Internet Explorer中发现新漏洞,谨防窃取本地信息

作者:???深圳市网安计算机安全检测技术有限公司 2019/04/24 09:37:45 242次阅读 国际
文章来源:http://www.mottoin.com/detail/3920.html

? ? ? ?几天前,安全研究人员在Microsoft Internet Explorer中发现了一个零日XML外部实体(XXE)注入漏洞,该漏洞可使攻击者从受害者的机器上窃取机密信息或提取本地文件。

1Xm69meaTlTYnCwTb4di2n4r7wqyxthc5MUGBRAw.png

? ? ? ?根据研究人员的说法,IE是MHT文件的默认开启者,因此即使用户使用其他浏览器,IE也可能会打开恶意MHT文件。 MHT是Internet Explorer用于脱机下载和保存文件的格式。它可用于保存Web内容或保存电子邮件。

? ? ? ?研究人员发现IE浏览器中存在XXE漏洞,可以绕过ActiveX控件模块的安全性。通常,如果要激活ActiveX控件对象,IE将在地址栏中显示提示,然后用户必须手动单击“允许”才能执行。开发者只需要欺骗用户双击打开MHT文件。打开后,本地文件和相关程序版本信息将被泄露。

漏洞概况

? ? ? ?根据安全研究员John Page(又名hyp3rlinx)的说法,如果用户使用“Ctrl + K”键或“Ctrl + P”键与浏览器交互时打开特制的.MHT文件,则XXE注入会启动。此操作会触发XXE漏洞,并使攻击者能够从受影响的系统中提取文件。

? ? ? ?趋势科技的研究人员Ranga Duraisamy和Kassiane Westell透露,XXE注入漏洞利用CWE-611和CWE-827漏洞来成功注入攻击。

? ? ? ?“XXE注入的工作方式是利用具有不当权限的XML外部实体引用(CWE-611)的XML解析器,该引用用于访问未经授权的内容。XXE注入还利用错误配置的文档类型定义(CWE-827),用于定义标记语言(如XML)的文档类型,”研究人员说。

Bzw4W0zueaK5W3Ivd2TkyOcjQR5eaEfoi1NbFx5s.png

恶意XML文件,指定要从用户系统中提取的文件

不良影响

? ? ? ?成功利用此漏洞可以让威胁行为者获得对受感染系统上敏感文件的访问权限。它还可以提供侦察信息,攻击者可以使用它来执行其他攻击或部署更多的有效载荷。

? ? ? ?“例如,它可以向攻击者泄露客户端安装的应用程序、网络配置、权限和防病毒保护的详细信息。然后,攻击者可以使用获得的信息在受影响的系统网络中获得立足点,”研究人员进一步补充道。

如何触发漏洞

? ? ? ?攻击者严重依赖社交工程技术,如网络钓鱼电子邮件等,以诱骗受害者打开恶意.MHT文件。当受害者在Internet Explorer上打开恶意文件后,它会自动向攻击者的服务器发送GET请求以检索恶意XML文件。

FQTnIEtGiaAQGZ0jYLdk97Xukm1jwrbJYEN7qrBl.png

使用IE中的XXE漏洞从攻击者的计算机下载恶意XML文件

? ? ? ?此恶意XML文件包含有关指定用于外接过滤的文件的详细信息,以及攻击者所控制的服务器的统一资源标识符(URI)。

? ? ? ?研究人员已通知微软注意该漏洞。根据微软的说法,公司应该认为这个漏洞相对较小。毕竟,漏洞只能窃取非常有限的信息,而不会造成严重威胁。该公司计划在该产品未来版本中发布针对该漏洞的修复程序。同时,敦促用户避免打开未知来源的任何文件。


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室