Microsoft is gedaald tot een zero-day kwetsbaarheid in Internet Explorer, waarvoor een security-onderzoeker publiceerde details en proof-of-concept patch. De fout kan toestaan aanvallers om bestanden stelen van computers met Windows.
Specifieker, de onderzoeker met succes getest de zero-day exploit in de nieuwste versie van Internet Explorer Browser, v11, waar alle recente beveiligingspatches zijn toegepast. De systemen waarbij de exploit werd getest zijn Windows 7, Windows 10, en Windows Server 2012 R2 systemen.
Zero-day exploit in Internet Explorer
Security-onderzoeker John Pagina publiceerde onlangs details over een Xee (XML externe entiteit) fout in Internet Explorer. De bug kan worden geactiveerd wanneer een gebruiker een MHT-bestand opent.
Wat is een MHT-bestand? MHT is een webpagina archief bestandsformaat. De gearchiveerde webpagina een MHTML (kort voor MIME HTML) document. MHTML slaat de inhoud van webpagina's en is voorzien van externe middelen, zoals afbeeldingen, applets, Flash-animaties en ga zo maar door, in HTML-documenten, TechTarget verklaart.
Merk op dat wanneer u een webpagina opslaan in Internet Explorer als een webarchief, de pagina wordt opgeslagen als een MHT-bestand. Elke relatieve links in de HTML (die niet alle informatie over de locatie van de inhoud niet bevatten, maar neem aan dat alle inhoud in een map op de host server) zal opnieuw worden toegewezen, zodat de inhoud kan worden gelokaliseerd.
De recent ontdekte zero-day in Internet Explorer kunnen aanvallers in staat stellen om lokale bestanden exfiltrate en uit te voeren op afstand verkenning op lokaal geïnstalleerde programma versie-informatie, de onderzoeker uitgelegd. Een voorbeeld hiervan is wanneer een verzoek om ‘c:\Python27 NEWS.txt‘ kan versie-informatie terug te keren voor dat programma, hij voegde toe. In een notendop, “Internet Explorer is kwetsbaar voor XML externe entiteit aanval als een gebruiker een speciaal vervaardigd .MHT bestand lokaal opent.”
Het feit dat alle MHT bestanden automatisch worden ingesteld om te openen standaard in IE maakt de exploit nogal triviale. Potentiële slachtoffers zal alleen maar te dubbelklikken op een bestand zij eerder via e-mail of instant messaging ontvangen.
Volgens pagina, de kwetsbaarheid is gebaseerd op de manier waarop Internet Explorer omgaat met CTRL + K (duplicate tab), “Afdrukvoorbeeld,” of “Afdrukken” gebruiker commando's.
Het beveiligingslek vormt een risico voor over 7.34 procent van de gebruikers, volgens NetMarketShare statistieken, als steeds minder gebruikers met Internet Explorer als ze vertrouwen op meer moderne browsers.
Niettemin, de zero-day mag niet worden verwaarloosd als Windows nog steeds gebruik maakt van IE als de standaard app om MHT bestanden te openen. In feite, voor gebruikers om in gevaar, ze hoeven niet te IE set als standaard browser. Het feit dat IE aanwezig is in hun Windows is genoeg om hen kwetsbaar maken, als aanvallers nog steeds een manier om gebruikers te verleiden tot het openen van een MHT bestand kan vinden.
What Did Microsoft Say?
De onderzoeker gemeld Microsoft over de zero-day een paar weken geleden, maart 27. Het slechte nieuws is dat het bedrijf niet van plan om de bug in een dringende security fix vast te stellen. Hier is het antwoord Pagina kreeg van Microsoft on April 10:
We hebben vastgesteld dat een oplossing voor dit probleem in een toekomstige versie van dit product of dienst zal worden beschouwd. Momenteel, wij zullen niet leveren voortdurend updates van de status van de oplossing voor dit probleem, en we hebben deze zaak gesloten.
Na ontvangst van deze negatieve respons, de onderzoeker besloten om de zero-day openbaar te maken en zelfs bracht een proof-of-concept code en een demo.