浏览器Edge视频 | 漏洞CVE-2018-0871 执行恶意HTML文件造成本地文件被窃取

Microsoft已修复Edge浏览器中的一个漏洞,在旧版本的浏览器中滥用该漏洞可能会从用户的计算机窃取本地文件。好消息是只有社会工程涉及利用这个缺陷,这意味着攻击不能大规模自动化,因此对最终用户造成较小的危险。

边缘缺陷与SOP有关

该漏洞由Netsparker安全研究员发现,涉及所有浏览器支持的同源策略(SOP)安全功能。在Edge和所有其他浏览器中,SOP的工作原理是阻止攻击者通过与同一域(子域),端口和协议不匹配的链接加载恶意代码。

SOP简介

同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。

研究员说Edge的SOP实现按预期工作,除了一个案例 – 当用户被欺骗在PC上下载恶意HTML文件然后运行它时。

当用户运行此HTML文件时,其恶意代码将通过file://协议加载,并且因为它是本地文件,所以它不具有域和端口值。这意味着这个恶意HTML文件可以包含从通过“file://”URL访问的本地文件中收集和窃取任何数据的代码。因为任何OS文件都可以通过浏览器中的file:// URL访问,这实际上使攻击者可以自由地收集和窃取他想要的任何本地文件。

针对性较强 不适用大规模传播

研究员说,在测试期间,他能够从本地计算机窃取数据并通过在Edge和Mail and Calendar应用程序中执行此文件将其发送到远程服务器。他还录制了一个嵌入下面的攻击视频。

攻击需要攻击者知道存储各种文件的位置,但是大多数情况下,某些操作系统和应用程序配置和存储文件存储在绝大多数设备的同一位置。此外,可以推断或猜测某些文件的位置。

对于大规模恶意软件分发活动,此漏洞可能没有用处,但它可能对针对高价值目标的更有针对性的攻击很有用。

虽然漏洞已修复 仍需谨慎打开HTML文件

但是,尽管微软已经在最近的Edge and Mail and Calendar应用程序版本中解决了这个问题,但研究员现在想要警告用户运行他们从陌生人或通过电子邮件收到的HTML文件的危险。

研究人员的警告是有用的,因为HTML文件通常不与常规恶意软件分发活动相关联。

根据F-Secure报告,只有五种文件类型占通过电子邮件垃圾邮件活动发送的所有恶意附件的85%。它们是ZIP,DOC,XLS,PDF和7Z。

“保护自己的唯一方法是更新到最新版本的Edge浏览器和Windows Mail和日历应用程序。当然,最好不要打开来自未知发件人的附件,即使扩展程序最初看起来不是研究人员在昨天发表的题为“ 利用微软边缘漏洞窃取文件 ” 的报告中称,这是恶意的。

其他浏览器并不容易受到他向微软报告的SOP漏洞的影响。微软已修复了漏洞(CVE-2018-0871)。

原文链接:

https://www.bleepingcomputer.com/news/security/microsoft-edge-flaw-lets-hackers-steal-local-files/

发表评论