Pada hari Jumaat, 12 April, pakar keselamatan maklumat John Page menerbitkan maklumat tentang kelemahan yang tidak diperbetulkan dalam versi semasa Internet Explorer, dan juga menunjukkan pelaksanaannya. Kerentanan ini berpotensi membenarkan penyerang mendapatkan kandungan fail tempatan pengguna Windows, memintas keselamatan penyemak imbas.
Kerentanan terletak pada cara Internet Explorer mengendalikan fail MHTML, biasanya fail yang mempunyai sambungan .mht atau .mhtml. Format ini digunakan oleh Internet Explorer secara lalai untuk menyimpan halaman web, dan membolehkan anda menyimpan keseluruhan kandungan halaman bersama-sama dengan semua kandungan media sebagai satu fail. Pada masa ini, kebanyakan penyemak imbas moden tidak lagi menyimpan halaman web dalam format MHT dan menggunakan format WEB standard - HTML, tetapi mereka masih menyokong pemprosesan fail dalam format ini, dan juga boleh menggunakannya untuk menyimpan dengan tetapan yang sesuai atau menggunakan sambungan.
Kerentanan yang ditemui oleh John tergolong dalam kelas kerentanan XXE (Entiti XML eXternal) dan terdiri daripada konfigurasi pengendali kod XML yang salah dalam Internet Explorer. “Kerentanan ini membolehkan penyerang jauh mendapat akses kepada fail setempat pengguna dan, sebagai contoh, mengekstrak maklumat tentang versi perisian yang dipasang pada sistem,” kata Page. "Jadi pertanyaan untuk 'c:Python27NEWS.txt' akan mengembalikan versi program itu (penterjemah Python dalam kes ini)."
Memandangkan dalam Windows semua fail MHT dibuka dalam Internet Explorer secara lalai, mengeksploitasi kerentanan ini adalah tugas remeh memandangkan pengguna hanya perlu mengklik dua kali pada fail berbahaya yang diterima melalui e-mel, rangkaian sosial atau messenger segera.
"Biasanya, apabila membuat contoh objek ActiveX, seperti Microsoft.XMLHTTP, pengguna akan menerima amaran keselamatan dalam Internet Explorer yang akan meminta pengesahan untuk mengaktifkan kandungan yang disekat," jelas penyelidik. "Bagaimanapun, apabila membuka fail .mht yang telah disediakan terlebih dahulu menggunakan tag markup gaya khas pengguna tidak akan menerima amaran tentang kandungan yang berpotensi berbahaya."
Menurut Page, dia berjaya menguji kelemahan dalam versi semasa pelayar Internet Explorer 11 dengan semua kemas kini keselamatan terkini pada Windows 7, Windows 10 dan Windows Server 2012 R2.
Mungkin satu-satunya berita baik dalam pendedahan awam tentang kelemahan ini ialah hakikat bahawa bahagian pasaran Internet Explorer yang pernah dominan kini telah menurun kepada 7,34% sahaja, menurut NetMarketShare. Tetapi memandangkan Windows menggunakan Internet Explorer sebagai aplikasi lalai untuk membuka fail MHT, pengguna tidak semestinya perlu menetapkan IE sebagai penyemak imbas lalai mereka, dan mereka masih terdedah selagi IE masih ada pada sistem mereka dan mereka tidak membayar. perhatian kepada fail format muat turun di Internet.
Kembali pada 27 Mac, John memberitahu Microsoft tentang kelemahan ini dalam penyemak imbas mereka, tetapi pada 10 April, penyelidik menerima maklum balas daripada syarikat itu, di mana ia menunjukkan bahawa ia tidak menganggap masalah ini sebagai kritikal.
"Pembetulan hanya akan dikeluarkan dengan versi produk seterusnya," kata Microsoft dalam surat itu. "Kami tidak mempunyai rancangan untuk mengeluarkan penyelesaian untuk isu ini pada masa ini."
Selepas maklum balas yang jelas daripada Microsoft, penyelidik menerbitkan butiran tentang kerentanan sifar hari di tapak webnya, serta kod demo dan video di YouTube.
Walaupun pelaksanaan kelemahan ini tidak semudah itu dan entah bagaimana memerlukan pemaksaan pengguna untuk menjalankan fail MHT yang tidak diketahui, kelemahan ini tidak boleh dipandang ringan walaupun kekurangan respons daripada Microsoft. Kumpulan penggodam telah menggunakan fail MHT untuk pengedaran pancingan data dan perisian hasad pada masa lalu, dan tiada apa yang akan menghalang mereka daripada berbuat demikian sekarang.
Walau bagaimanapun, untuk mengelakkan ini dan banyak kelemahan yang serupa, anda hanya perlu memberi perhatian kepada sambungan fail yang anda terima dari Internet dan menyemaknya dengan antivirus atau di laman web VirusTotal. Dan untuk keselamatan tambahan, cuma tetapkan penyemak imbas kegemaran anda selain Internet Explorer sebagai aplikasi lalai untuk fail .mht atau .mhtml. Sebagai contoh, dalam Windows 10 ini dilakukan dengan agak mudah dalam menu "Pilih aplikasi standard untuk jenis fail".
Sumber: 3dnews.ru