Een beveiligingsonderzoeker heeft een proof-of-concept gepubliceerd van een zero-dayaanval die aanvallers toelaat om via Internet Explorer bestanden van Windows-systemen te stelen. De onderzoeker maakte de code publiek nadat Microsoft weigerde een patch uit te brengen.
De kwetsbaarheid schuilt in de manier waarop Internet Explorer omgaat met MHT-bestanden. Dat is het bestandsformaat waarin de browser een webpagina opslaat wanneer je het commando ‘Ctrl+S’ gebruikt. Moderne browsers maken hiervoor gebruik van het HTML-formaat, maar bieden vaak wel nog ondersteuning voor MHT.
Beveiligingsonderzoeker John Page ontdekte de XXE-bug (XML eXternal Entity) in Internet Explorer, die kan worden misbruikt wanneer een gebruiker een MHT-bestand opent. “Hierdoor kunnen externe aanvallers lokale betanden eventueel exfiltreren en verkenning vanop afstand uitvoeren naar lokaal geïnstalleerde programma’s. Een request voor ‘c:Python27NEWS.txt’ kan bijvoorbeeld versie-informatie over dat programma retourneren”, legt Page uit aan ZDNet.
De aanval is volgens de onderzoeker bijzonder triviaal, aangezien het standaardgedrag is om MHT-bestanden in Internet Explorer te openen. Er is wel enige gebruikersinteractie vereist om de aanval te doen werken, maar die kan eenvoudig worden geautomatiseerd en is bovendien niet nodig om de exploit-keten in gang te zetten. Tot slot is het volgens de onderzoeker ook niet moeilijk om het ingebakken waarschuwingssysteem van IE te omzeilen, zodat de aanval onopgemerkt kan worden uitgevoerd.
Geen snelle patch
Page kon de exploit succesvol uitvoeren in de recentste versie van Internet Explorer 11 op Windows 7, Windows 10 en Windows Server 2012 R2. Hij verwittigde Microsoft van zijn ontdekking op 27 maart, maar het bedrijf zag reden om een snelle noodpatch uit te brengen, zo klonk het in een antwoord aan de onderzoeker op 10 april: “We hebben bepaald dat een oplossing voor dit probleem wordt overwogen in een toekomstige versie van dit product of deze service.”
Als reactie maakte Page een proof-of-concept van de exploit publiek, om Microsoft alsnog onder druk te zetten om met een oplossing te komen. Hoewel het marktaandeel van Internet Explorer amper 7,38 procent is volgens NetMarketShare, is de browser wel nog altijd op talloze Windows-systemen geïnstalleerd. Gebruikers hoeven de browser zelf niet te gebruiken om kwetsbaar te zijn: MHT-bestanden openen zoals gezegd automatisch in IE, waardoor de aanwezigheid van de browser op een systeem voldoende is voor een succesvolle aanval.