Przeglądarka Microsoft Edge miała lukę, przez którą można było ukraść pliki
Przeglądarka Microsoft Edge do niedawna miała ciekawą lukę, którą można było wykorzystać do wykradnięcia lokalnych plików z komputera użytkownika. Dobra wiadomość jest taka, że atak wymagał też inżynierii społecznej i przekonania użytkownika, by pobrał na swój komputer spreparowany plik HTML. To znacznie utrudnia wykorzystanie go i zmniejsza zasięg. Nie wiemy jednak, czy były osoby, które padły ofiarą ataku.
Luka CVE-2018-0871 w starszych wersjach przeglądarki była związana z systemem SOP (Same-Origin Policy). To zabezpieczenie implementowane w wielu współczesnych przeglądarkach. Jego działanie zapobiega ładowaniu szkodliwego kodu przez odnośniki niepasujące do domeny strony źródłowej, wymagające zmiany portu lub protokołu komunikacji.
W przypadku Edge'a można było obejść zabezpieczenie SOP w jednym przypadku. Trzeba było przekonać użytkownika, by pobrał na swój dysk plik HTML i otworzył go w przeglądarce lokalnie. Dzięki temu szkodliwy kod można załadować, korzystając z protokołu file://, który ze swojej natury nie ma zdefiniowanego portu ani domeny. Złośliwy kod miał dzięki temu dostęp do wszystkich plików na dysku zaatakowanego komputera, do których mógł dostać się protokołem file:// z poziomu przeglądarki.
Odkrywca luki, Ziyahan Albeniz z firmy Netsparker, był w stanie tym sposobem wykraść pliki z atakowanych komputerów i wysłać je na zdalne serwery. Musiał jednak wiedzieć, gdzie znajdują się pliki, których szuka. Nie jest to szczególnie trudne – można próbować zgadnąć, gdzie użytkownik trzyma interesujące dane, a pliki konfiguracyjne programów zwykle są w tym samym miejscu na każdym komputerze. Kradzież udała się nie tylko z poziomu Edge'a, ale też klienta poczty i kalendarza dostarczonego z systemem Windows 10. Albeniz pokazał swój atak na filmie.
PoC video for Microsoft Edge Browser vulnerability
Luka raczej nie przydała się do ataków na większą skalę czy do rozprzestrzeniania malware. Zastosowanie znalazłaby raczej w atakach kierowanych na konkretne maszyny, na których przechowywane są wartościowe pliki. Warto dodać, że zwykle nie spodziewamy się ataków wykorzystujących lokalne pliki HTML. Według F-Secure za 85% wszystkich ataków odpowiada tylko 5 formatów plików: ZIP, DOC, XLS, PDF i 7Z.
Na szczęście taki atak już nam nie zagraża. Wszystkie trzy podatne programy dostały już zabezpieczenia w czerwcowej paczce poprawek. Warto więc zainstalować najnowszą wersję oprogramowania i nie otwierać plików pochodzących z nieznanych źródeł, nawet jeśli to niewinnie wyglądający HTML.
