首页 >> 网络安全 >>零日漏洞 >> Internet Explorer中的零日XML外部实体(XXE)注入漏洞可以让攻击者窃取文件,系统信息
详细内容

Internet Explorer中的零日XML外部实体(XXE)注入漏洞可以让攻击者窃取文件,系统信息

安全研究员John Page 最近披露了Microsoft Internet Explorer(IE)中的零日可扩展标记语言(XML)外部实体(XXE)注入漏洞。据报道,攻击者可以利用此漏洞窃取机密信息或从受害者的机器中泄露本地文件。Page使用Windows 7和10以及Windows Server 2012 R2操作系统上的当前补丁测试了最新版IE(11)中的漏洞。我们查看了它的攻击链,以更好地了解安全漏洞的工作原理以及如何减轻漏洞。


XXE注入通过利用具有不正确限制的XML外部实体引用(CWE-611)的XML解析器来工作,该引用用于访问未经授权的内容。XXE注入还利用错误配置的文档类型定义(CWE-827),用于定义标记语言(如XML)的文档类型。例如,攻击者可以使用具有外部实体引用的恶意XML文件,该引用滥用“file://”协议来访问本地文件,或者使用“http://”来访问Web服务器上的文件。


如果页面报告了漏洞,则在打开特制的MIME HTML Web存档(.mht)文件并且用户与浏览器进行交互时会触发安全漏洞,例如在IE中打开新选项卡(Ctrl) + K)或打印文件(Ctrl + P)。但是,用户交互可以通过window.print()等JavaScript函数进行模拟。一旦用户打开恶意.mht文件,攻击者就能够从用户系统中泄露文件。请注意,成功利用此漏洞在很大程度上依赖于社交工程。例如,攻击者必须诱使用户下载恶意.mht文件并手动触发本地设置。


Page披露了这个漏洞,我们将这些漏洞分享给微软,后者发布了这一官方声明:“仅Internet Explorer不允许这种恶意行为。攻击者必须欺骗或说服用户通过社交工程方案下载恶意文档,例如垃圾邮件附件或触发下载的网络钓鱼活动。然后必须使用浏览器打开该文件。为了防范这种方案,在线实践安全的计算习惯,例如避免从Internet上下载和打开不受信任的文件。“


漏洞影响

成功利用此漏洞的攻击者可以访问用户系统上的敏感文件。成功利用还可以提供可用于执行更多攻击或发射更多有效载荷的侦察信息。例如,它可以向攻击者泄露客户端安装的应用程序,网络配置,权限和防病毒保护的详细信息。然后,攻击者可以使用获得的信息在受影响的系统网络中获得立足点。


虽然XXE注射/攻击不是新的,但它们可能带来重大的安全风险。实际上,XXE攻击列在Open Web Application Security Project(OWASP)对流行软件或工具中的应用程序和功能的最大安全风险中。滥用.mht文件作为攻击媒介也是值得注意的,因为它也被漏洞利用工具包和信息窃取者等威胁所滥用。


攻击链分析

为了利用安全漏洞,必须在攻击者的超文本传输协议(HTTP)服务器中放置恶意XML文件。此XML文件应在ENTITY标记中提及需要从用户系统中泄露的特定文件,该标记表示HTTP消息中的请求或响应。反过来,相应的文件需要被称为恶意MHTML文件中的外部实体,用户可以在其机器上手动执行。

1.png

图1.恶意XML文件,指定要从用户系统中提取的文件

攻击者必须说服用户通过外部攻击媒介下载恶意MHTML文件,例如社交工程垃圾邮件附件或网络钓鱼。然后,电子邮件客户端必须使用IE打开恶意文件。请注意,IE是用于在所有Windows版本上打开MHTML文件的默认应用程序,因此用户无需指定应用程序。如图3所示,一旦打开恶意MHTML文件,易受攻击的IE客户端将向攻击者的服务器发送GET请求以检索恶意XML文件。

2.png

图2. 使用IE中的XXE漏洞从攻击者的计算机下载恶意XML文件的示例MHTML文件

3.png

图3.从客户端发送到攻击者服务器以获取恶意XML文件的第一个请求的数据包捕获

从图1中可以看出,恶意XML文件包含为exfiltration指定的文件的详细信息,以及攻击者控制的服务器的统一资源标识符(URI)。攻击者在恶意XML中引用的文件内容将根据同一XML文件中提到的URI路径发送回攻击者的服务器。然后,这将显示在攻击者的最后。

4.png

图4:从客户端发送到攻击者服务器的第二个请求的数据包捕获,该服务器发送攻击者目标文件的内容。

截至撰写本文时,Microsoft尚未针对此漏洞发布修复程序。打开来自未知来源的任何文件时,用户应谨慎行事。成功利用此漏洞需要诱使用户打开恶意文件。避免单击链接或从未经请求的来源下载和打开文件。确保操作系统和应用程序具有最新的安全更新(或对旧系统使用虚拟修补)。系统管理员,开发人员和程序员也应该采用最佳实践。例如,OWASP有一份防止XXE问题的建议清单。


在  趋势科技™服务器深度安全防护™   和  漏洞防护  解决方案,保护可利用通过以下DPI规则此漏洞威胁用户系统:


1005676 - 使用外部实体参考标识下载XML文件

趋势科技 ™  TippingPoint ™客户可通过此MainlineDV  过滤器免受此漏洞的影响  :


13855 - TCP:XML外部实体(XXE)用法



技术支持: 建站ABC | 管理登录