У петак, 12. априла, стручњак за безбедност информација Џон Пејџ објавио је информацију о некоригованој рањивости у тренутној верзији Интернет Екплорер-а, а такође је демонстрирао њену примену. Ова рањивост би потенцијално могла да омогући нападачу да добије садржај локалних датотека корисника Виндовс-а, заобилазећи безбедност претраживача.
Рањивост лежи у начину на који Интернет Екплорер рукује МХТМЛ датотекама, обично онима са екстензијом .мхт или .мхтмл. Интернет Екплорер подразумевано користи овај формат за чување веб страница и омогућава вам да сачувате цео садржај странице заједно са свим медијским садржајем као једну датотеку. Тренутно већина савремених претраживача више не чува веб странице у МХТ формату и користи стандардни ВЕБ формат - ХТМЛ, али и даље подржава обраду датотека у овом формату, а може га користити и за чување са одговарајућим подешавањима или коришћењем екстензија.
Рањивост коју је открио Џон припада класи рањивости КСКСЕ (КСМЛ еКстернал Ентити) и састоји се од нетачне конфигурације руковаоца КСМЛ кодом у Интернет Екплорер-у. „Ова рањивост омогућава удаљеном нападачу да добије приступ корисничким локалним датотекама и, на пример, извуче информације о верзији софтвера инсталираног на систему“, каже Пејџ. „Дакле, упит за „ц:Питхон27НЕВС.ткт“ ће вратити верзију тог програма (Питхон интерпретер у овом случају).“
Пошто се у Виндовс-у све МХТ датотеке отварају у Интернет Екплорер-у подразумевано, искоришћавање ове рањивости је тривијалан задатак, јер корисник треба само да двапут кликне на опасну датотеку примљену путем е-поште, друштвених мрежа или инстант месинџера.
„Обично, када креирате инстанцу АцтивеКс објекта, као што је Мицрософт.КСМЛХТТП, корисник ће добити безбедносно упозорење у Интернет Екплорер-у које ће тражити потврду да активира блокирани садржај“, објашњава истраживач. „Међутим, када отворите унапред припремљену .мхт датотеку користећи посебно стилизоване ознаке за означавање корисник неће добијати упозорења о потенцијално штетном садржају“.
Према Пејџу, он је успешно тестирао рањивост у тренутној верзији претраживача Интернет Екплорер 11 са свим најновијим безбедносним исправкама за Виндовс 7, Виндовс 10 и Виндовс Сервер 2012 Р2.
Можда је једина добра вест у јавном откривању ове рањивости чињеница да је некада доминантни тржишни удео Интернет Екплорер-а сада пао на само 7,34%, према НетМаркетСхаре-у. Али пошто Виндовс користи Интернет Екплорер као подразумевану апликацију за отварање МХТ датотека, корисници не морају нужно да постављају ИЕ као подразумевани прегледач, а и даље су рањиви све док је ИЕ и даље присутан на њиховим системима и не плаћају обратите пажњу на датотеке формата за преузимање на Интернету.
Још 27. марта, Џон је обавестио Мицрософт о овој рањивости у свом претраживачу, али је 10. априла истраживач добио одговор од компаније, где је назначио да не сматра овај проблем критичним.
„Поправка ће бити објављена само са следећом верзијом производа“, наводи Мицрософт у писму. „Тренутно немамо планове да објавимо решење за ово питање.
Након јасног одговора Мицрософта, истраживач је објавио детаље рањивости нултог дана на својој веб страници, као и демо код и видео на Јутјубу.
Иако имплементација ове рањивости није тако једноставна и захтева на неки начин присиљавање корисника да покрене непознату МХТ датотеку, ову рањивост не треба схватати олако упркос недостатку одговора од стране Мицрософта. Хакерске групе су користиле МХТ датотеке за пхисхинг и дистрибуцију малвера у прошлости, и ништа их неће спречити да то учине сада.
Међутим, да бисте избегли ову и многе сличне рањивости, потребно је само да обратите пажњу на екстензију датотека које добијате са Интернета и проверите их антивирусом или на веб локацији ВирусТотал. А ради додатне безбедности, једноставно поставите свој омиљени прегледач осим Интернет Екплорер-а као подразумевану апликацију за .мхт или .мхтмл датотеке. На пример, у оперативном систему Виндовс 10 то се ради прилично лако у менију „Изаберите стандардне апликације за типове датотека“.
Извор: 3дневс.ру