Beveiligingsonderzoeker John Page heeft details en een proof-of-concept gepubliceerd over een zero-day in Internet Explorer. Met de fout kunnen hackers bestanden stelen van Windows-systemen.
De kwetsbaarheid zit in de manier waarop Internet Explorer MHT-bestanden verwerkt, schrijft ZDNet. MHT staat voor MHTML Web Archive en is de standaard waarin alle Internet Explorer-browsers webpagina’s opslaan als de gebruiker op CTRL+S drukt. Moderne browsers slaan pagina’s niet meer in MHT op, maar veel ondersteunen het format nog wel.
Werking
De kwetsbaarheid waar John Page over gepubliceerd heet, is een XXE-kwetsbaarheid die misbruikt kan worden als een gebruiker een MHT-bestand opent. “Dit kan aanvallers op afstand in staat stellen om lokale bestanden te verzamelen en externe verkenningen uit te voeren op lokaal geïnstalleerde Program version-informatie”, aldus Page.
Omdat alle MHT-bestanden op Windows standaard geopend worden in Internet Explorer, is het misbruiken van de kwetsbaarheid eenvoudig. Gebruikers hoeven alleen maar dubbel te klikken op een bestand dat ze via e-mail, een chat-app of een ander medium ontvangen hebben.
De daadwerkelijke kwetsbare code draait om hoe de browser omgaat met CTRL+K (dupliceer tabblad), ‘Print Preview’ en ‘Print’-commando’s van gebruikers. Normaal gesproken is hier wat interactie van de gebruiker voor nodig, maar volgens Page kan de interactie geautomatiseerd worden. Daarnaast kan het beveiligingsalarmsysteem van de browser uitgeschakeld worden.
Reactie Microsoft
Page stelt dat hij Microsoft op 27 maart op de hoogte heeft gesteld van de kwetsbaarheid, maar dat het bedrijf weigerde om de bug te overwegen voor een snelle fix. “We hebben besloten dat een oplossing voor dit probleem overwogen wordt voor een toekomstige versie van dit product of deze dienst”, zei Microsoft op 10 april in een mail, stelt Page. “Op dit moment bieden we geen doorlopende updates over de status van de oplossing voor dit probleem, en hebben de zaak gesloten.”
Na die reactie heeft de onderzoeker details over de kwetsbaarheid gedeeld, samen met proof-of-concept code.
42 minuten geleden
