黑客利用Edge文件权限与IE发生冲突可导致XXE攻击

安全研究员John Page在3月27日向微软报告了一个XXE漏洞,并向其报告了详细信息,随后在4月10日发布了该漏洞的详细信息。目前,虽然微软尚未修复此漏洞,但它已发布了一个否认远程的微密码攻击...

安全研究员John Page在3月27日向微软公司汇报了一个XXE系统漏洞,并向其汇报了详细资料,紧接着在4月10日公布了该系统漏洞的详细资料。目前,虽然微软公司并未修补此系统漏洞,但它已公布了一个否定远程控制的微登陆密码网络攻击能够泄露当地文件并限制电子计算机上的活动。 关于系统漏洞,研究人员专业公布了一个视频来展现怎么使用: 系统漏洞介绍 当用户打开使用Edge浏览器下载的精制MHT文件时,可以起动此系统漏洞。因为该类文件是MHTML web Archives(Internet Explorer用以保存网页的默认设置文件格式),因此ie浏览器也是在Windows系统上打开该类文件的默认设置程序,因此无法找到异常内容。 ACROS安全研究员Mitja Kolsek分析了这个问题,并确定系统漏洞的来源于是Edge电脑浏览器中存在的“未记录的安全功能”,它干挠了Internet Explorer正确载入下载的web标识(MOTW)。该手机应用程序的功能。 在Microsoft公布对于此系统漏洞的修补程序之前,所有用户都可以通过0Patch平台获得上述微登陆密码。可以帮助Internet Explorer正确载入含有web标识的下载文件并检查错误。 安全功能之间的矛盾 MOTW是Windows系统自身的安全功能,在运作恳求当地管理权限的程序或脚本制作之前,这是ie浏览器的认证功能。 微软公司的表述是,加上MOTW网页页面容许web内容根据安全区域的标准运作。因此,因为脚本制作具有与活动主题相同的管理权限,因此无法升级或浏览该机资源。 Kolsek还发现使用ie浏览器下载的MHT文件具有与Edge查找不同的管理权限,后者在访问控制列表中加上了两个额外内容: S-1-15-3-3624051433-2125758914-1423191267-1740899205-1073925389-3782572162-737981194:(OI)(CI)(R) S-1-15-2-3624051433-2125758914-1423191267-1740899205-1073925389-3782572162-737981194:(OI)(CI)(R)

从图中可以看得出,Edge下载的文件将回绝载入或浏览文件的低一致性过程。 Kolsek表示,Edge正在使用此功能进一步提升已储存文件的安全系数,以防止恶意代码出现在低一致性沙盒中。 目前,MOTW信息也储存在数据流中,但ie浏览器在试着载入时候碰到错误,随后电脑浏览器会忽视该错误。结果是文件只能在没有MOTW标示的情况下以相同的方式处理。像普通文件一样。 根据Kolsek的说法,Page发现的XXE系统漏洞仅影响使用Edge的用户。其他电脑浏览器或电子邮件手机客户端没有发现相近的情况。 *参照源:bleepingcomputer,Karunesh91编译,从FreeBuf迁移 网络黑客业务目录介绍和一般归类: 类型:进攻侵入破译开发设计 1:进攻业务订单信息:临时撤销所有该类业务订单信息[仅销售基本AWS总流量] 2:侵入业务明细:包括网站源代码,办公系统,灰黑色系统,教育系统等。 3:破译业务类:软件,加密文件,再次装包,蜕壳等。 4:程序开发业务明细:软件程序开发,源码程序开发等 5:其他业务订单信息:特洛伊木马[通过所有病毒防护],远程操作,独特软件等 备注名称:未谈及的业务订单信息可根据主要类型查寻或直接联系顾客服务。为节省开支双方时间,请在咨询前阅读文章:业务交易流程及相关说明 注意:仅接受正式业务,个人无法接受。搜集此内容。