利用Microsoft Edge漏洞竊取文件

2015年，Microsoft發布了Edge瀏覽器，該瀏覽器最初名為Project Spartan。與IE不同是Edge支持許多新的安全措施，比如內容安全策略（Content Security Policy，CSP）、JS和CSS特徵。對這些新特徵的支持不僅能增強安全性，也可能會帶來一些安全問題。

新項目的開發都是基於對原來產品多年的安全修復上。新瀏覽器產品開發過程中可能會經歷更多的錯誤，原因就是因為新攻擊技術的產生，瀏覽器安全也是一個不斷的重開發過程，瀏覽器被視為潛在攻擊面最豐富的源。瀏覽器中導致用戶數據泄露的一些小的安全漏洞不斷的被修復，而這些安全修復和從中學到的知識，可能並不會應用到瀏覽器的設計中。

這正好可以解釋為社么Microsoft Edge是唯一一個發現此漏洞的瀏覽器。

註：微軟已修復該漏洞

影響範圍？

研究人員在Microsoft Edge 40.15063.0.0版本上測試成功。

如何竊取本地文件？

由於同源策略（Same Origin Policy，SOP）的限制不允許https://attacker.com讀取file://C:/your/stuff.txt中的內容。這也是為什麼有不同源的原因。如果要用JS請求讀取數據，對應的協議、主機名（hostname）、埠都要匹配。但文件URL有一點不一樣，file:// protocol和https:// protocol是明顯不同的，這也就是為社么攻擊者的域名不能讀取本地文件的原因。

那如果兩個file URL的主機名和埠呢？也就是說只有文件協議和路徑相同，兩個file url默認來自相同源，因為：

·埠匹配：因為沒有埠；

·Hostname匹配：因為沒有hostname；

·協議匹配：都是file://；

所以，如果瀏覽器開發者沒有考慮file://urls這種特殊格式，那麼在瀏覽器打開機器上的惡意HTML文件，就有可能讀取任意本地文件中的內容。

這是真實的威脅還是理論上的威脅？

因為其他攻擊向量的存在，所以這不僅僅是一個理論上的威脅。如果不能通過瀏覽器傳播惡意HTML文件，還可以通過郵件等其他形式。過去這些年用戶打開過.exe、.js、word等各種格式的附件，更何況.html格式的附件了。

研究人員偽造了一封郵件，添加了文件作為附件，然後在「郵箱和日曆」應用中打開附件後，應用並沒有攔截附件。然後研究人員發送含有該文件的郵件給用戶，當用戶打開附件後，發送了許多本地文件到伺服器。可能沒有反病毒軟體會把該附件當作惡意文件，研究人員還可以HTTPS連接提取文件，這樣就神不知鬼不覺了。研究人員使用的「郵箱和日曆」版本為17.8600.40445.0。根據用戶安裝的應用，還可以有很多不同的方式來傳播惡意文件。

如何保護文件？

目前來看，唯一的保護方式就是更新Edge瀏覽器和「郵箱和日曆」應用程序。最重要的是不要打開未知來源的附件，不管附件是什麼格式的。

PoC

PoC視頻

https://v.youku.com/v_show/id_XMzc2MTA1MzEwOA==.html

PoC代碼

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！