Microsoft Edge-nettleser. Lesoir
Netsparkers sikkerhetsforsker, Ziyahan Albeniz, oppdaget et sårbarhet i Microsofts Edge-nettleser som tillot spredning av skadelig programvare. Han publiserte sine funn den CVE-2018-0871 ( CVSS 3.0 Grunnpoeng på 4,3) i sin rapport med tittelen “ Utnytte et sikkerhetsproblem i Microsoft Edge for å stjele filer . '
Albeniz forklarte at sårbarheten kom ut av en funksjonsrelatert feil med Same-Origin Policy. Ved utnyttelse kan sårbarheten brukes til å spre skadelig programvare som kan utføre nettfisking og stjele informasjon. En stor faktor i spredningen av skadelig programvare gjennom denne kanalen var brukerens egne innspill i nedlasting av den ondsinnede filen. Dette er grunnen til at sårbarheten ikke kunne utnyttes i masseskala og utgjorde derfor en mindre risiko enn de fleste sikkerhetsfeil i nettleseren.
Same-Origin Policy-funksjonen er en sikkerhetsmodell for webapplikasjoner som brukes i praktisk talt alle nettlesere. Det lar skript på en webside få tilgang til data på en annen så lenge nettsidene tilhører samme domene, protokoll og port. Det forhindrer tilgang på tvers av domener til nettsider, noe som betyr at et ondsinnet nettsted ikke får tilgang til bankkontolegitimasjonen din hvis du er logget på en annen fane eller hvis du har glemt å logge av.
SOP-sikkerhetsmekanismen mislykkes, er når en bruker blir lurt til å laste ned en ondsinnet HTML-fil og kjøre den på datamaskinen. Når filen er lagret lokalt, lastes den inn i 'file: //' -protokollen der den ikke har noe angitt domene eller portnummer. Siden SOP-nettsider bare har tilgang til informasjon på samme domene / port / protokoll, da alle andre lokale filer også startes i 'file: //' -protokollen, kan den nedlastede skadelige HTML-filen få tilgang til hvilken som helst fil på det lokale systemet og stjele data fra den.
Denne Microsoft Edge SOP-sårbarheten kan brukes til å utføre målrettede og presise angrep. Når en tiltenkt bruker er lurt til å laste ned og kjøre filen, kan hackeren snike seg gjennom informasjonen på PC-en og stjele den nøyaktige informasjonen han / hun leter etter, forutsatt at han vet hvor han skal lete. Siden dette angrepet ikke er automatisert, hjelper det å kjenne brukeren og brukerens sluttsystem effektivt å utføre angrepet.
Zihayan Albeniz spilte inn en kort video som demonstrerte dette angrepet. Han forklarte at han var i stand til å utnytte dette sikkerhetsproblemet i Edge, Mail og Calendar, for å stjele data fra en datamaskin og hente dem eksternt på en annen enhet.
Microsoft har kommet med en oppdatering for Edge-nettleseren som løser dette sikkerhetsproblemet. Oppdateringen er tilgjengelig for alle respektive Windows 10-versjoner av Microsoft Edge i den publiserte rådgivende bulletin. Til tross for at oppdateringen er utgitt som løser dette SOP-sikkerhetsproblemet, advarer Albeniz likevel om at brukerne bør være skeptiske til HTML-filene de mottar fra ukjente kilder. HTML er ikke den konvensjonelle filtypen som brukes til å spre skadelig programvare, og derfor blir den ofte mistenkt og forårsaker skade.
