Edge和IE兩個0 day漏洞曝光

3月30日，安全研究人員James Lee稱當前版本的Microsoft Edge和IE瀏覽器存在2個0 day漏洞。漏洞會使機密信息在不同站點之間的共享。

源有效性驗證錯誤（Origin Validation Error，CWE-346）是瀏覽器中同源策略存在的漏洞，允許嵌入在惡意web頁面中的JS代碼來收集用戶訪問的其他web頁面的信息。如果用戶通過Microsoft Edge和IE瀏覽器來訪問惡意頁面，這些漏洞可能用來中繼惡意瀏覽器會話的敏感信息給攻擊者。

同源策略工作原理

為了說明同源策略，通過下面的場景來說明。攻擊者誘使用戶訪問站點hxxp://www.attack1.com，該站點就是一個嵌入了惡意JS的web頁面，支持訪問客戶端緩存中保存的所有session ID。這一策略會嘗試暴露用戶正在訪問的hxxp://www.trustedbank.com在線銀行會話信息。

客戶端瀏覽器的同源策略應當阻止attack1.com上的腳本訪問trustedbank.com上的信息，因為銀行網頁和攻擊者的web頁面是不同源的。因此，客戶端的銀行信息不會暴露給攻擊者，客戶端可以確保安全性。

攻擊分析

但是因為Edge和IE瀏覽器存在漏洞，因此攻擊者可以繞過同源策略。

通過有漏洞的IE瀏覽器訪問含有惡意腳本的偽造的頁面會出現下面的結果：

圖1. 客戶端通過IE瀏覽器訪問PoC產生的彈窗

位於pwning.click的PoC web頁面會將用戶重定向到搜索引擎bing.com。如果IE中的同源策略工作正常，嵌入的JS只會顯示來自pwning.click的信息。但是彈窗顯示的是來自搜索引擎bing.com的搜索結果。

瀏覽器沒有限制關於網站重定向的信息，而是允許了pwning.click訪問客戶端中訪問的其他網頁的活動。在惡意攻擊場景中，攻擊者是可以直接接收信息的。也就是說，不會有彈窗，用戶也不會意識到任何入侵活動。下圖說明了IE和Edge訪問的PoC抓到的流量包：

圖2. IE訪問的POC的瀏覽獲取

圖3. Edge訪問的POC的瀏覽獲取

performance.getEntries(「resource」)[index].name這一行是該PoC的重要部分。嵌入的JS中的這行代碼正在如果JS Performance API來訪問請求的資源的解析後的URL名。

Performance.getEntries()會返回一個PerformanceEntry對象列表，部分屬性如圖4所示。更新後的有效entryTypes見https://www.w3.org/wiki/Web_Performance/EntryType。

圖4. PerformanceEntry對象域

performance.getEntriesByType(「resource」)[index].name只是IE的performance.getEntries，因此技術上解釋是相同的。

圖1中彈窗中的URL與嵌入的源是不同的，表明攻擊者成功繞過了瀏覽器的同源策略，訪問了本該受限制的資源。

攻擊者現在可以訪問該URL中保存的所有信息了，包括其中隱藏的信息。URL中保存的信息包括cookies, sessionIDs, usernames, passwords, OAUTH tokens等，其中有些是明文保存的，有些是哈希後的結果。其中OAUTH是認證第三方應用登陸到用戶在線賬戶時使用的，之前就有過被濫用的歷史。網站的URL中包含的敏感信息可以利用這些0 day漏洞來收集。

回到前面講的例子中，如果攻擊者繞過了同源策略並且獲取了用戶和trustedbank.com之前交換的信息的訪問許可權，用戶的在線銀行賬戶就等於被黑了。攻擊者可以監聽客戶端並獲取客戶端用於在線認證的個人信息，這會帶來非常大的災難。

應對

該漏洞非常嚴重，因為可以將瀏覽器會話機密信息暴露給惡意伺服器。微軟目前還沒有給出補丁修復的時間，因此這對終端用戶來說是一個高危的攻擊場景。研究人員給出一個建議就是在漏洞修復前不要使用Edge和IE瀏覽器。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！