu, kas nav Internet Explorer, kā noklusējuma lietojumprogrammu .mht vai .mhtml failiem. Piemēram, operētājsistēmā Windows 10 to var izdarīt diezgan vienkārši izvēlnē “Atlasīt standarta lietojumprogrammas failu tipiem”.
Avots: 3dnews.ru