Правило безопасности, давшее сбой
Microsoft исправила уязвимость в своем браузере Edge, которая позволяла красть локальные файлы. Атака срабатывала только со старыми версиями Edge и в основном использовала принципы социальной инженерии.
Баг, обнаруженный экспертом по безопасности Зийяханом Альбеницем (Ziyahan Albeniz) из компании Netsparker, оказался напрямую связан с функцией безопасности под названием «правило ограничения домена» (Same-Origin Policy - SOP). Эта функция поддерживается всеми современными браузерами.
Политика разрешает сценариям, находящимся на страницах одного сайта, доступ к методам и свойствам друг друга без ограничений, но предотвращает доступ к большинству методов и свойств для страниц на разных сайтах. Одинаковые источники — это источники, у которых совпадают домен, порт и протокол.
По словам Альбеница, реализация SOP в браузере Edge работает именно так, как и предполагается, за исключением одного варианта: когда пользователей обманом заставляют скачать на локальный компьютер вредононый HTML-файл и открыть его с диска. В таком случае скрытый в нём вредоносный код будет запущен через протокол file://, и, поскольку это локальный файл, у него не будет ни домена, ни значения порта.
Такой HTML-файл может содержать код, крадущий данные из локальных файлов, доступных через URL, начинающийся с "file://".
Полный текст исследования Альбеница доступен по ссылке.
Обновите Edge, Mail и Calendar
Альбениц утверждает, что ему удалось произвести вывод данных из локальных систем и отправить их на удалённый сервер, используя, помимо Edge, приложения Windows Mail и Calendar.
Для проведения успешной атаки злоумышленнику необходимо знать, где какие файлы хранятся. В некоторых операционных системах месторасположение файлов настроек приложений и связанных с ними файлов с данными совпадает, кроме того его легко угадать.
Сам Альбениц считает, что такой метод вывода данных не будет эффективен при массовой рассылке, однако вполне может хорошо работать при целевых атаках.
«Получение файла с расширением .htm/.html из непроверенного источника сразу же должно вызывать подозрения, - считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. - Равно как и .zip, и любого другого файла, который может содержать какой бы то ни было вредоносный компонент или «подтягивать» его извне. Что касается конкретной данной уязвимости, то защита от неё потребует обновления и Microsoft Edge, и приложений Mail и Calendar до последних версий.
В других браузерах данная уязвимость отсутствует вне зависимости от версии.
Поделиться
