W piątek 12 kwietnia specjalista ds. bezpieczeństwa informacji John Page opublikował informację o nieskorygowanej luce w aktualnej wersji przeglądarki Internet Explorer, a także zademonstrował jej wdrożenie. Luka ta może potencjalnie umożliwić osobie atakującej uzyskanie zawartości lokalnych plików użytkowników systemu Windows z pominięciem zabezpieczeń przeglądarki.
Luka polega na sposobie, w jaki program Internet Explorer obsługuje pliki MHTML, zazwyczaj te z rozszerzeniem .mht lub .mhtml. Ten format jest domyślnie używany przez przeglądarkę Internet Explorer do zapisywania stron internetowych i umożliwia zapisanie całej zawartości strony wraz z całą zawartością multimedialną w jednym pliku. Na chwilę obecną większość nowoczesnych przeglądarek nie zapisuje już stron internetowych w formacie MHT i korzysta ze standardowego formatu WEBOWEGO - HTML, ale nadal wspierają przetwarzanie plików w tym formacie, a także mogą go wykorzystać do zapisywania z odpowiednimi ustawieniami lub korzystania z rozszerzeń.
Odkryta przez Johna luka należy do klasy luk XXE (XML eXternal Entity) i polega na nieprawidłowej konfiguracji modułu obsługi kodu XML w przeglądarce Internet Explorer. „Ta luka umożliwia zdalnemu atakującemu uzyskanie dostępu do lokalnych plików użytkownika i na przykład wydobycie informacji o wersji oprogramowania zainstalowanego w systemie” – mówi Page. „Zatem zapytanie o„ c:Python27NEWS.txt ”zwróci wersję tego programu (w tym przypadku interpretera Pythona).”
Ponieważ w systemie Windows wszystkie pliki MHT otwierają się domyślnie w przeglądarce Internet Explorer, wykorzystanie tej luki jest banalnym zadaniem, ponieważ użytkownik musi jedynie dwukrotnie kliknąć niebezpieczny plik otrzymany e-mailem, sieciami społecznościowymi lub komunikatorami internetowymi.
„Zazwyczaj podczas tworzenia instancji obiektu ActiveX, takiego jak Microsoft.XMLHTTP, użytkownik otrzyma w przeglądarce Internet Explorer ostrzeżenie dotyczące bezpieczeństwa z prośbą o potwierdzenie aktywacji zablokowanej zawartości” – wyjaśnia badacz. „Jednak podczas otwierania wcześniej przygotowanego pliku .mht przy użyciu specjalnie stylizowanych znaczników użytkownik nie będzie otrzymywać ostrzeżeń o potencjalnie szkodliwych treściach.”
Według Page’a pomyślnie przetestował lukę w aktualnej wersji przeglądarki Internet Explorer 11 ze wszystkimi najnowszymi aktualizacjami zabezpieczeń dla systemów Windows 7, Windows 10 i Windows Server 2012 R2.
Być może jedyną dobrą wiadomością związaną z publicznym ujawnieniem tej luki jest fakt, że według NetMarketShare niegdyś dominujący udział w rynku przeglądarki Internet Explorer spadł do zaledwie 7,34%. Ponieważ jednak system Windows używa przeglądarki Internet Explorer jako domyślnej aplikacji do otwierania plików MHT, użytkownicy niekoniecznie muszą ustawiać IE jako domyślną przeglądarkę i nadal są narażeni na ataki, o ile IE jest nadal obecny w ich systemach i nie płacą zwróć uwagę na format plików do pobrania w Internecie.
Już 27 marca John powiadomił Microsoft o tej luce w ich przeglądarce, jednak 10 kwietnia badacz otrzymał odpowiedź od firmy, w której wskazano, że nie uważa tego problemu za krytyczny.
„Poprawka zostanie udostępniona dopiero w następnej wersji produktu” – oznajmił Microsoft w piśmie. „Obecnie nie mamy planów wydania rozwiązania tego problemu”.
Po jasnej odpowiedzi Microsoftu badacz opublikował na swojej stronie internetowej szczegółowe informacje na temat luki zero-day, a także kod demonstracyjny i film na YouTube.
Chociaż implementacja tej luki nie jest taka prosta i wymaga w jakiś sposób zmuszenia użytkownika do uruchomienia nieznanego pliku MHT, tej luki nie należy lekceważyć pomimo braku odpowiedzi ze strony firmy Microsoft. Grupy hakerów wykorzystywały w przeszłości pliki MHT do phishingu i dystrybucji złośliwego oprogramowania i obecnie nic nie powstrzyma ich przed zrobieniem tego.
Aby jednak uniknąć tej i wielu podobnych podatności, wystarczy zwrócić uwagę na rozszerzenie plików otrzymywanych z Internetu i sprawdzić je za pomocą programu antywirusowego lub na stronie VirusTotal. Aby zwiększyć bezpieczeństwo, po prostu ustaw swoją ulubioną przeglądarkę inną niż Internet Explorer jako domyślną aplikację dla plików .mht lub .mhtml. Na przykład w systemie Windows 10 można to zrobić dość łatwo w menu „Wybierz standardowe aplikacje dla typów plików”.
Źródło: 3dnews.ru