Исследователь безопасности Джон Пейдж (John Page) опубликовал подробные сведения об уязвимости XXE (XML eXternal Entity), обнаруженной в браузере Internet Explorer, которая позволяет злоумышленникам красть файлы с ПК под управлением Windows. Уязвимостью можно воспользоваться, когда пользователь открывает файл в формате MHT. Исследователь привел пример кода, демонстрирующий уязвимое место.
Напомним, MHT (MHTML Web Archive) — формат, в котором все браузеры IE по умолчанию сохраняют веб-страницы, например, когда пользователь нажимает сочетание клавиш CTRL+S. Современные браузеры уже не сохраняют веб-страницы в формате MHT и используют стандартный формат файла HTML, однако многие браузеры еще поддерживают формат MHT.
Поскольку в Windows все файлы MHT автоматически открываются по умолчанию в Internet Explorer, использование этой уязвимости является тривиальным. Пользователю достаточно всего лишь дважды щелкнуть по файлу, полученному по электронной почте или другим способом.
По словам Пейджа, код, использующий уязвимость, полагается на обработку программой Internet Explorer пользовательских команд CTRL+K (дублировать вкладку), «Предварительный просмотр» или «Печать». Обычно обработка требует некоторого взаимодействия с пользователем, но оно может быть автоматизировано и не является обязательным для доступа к уязвимости.
«Может сработать простой вызов Javascript-функции window.print (), не требующий взаимодействия пользователя с веб-страницей», — приводит источник слова Пейджа.
При этом средствами разметки вредоносный код может подавить выдачу системой безопасности Internet Explorer предупреждения, обычно сопровождающего создание экземпляров объектов ActiveX, таких как «Microsoft.XMLHTTP».
По словам Пейджа, он успешно протестировал уязвимость в новейшем браузере Internet Explorer v11 со всеми последними обновлениями безопасности в системах Windows 7, Windows 10 и Windows Server 2012 R2.
Пейдж сказал, что 27 марта уведомил Microsoft об уязвимости, но разработчик ОС и браузера отказался рассматривать возможность включения уязвимости в список для срочного устранения. В ответе Microsoft сказано, что вопрос исправления «будет рассмотрен в будущей версии», а пока «дело закрыто». После этого исследователь опубликовал подробности об уязвимости на своем сайте.