Op vrijdag 12 april publiceerde informatiebeveiligingsspecialist John Page informatie over een niet-gecorrigeerde kwetsbaarheid in de huidige versie van Internet Explorer, en demonstreerde ook de implementatie ervan. Door dit beveiligingslek kan een aanvaller mogelijk de inhoud van lokale bestanden van Windows-gebruikers verkrijgen, waarbij de browserbeveiliging wordt omzeild.
Het beveiligingslek ligt in de manier waarop Internet Explorer omgaat met MHTML-bestanden, meestal bestanden met de extensie .mht of .mhtml. Deze indeling wordt standaard door Internet Explorer gebruikt voor het opslaan van webpagina's en biedt u de mogelijkheid de volledige inhoud van de pagina samen met alle media-inhoud als één bestand op te slaan. Op dit moment slaan de meeste moderne browsers webpagina's niet langer op in het MHT-formaat en gebruiken ze het standaard WEB-formaat - HTML, maar ze ondersteunen nog steeds de verwerking van bestanden in dit formaat en kunnen het ook gebruiken om op te slaan met de juiste instellingen of met behulp van extensies.
De door John ontdekte kwetsbaarheid behoort tot de klasse XXE (XML eXternal Entity) van kwetsbaarheden en bestaat uit een onjuiste configuratie van de XML-codehandler in Internet Explorer. “Dankzij deze kwetsbaarheid kan een aanvaller op afstand toegang krijgen tot de lokale bestanden van een gebruiker en bijvoorbeeld informatie extraheren over de versie van de software die op het systeem is geïnstalleerd”, zegt Page. "Dus een zoekopdracht naar 'c:Python27NEWS.txt' zal de versie van dat programma retourneren (in dit geval de Python-interpreter)."
Omdat in Windows alle MHT-bestanden standaard in Internet Explorer worden geopend, is het misbruiken van dit beveiligingslek een triviale taak, aangezien de gebruiker alleen maar hoeft te dubbelklikken op een gevaarlijk bestand dat wordt ontvangen via e-mail, sociale netwerken of instant messengers.
“Normaal gesproken ontvangt de gebruiker bij het maken van een instance van een ActiveX-object, zoals Microsoft.XMLHTTP, een beveiligingswaarschuwing in Internet Explorer waarin om bevestiging wordt gevraagd om de geblokkeerde inhoud te activeren”, legt de onderzoeker uit. "Bij het openen van een vooraf voorbereid .mht-bestand met speciaal opgemaakte markup-tags de gebruiker ontvangt geen waarschuwingen over mogelijk schadelijke inhoud."
Volgens Page heeft hij de kwetsbaarheid succesvol getest in de huidige versie van de browser Internet Explorer 11 met de nieuwste beveiligingsupdates op Windows 7, Windows 10 en Windows Server 2012 R2.
Misschien wel het enige goede nieuws in de publieke bekendmaking van dit beveiligingslek is het feit dat het ooit dominante marktaandeel van Internet Explorer nu is gedaald tot slechts 7,34%, aldus NetMarketShare. Maar aangezien Windows Internet Explorer als standaardtoepassing gebruikt om MHT-bestanden te openen, hoeven gebruikers niet noodzakelijk IE als standaardbrowser in te stellen, en zijn ze nog steeds kwetsbaar zolang IE nog steeds op hun systemen aanwezig is en ze niet betalen aandacht voor de downloadbestanden op internet.
Op 27 maart bracht John Microsoft op de hoogte van dit beveiligingslek in hun browser, maar op 10 april ontving de onderzoeker een reactie van het bedrijf, waarin het bedrijf aangaf dit probleem niet als kritiek te beschouwen.
“De oplossing zal pas worden uitgebracht met de volgende versie van het product”, aldus Microsoft in de brief. "We hebben momenteel geen plannen om een oplossing voor dit probleem vrij te geven."
Na een duidelijke reactie van Microsoft publiceerde de onderzoeker details over de zero-day kwetsbaarheid op zijn website, evenals democode en een video op YouTube.
Hoewel de implementatie van dit beveiligingslek niet zo eenvoudig is en de gebruiker op de een of andere manier moet dwingen een onbekend MHT-bestand uit te voeren, mag dit beveiligingslek niet lichtvaardig worden opgevat, ondanks het uitblijven van een reactie van Microsoft. Hackergroepen hebben in het verleden MHT-bestanden gebruikt voor de verspreiding van phishing en malware, en niets weerhoudt hen er nu van om dit te doen.
Om dit en vele soortgelijke kwetsbaarheden te voorkomen, hoeft u echter alleen maar te letten op de extensie van de bestanden die u van internet ontvangt en deze te controleren met een antivirusprogramma of op de VirusTotal-website. En voor extra veiligheid kunt u eenvoudig uw favoriete browser, behalve Internet Explorer, instellen als de standaardtoepassing voor .mht- of .mhtml-bestanden. In Windows 10 gebeurt dit bijvoorbeeld vrij eenvoudig in het menu “Selecteer standaardapplicaties voor bestandstypen”.
Bron: 3dnews.ru