Дослідник безпеки Джон Пейдж (John Page) опублікував докладні відомості про уразливості XXE (XML eXternal Entity), виявленої в браузері Internet Explorer, яка дозволяє зловмисникам красти файли з ПК під управлінням Windows. Уразливістю можна скористатися, коли користувач відкриває файл у форматі MHT. Дослідник навів приклад коду, що демонструє вразливе місце.
Нагадаємо, MHT (MHTML Web Archive) — формат, в якому всі браузери IE за замовчуванням зберігають веб-сторінки, наприклад, коли користувач натискає клавіші CTRL+S. Сучасні браузери вже не зберігають веб-сторінки у форматі MHT і використовують стандартний формат файлу HTML, проте багато браузери ще підтримують формат MHT.
Оскільки в Windows всі файли MHT автоматично відкриваються за замовчуванням в Internet Explorer, використання цієї уразливості є тривіальним. Користувачеві достатньо всього лише двічі клацнути по файлу, отриманого по електронній пошті або іншим способом.
За словами Пейджа, код, що використовує уразливість, покладається на обробку програмою Internet Explorer для користувача команд CTRL+K (дублювати вкладку), «Попередній перегляд» або «Друк». Зазвичай обробка вимагає деякої взаємодії з користувачем, але вона може бути автоматизована і не є обов’язковою для доступу до вразливості.
«Може спрацювати простий виклик Javascript-функції window.print (), що не вимагає взаємодії користувача з веб-сторінкою», — наводить джерело слова Пейджа.
При цьому засобами розмітки шкідливий код може придушити видачу системою безпеки Internet Explorer попередження, зазвичай супроводжує створення екземплярів об’єктів ActiveX, таких як «Microsoft.XMLHTTP».
За словами Пейджа, він успішно протестував уразливість в новому браузері Internet Explorer v11 з усіма останніми оновленнями безпеки в системах Windows 7, Windows 10 і Windows Server 2012 R2.
Пейдж сказав, що 27 березня повідомив Microsoft про уразливості, але розробник ОС і браузера відмовився розглядати можливість включення уразливості в список для термінового усунення. У відповіді Microsoft сказано, що Питання виправлення “буде розглянуто в майбутній версії”, а поки “справа закрита”. Після цього дослідник опублікував подробиці про уразливість на своєму сайті.