IE XXE注入0 day漏洞

概述

安全研究人員John Page近日發布了關於IE瀏覽器的可擴展標記語言XML(eXtensible Markup Language)外部實體（external entity）(XXE)注入0 day漏洞。攻擊者可以利用該漏洞從受害者計算機中竊取機密信息或本地文件。下面分析如何利用該漏洞的攻擊鏈。

XXE注入是利用了XML分析器的不合適的限制XML外部實體引用（CWE-611），用來訪問非授權的內容。XXE注入利用了錯誤配置的文件類型定義（CWE-827），文件類型定義用來為描述xml這類標記語言的文件類型。比如，攻擊者可以用含有外部實體引用的惡意XML文件，濫用file://協議來訪問本地文件，或濫用http://來訪問web伺服器上的文件。

Page提到的IE XXE注入漏洞是在打開一個精心偽造的MIME HTML web檔案（.mht）文件，用戶與瀏覽器交互用 (Ctrl K)或(Ctrl P)時觸發的。但是用戶交互可以通過window.print()這樣的JS函數來模擬。一旦用戶打開了惡意.mht文件，攻擊者就可以從用戶系統中竊取文件。

但成功利用該漏洞需要高超的社會工程技術。比如，攻擊者必須引誘用戶下載惡意.mht文件並手動觸發本地設置。

Microsoft在官方文檔中給出的回應是IE本身不允許這類惡意行為。攻擊者必須誘使或使用戶通過社會工程方法來下載惡意文檔，比如通過垃圾郵件附件或釣魚攻擊活動來觸發下載。而且下載的文件必須用瀏覽器打開。

漏洞影響

成功利用該漏洞的攻擊者可以獲取用戶系統上敏感文件的訪問許可權，也可以為進一步發起攻擊提供監視信息。

XXE注入和攻擊並不少見，但會引發許多安全風險。事實上，XXE攻擊是OWASP中列出的主流軟體和工具的主要威脅。攻擊活動中濫用.mht文件作為攻擊向量，也可能會被利用套件濫用來作為信息竊取器。

攻擊鏈分析

為了成功利用該漏洞，惡意XML文件必須在攻擊者的HTTP伺服器上。XML文件必須在ENTITY tag中給出要從用戶系統中竊取的文件，這在HTTP消息代表一個請求或響應。對應的文件需要在惡意MHTML文件中作為外部實體被引用，用戶可以手動在計算機上執行。

圖1. 指定了要從用戶系統中提取的文件的惡意XML文件

攻擊者必須誘使用戶通過外部攻擊向量來下載惡意MHTML文件，比如社會工程的垃圾郵件附件或釣魚郵件。郵件客戶端必須用IE來打開惡意文件。IE是所有Windows版本中打開MHTML文件的默認應用程序，所以用戶不需要指定打開的應用程序。如圖3所示，當惡意MHTML文件被打開後，有漏洞的IE客戶端會向攻擊者的伺服器發送一個GET請求來提取惡意XML文件。

圖2. 使用IE XXE漏洞來下載惡意XML文件的樣本MHTML文件

圖3. 從客戶端發給攻擊者伺服器來獲取惡意XML文件的請求包

如圖1所示，惡意XML文件中含有要提取的文件的詳情，以及攻擊者控制的伺服器的URI信息。攻擊者在惡意XML文件中引用的文件的內容會發回給攻擊者的伺服器。

圖4: 發送文件到攻擊者伺服器的請求包

安全建議

截止目前，微軟還沒有發布該漏洞的補丁。研究人員建議用戶不要打開未知來源的文件，盡量不要從未來來源下載和打開文件，不要隨意點擊郵件中的鏈接。確保操作系統和應用程序更新到最新版本。系統管理員、開發人員也應該遵循預防XXE攻擊的一些安全最佳實踐。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！