Webový prohlížeč Microsoft Edge. Lesoir
Výzkumník zabezpečení společnosti Netsparker, Ziyahan Albeniz, objevil chybu v prohlížeči Microsoft Edge, která umožňovala šíření malwaru. Publikoval svá zjištění dne CVE-2018-0871 ( CVSS 3.0 Základní skóre 4,3) ve své zprávě s názvem „ Využití chyby zabezpečení Microsoft Edge ke krádeži souborů . “
Albeniz vysvětlil, že zranitelnost vyplynula z chyby související s funkcí politiky stejného původu. Při zneužití lze tuto chybu zabezpečení použít k šíření malwaru, který může provádět útoky typu phishing a krást informace. Velkým faktorem v šíření malwaru prostřednictvím tohoto kanálu byl vlastní vstup uživatele při stahování škodlivého souboru. Z tohoto důvodu nebyla chyba zabezpečení využitelná v masovém měřítku, a proto představovala menší riziko než většina bezpečnostních chyb prohlížeče.
Funkce zásad stejného původu je model zabezpečení webových aplikací, který se používá prakticky ve všech internetových prohlížečích. Umožňuje skriptům na jedné webové stránce přístup k datům na jiné, pokud webové stránky patří do stejné domény, protokolu a portu. Zabraňuje přístupu k webovým stránkám mezi doménami, což znamená, že škodlivý web nemůže získat přístup k pověření vašeho bankovního účtu, pokud jste přihlášeni na jiné kartě nebo jste se zapomněli odhlásit.
Případ, ve kterém selže bezpečnostní mechanismus SOP, je, když je uživatel podveden ke stažení škodlivého souboru HTML a jeho spuštění na svém počítači. Jakmile je soubor uložen místně, načte se do protokolu „file: //“, ve kterém nemá žádné nastavené číslo domény nebo portu. Protože prostřednictvím webových stránek SOP mají přístup pouze k informacím na stejné doméně / portu / protokolu, protože všechny ostatní místní soubory se spouštějí také v protokolu „file: //“, stažený škodlivý soubor HTML může přistupovat k libovolnému souboru v místním systému a ukrást data z toho.
Tuto chybu zabezpečení Microsoft Edge SOP lze použít k provádění cílených a přesných útoků. Jakmile je zamýšlený uživatel podveden ke stažení a spuštění souboru, může hacker slídit informace na svém PC a ukrást přesné informace, které hledá, za předpokladu, že ví, kde hledat. Jelikož tento útok není automatizovaný, znalost uživatele a koncového systému uživatele pomáhá účinně provádět útok.
Zihayan Albeniz natočil krátké video demonstrující tento útok. Vysvětlil, že dokázal tuto chybu zabezpečení v aplikacích Edge, Mail a Calendar zneužít ke krádeži dat z počítače a jejich vzdálenému načtení na jiném zařízení.
Společnost Microsoft přišla s aktualizací svého prohlížeče Edge, která tuto chybu zabezpečení opravuje. Aktualizace je k dispozici pro všechny příslušné verze Microsoft Edge pro Windows 10 v publikované verzi poradní bulletin. Navzdory skutečnosti, že byla vydána aktualizace řešící tuto chybu zabezpečení SOP, Albeniz stále varuje, že uživatelé by si měli dávat pozor na soubory HTML, které dostávají z neznámých zdrojů. HTML není konvenční typ souboru používaný k šíření malwaru, a proto je často netušený a způsobuje poškození.
