Компания Microsoft закрыла уязвимость в браузере Edge, которая открывала злоумышленникам доступ к локальным файлам на компьютере. Метод позволял при помощи специально созданных HTML-страниц обойти правило ограничения домена (Same-Origin Policy), не привлекая внимания антивирусных систем.

Политика безопасности SOP запрещает скриптам на веб-странице получать данные с других сайтов. В противном случае злоумышленники могли бы, например, заманив пользователя на свою площадку, обратиться от его лица к онлайн-банку или другому веб-ресурсу, в котором тот авторизован, и провести незаконную операцию. Согласно принципам SOP, для успешного обмена запросами между двумя элементами они должны иметь общий домен, порт и протокол.

Специалист компании Netsparker Зияхан Албениз (Ziyahan Albeniz) нашел способ обойти это ограничение с помощью зловредного HTML-вложения. HTML-документы, хранящиеся локально, открываются в окне интернет-браузера. При этом в адресной строке отображается протокол file://.

Правила SOP в Edge разрешали скриптам из такого HTML-документа обращаться к другим файлам, которые также можно просматривать в браузере через file://. Поскольку все они хранятся локально, у них отсутствуют домен и порт, т.  е. эти значения совпадают по умолчанию. Протокол доступа также одинаков, поэтому политика SOP считала доступ оправданным.

Альбениз опубликовал видео с демонстрацией атаки. Браузер сначала открывает вредоносное вложение, затем, буквально через секунду — целевой TXT-документ на соседней вкладке. Программа не предупреждает о том, что скрипт читает локальный файл, так что пользователь может и не узнать о компрометации своих данных.

Чтобы технология сработала, жертва должна сама сохранить, а затем открыть HTML-вложение. Благодаря этой особенности автоматизировать механизм и проводить массовые нападения через данную уязвимость нельзя. Кроме того, злоумышленник должен точно знать путь к интересующим его данным. Тем не менее, метод может оказаться эффективным при целевых атаках, которые включают длительную подготовку с выяснением всех необходимых деталей.

Эксперты обращают внимание пользователей на опасность HTML-страниц, которые редко ассоциируются с фишингом. Основной объем вредоносных писем (до 85%) содержит ZIP- или 7Z-архивы, DOC, XLS, PDF-документы. Адресат сообщения с HTML-вложением может ничего не заподозрить, особенно если текст письма будет звучать убедительно.

Чтобы защититься от уязвимости, пользователям следует установить последние версии MS Edge и приложений Mail и Calendar. Специалисты также напоминают, что не стоит открывать подозрительные вложения от неизвестных отправителей.

Категории: Уязвимости