Microsoft Internet Explorer pozwala wykradać pliki. Poprawki nie będzie
Internet Explorer ma poważną lukę, która pozwala wykraść pliki z Windowsa. Atak jest możliwy, nawet jeśli IE nie jest ustawiony jako domyślna przeglądarka. Microsoft nie ma zamiaru tej luki naprawiać.
XXE w IE11 czyli błąd parsowania plików MHT, od których odeszły współczesne przeglądarki
Atak można przeprowadzić za pośrednictwem Internet Explorera 11 na systemach Windows 10, Windows 7 i Windows Server 2012 R2. Być może nie są to jedyne podatne wersje.
Błąd leży w sposobie przetwarzania plików MHT przez Internet Explorera, a w zasadzie w sposobie obsługi poleceń duplikowania karty, otwierania podglądu wydruku lub drukowania. Zwykle te polecenia wymagają interakcji z użytkownikiem, ale można je zautomatyzować i wykonać działania bez wiedzy użytkownika. Można więc skorzystać z wywołania funkcji window.print() w JavaScripcie. Ponadto można wyłączyć system powiadomień bezpieczeństwa Internet Explorera, korzystając z odpowiednich znaczników języka XML.
MHT to skrót od MHTML Web Archive. To domyślny sposób zachowywania stron, gdy użytkownik Internet Explorera zapisuje stronę skrótem Ctrl+S lub poleceniem zapisania strony. Współczesne przeglądarki w takiej sytuacji używają standardowego HTML-a, ale wciąż są w stanie przetworzyć ten stary format. Jednak ponieważ pliki tego typu domyślnie otwiera Internet Explorer, wykorzystanie luki jest trywialne.
Lukę odkrył i ujawnił analityk bezpieczeństwa John Page. Razem ze szczegółami opublikował przykładowy atak XXE (XML eXternal Entity) typu 0-day na Internet Explorera. Atak można przeprowadzić zdalnie, gdy użytkownik otworzy plik MHT. Wystarczy, że użytkownik otworzy spreparowany plik MHT, na przykład przysłany e-mailem jako fałszywa faktura.
Atakujący może w ten sposób uzyskać dostęp do plików lokalnych oraz zapoznać się z listą zainstalowanych programów i ich wersji. Page podał przykład, w którym atakujący może sprawdzić wersję zainstalowanego Pythona, sprawdzając plik c:\Python27\NEWS.txt.
0-day został opublikowany, poprawki nie będzie
Page poinformował Microsoft i podatności 27 marca, ale producent przeglądarki nie uznał tego błędu za warty naprawiania. Analityk dostał odpowiedź 10 kwietnia. Luka nie została uznana za istotną. Microsoft zamierza przyjrzeć się jej przed kolejnymi aktualizacjami, ale nie będzie informować o postępie prac i uważa sprawę za zamkniętą. To sugeruje, że prawdopodobnie nigdy nie zobaczymy wersji IE, w której ta podatność zostanie zabezpieczona.
Internet Explorer / XML External Entity Injection 0day / CVE-2019-0995
Według NetMarketShare IE jest używany na 7,34 proc. komputerów. Niestety IE nie musi być używany do przeglądania stron, by domyślnie otwierać pliki MHT, co czyni podatnymi o wiele więcej komputerów z Windowsem. Dlatego właśnie Page opublikował na swoim blogu szczegóły podatności i przykładowy atak. Zaleca też sprawdzanie wszystkich plików MHT przed otwarciem, bez względu na to, czy zapisaliśmy je sami lata temu, czy przyszły niedawno pocztą.