Edge 浏览器有缺陷 可导致本地文件被盗
翻译:360代码卫士团队
微软修复了 Edge 浏览器中可窃取用户本地文件的漏洞。不过好在利用该漏洞需要使用社工技术,因此攻击无法大规模自动实施,因而对终端用户造成的危险也有所降低。
和 SOP 相关
Netsparker 公司的研究员 Ziyahan Albeniz 发现了这个漏洞,它和受所有浏览器支持的同源策略 (SOP) 安全功能有关。
在 Edge 和其它所有浏览器中,SOP 阻止攻击者从域名(子域名)、端口和协议不匹配的链接中加载恶意代码。
Albeniz 表示,Edge 浏览器的 SOP 实现在一种情况下出现问题:即用户被诱骗下载并运行恶意 HTML 文件。当运行该 HTML 文件时,恶意代码将会通过 file:// protocol 加载;而且因为它是一个本地文件,因此不具有域名和端口值。也就是说这个恶意 HTML 文件包含的代码通过 file:// URL 访问的本地文件收集并窃取数据。
由于任何操作系统文件均可通过浏览器中的 file://URL 访问,因此这就导致攻击者能随意收集并窃取本地文件。
可用于针对性攻击
Albeniz 表示,在测试中他还能够从本地计算机中窃取数据并通过在 Edge、Mail 和 Calendar app 中执行文件的方式发送至远程服务器。
虽然攻击要求攻击者知道各种文件的存储位置,但在多数情况下,一些操作系统和app 的配置和存储文件都被存储在多数设备相同的位置。另外,某些文件的位置还可被推断或猜测出来。
这个漏洞可能对于大规模的恶意软件传播活动而言并没有作用,但在针对高价值目标的针对性攻击中就是另外一番景象了。
警惕打开未知来源的 HTML 文件
但是,虽然微软在最新的 Edge 和 Mail 以及 Calendar app 版本中解决了这个问题,但 Albeniz 仍然想警告用户关于运行从陌生人或邮件收到的 HTML 文件的危险性。
研究人员的警告不无道理,因为 HTML 文件通常和普通的恶意软件传播活动之间并不相关。
F-Secure 公司发布报告称,五种文件类型(ZIP、DOC、XLS、PDF 和7Z)就构成85%的邮件恶意附件。
研究人员在名为《利用微软 Edge 浏览器中的漏洞窃取文件》的论文中指出,“保护自己的唯一方式就是将 Edge 浏览器和 Windows Mail 以及 Calendar 应用更新至最新版本。当然,最好不要打开来自未知发件人的附件,即使附件扩展看似并非恶意。”
Albeniz 指出,这个 SOP 漏洞并不影响其它浏览器。他表示微软已在2018年6月的补丁星期二中修复了这个漏洞 (CVE-2018-0871)。
关联阅读
原文链接
https://www.bleepingcomputer.com/news/security/microsoft-edge-flaw-lets-hackers-steal-local-files/
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。