×
internet-explorer-logo.png
Een security-onderzoeker heeft vandaag gepubliceerde details en proof-of-concept code voor Internet Explorer zero-day die hackers in staat stellen om te stelen van bestanden van Windows-systemen.
De kwetsbaarheid bevindt zich in de manier waarop Internet Explorer-processen MHT-bestanden. MHT staat voor MHTML-Web-Archief en is de standaard waaraan alle IE browsers webpagina ‘ s opslaan als een gebruiker raakt de CTRL+S (Sla webpagina) opdracht.
Ook: Microsoft security chief: IE is niet een browser, dus stoppen met het gebruik als de standaard
Moderne browsers niet webpagina ‘ s opslaan in het MHT-indeling niet meer, en het gebruik van de standaard HTML-bestand formaat; echter, veel moderne browsers ondersteunen nog de verwerking van de indeling.
Een XXE in IE 11
Vandaag, security-onderzoeker John Pagina gepubliceerd details over een XXE (XML eXternal Entity) kwetsbaarheid in internet explorer die kunnen worden benut wanneer een gebruiker opent een MHT-bestand.
“Hierdoor kunnen externe aanvallers mogelijk exfiltrate Lokale bestanden en uitvoeren van externe verkenning op lokaal geïnstalleerd
Versie-informatie” op Pagina gezegd. “Bijvoorbeeld een aanvraag voor ‘c:Python27NEWS.txt’ kan terugkeren versie-informatie van het programma.”
Omdat Windows alle MHT-bestanden worden automatisch ingesteld op standaard geopend in Internet Explorer, die misbruik maken van deze kwetsbaarheid is triviaal, als gebruikers hoeven alleen te dubbelklikken op een bestand en ze ontvangen via e-mail, instant messaging of een andere vector.
Pagina ‘ zei de werkelijke kwetsbare code is gebaseerd op hoe Internet Explorer omgaat met CTRL+K (dubbele tab), “Print Preview” of “Print” commando ‘ s.
Normaal is dit vereist enige interactie van de gebruiker, maar Pagina ‘ zei deze interactie kan worden geautomatiseerd en is niet nodig voor het activeren van de kwetsbaarheid te exploiteren keten.
“Een simpel telefoontje naar het raam.print() Javascript-functie die u zou moeten doen de truc, zonder dat enige interactie van de gebruiker met de webpagina,” zei hij.
Bovendien, Internet Explorer security alert-systeem kan ook worden uitgeschakeld.
“Meestal, bij het instantiëren van ActiveX-Objecten zoals de ‘Microsoft.XMLHTTP’ gebruikers krijgen een waarschuwing bar in IE en worden gevraagd om te activeren geblokkeerde inhoud,” de onderzoeker zei. “Echter, bij het openen van een speciaal vervaardigde .MHT-bestand met behulp van kwaadaardige < xml > markup-tags krijgt de gebruiker geen
actieve inhoud of veiligheid bar waarschuwingen.”
Exploit werkt op Windows 7, 10, Server 2012 R2
Pagina ‘ zei hij met succes getest de exploit in de nieuwste Internet Explorer Browser v11 met alle recente beveiligingspatches op Windows 7, 10 en Windows Server 2012 R2-systemen.
Waarschijnlijk het enige goede nieuws over dit beveiligingslek openbaarmaking is het feit dat Internet Explorer, zodra dominante marktaandeel is nu geslonken tot een schamele 7.34 procent, volgens NetMarketShare, wat betekent dat de browser wordt zelden gebruikt.
Maar, zoals Windows gebruikt IE als standaard-app te openen MHT-bestanden, gebruikers hoeven niet per se te hebben IE ingesteld als de standaard browser, en zijn nog steeds kwetsbaar zolang IE nog steeds op hun systemen, en ze verleid tot het openen van een MHT-bestand.
Microsoft op de hoogte was gebracht, maar daalde naar patch
Pagina ‘ zei hij aangemelde Microsoft over deze nieuwe IE kwetsbaarheid op 27 Maart, maar de verkoper heeft geweigerd het te overwegen de bug voor een dringende security fix in een bericht verstuurd naar de onderzoeker gisteren, 10 April.
“We hebben vastgesteld dat een oplossing voor dit probleem zal worden beschouwd in een toekomstige versie van dit product of van de dienst,” Microsoft zei, volgens Pagina. “Op dit moment zijn we niet voortdurende updates van de status van de correctie voor dit probleem, en we hebben gesloten is in deze zaak.”
Volgende Microsoft stevige reactie van de onderzoeker details vrijgegeven over de zero-day op zijn site, samen met bewijs-van-concept code en een YouTube demo.
Deze kwetsbaarheid moet niet lichtvaardig worden genomen, ondanks dat Microsoft ‘ s antwoord. Cybercrime groepen hebben misbruikt MHT-bestanden voor spear-phishing-en malware-verspreiding in de vorige jaren, en MHT-bestanden zijn een populaire manier voor het verpakken en het leveren van exploits die de computers van gebruikers.
Omdat ze het kunnen opslaan van kwaadaardige code, alle MHT-bestanden altijd moeten worden gescand voordat opening, ongeacht of het bestand werd onlangs ontvangen, of het ‘ s staan er op uw PC maanden.
Meer kwetsbaarheid rapporten:
Dragonblood kwetsbaarheden bekend gemaakt in WiFi WPA3 standardTens van duizenden auto ‘ s waren kwetsbaar voor dieven door een hardcoded wachtwoord
Adobe patch update pompoenen kritieke code bugsBackdoor code gevonden in de populaire Bootstrap-Sass Ruby libraryMicrosoft s April Patch dinsdag komt met oplossingen voor twee Windows zero-daysSome enterprise VPN-apps store authenticatie/sessie cookies insecurelyKRACK aanval: Hier is hoe bedrijven reageren CNETTop 10 app kwetsbaarheden: Ongepatchte plug-ins en extensies domineren TechRepublic
Verwante Onderwerpen:
Microsoft
Beveiliging TV
Data Management
CXO
Datacenters