内容简介:概述安全研究人员John Page近日发布了关于IE浏览器的可扩展标记语言XML(eXtensible Markup Language)外部实体(external entity)(XXE)注入0 day漏洞。攻击者可以利用该漏洞从受害者计算机中窃取机密信息或本地文件。下面分析如何利用该漏洞的攻击链。XXE注入是利用了XML分析器的不合适的限制XML外部实体引用(CWE-611),用来访问非授权的内容。XXE注入利用了错误配置的文件类型定义(CWE-827),文件类型定义用来为描述xml这类标记语言的文件类型
概述
安全研究人员John Page近日发布了关于IE浏览器的可扩展标记语言XML(eXtensible Markup Language)外部实体(external entity)(XXE)注入0 day漏洞。攻击者可以利用该漏洞从受害者计算机中窃取机密信息或本地文件。下面分析如何利用该漏洞的攻击链。
XXE注入是利用了XML分析器的不合适的限制XML外部实体引用(CWE-611),用来访问非授权的内容。XXE注入利用了错误配置的文件类型定义(CWE-827),文件类型定义用来为描述xml这类标记语言的文件类型。比如,攻击者可以用含有外部实体引用的恶意XML文件,滥用file://协议来访问本地文件,或滥用http://来访问web服务器上的文件。
Page提到的IE XXE注入漏洞是在打开一个精心伪造的MIME HTML web档案(.mht)文件,用户与浏览器交互用 (Ctrl+K)或(Ctrl+P)时触发的。但是用户交互可以通过window.print()这样的JS函数来模拟。一旦用户打开了恶意.mht文件,攻击者就可以从用户系统中窃取文件。
但成功利用该漏洞需要高超的社会工程技术。比如,攻击者必须引诱用户下载恶意.mht文件并手动触发本地设置。
Microsoft在官方文档中给出的回应是IE本身不允许这类恶意行为。攻击者必须诱使或使用户通过社会工程方法来下载恶意文档,比如通过垃圾邮件附件或钓鱼攻击活动来触发下载。而且下载的文件必须用浏览器打开。
漏洞影响
成功利用该漏洞的攻击者可以获取用户系统上敏感文件的访问权限,也可以为进一步发起攻击提供监视信息。
XXE注入和攻击并不少见,但会引发许多安全风险。事实上,XXE攻击是OWASP中列出的主流软件和 工具 的主要威胁。攻击活动中滥用.mht文件作为攻击向量,也可能会被利用套件滥用来作为信息窃取器。
攻击链分析
为了成功利用该漏洞,恶意XML文件必须在攻击者的HTTP服务器上。XML文件必须在ENTITY tag中给出要从用户系统中窃取的文件,这在HTTP消息代表一个请求或响应。对应的文件需要在恶意MHTML文件中作为外部实体被引用,用户可以手动在计算机上执行。
图1. 指定了要从用户系统中提取的文件的恶意XML文件
攻击者必须诱使用户通过外部攻击向量来下载恶意MHTML文件,比如社会工程的垃圾邮件附件或钓鱼邮件。邮件客户端必须用IE来打开恶意文件。IE是所有Windows版本中打开MHTML文件的默认应用程序,所以用户不需要指定打开的应用程序。如图3所示,当恶意MHTML文件被打开后,有漏洞的IE客户端会向攻击者的服务器发送一个GET请求来提取恶意XML文件。
图2. 使用IE XXE漏洞来下载恶意XML文件的样本MHTML文件
图3. 从客户端发给攻击者服务器来获取恶意XML文件的请求包
如图1所示,恶意XML文件中含有要提取的文件的详情,以及攻击者控制的服务器的URI信息。攻击者在恶意XML文件中引用的文件的内容会发回给攻击者的服务器。
图4: 发送文件到攻击者服务器的请求包
安全建议
截止目前,微软还没有发布该漏洞的补丁。研究人员建议用户不要打开未知来源的文件,尽量不要从未来来源下载和打开文件,不要随意点击邮件中的链接。确保操作系统和应用程序更新到最新版本。系统管理员、开发人员也应该遵循预防XXE攻击的一些安全最佳实践。
以上所述就是小编给大家介绍的《IE XXE注入0 day漏洞》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 漏洞预警 | MetInfo最新版本爆出SQL注入漏洞
- 挖洞姿势:浅析命令注入漏洞
- 【漏洞预警】Joomla!3.7.0 Core SQL注入漏洞
- Imperva报告:Web应用漏洞持续增长 注入漏洞一骑绝尘
- Apache Tika命令注入漏洞挖掘
- ecshop 全系列版本网站漏洞 远程代码执行sql注入漏洞
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
神经网络与机器学习(原书第3版)
[加] Simon Haykin / 申富饶、徐烨、郑俊、晁静 / 机械工业出版社 / 2011-3 / 79.00元
神经网络是计算智能和机器学习的重要分支,在诸多领域都取得了很大的成功。在众多神经网络著作中,影响最为广泛的是Simon Haykin的《神经网络原理》(第3版更名为《神经网络与机器学习》)。在本书中,作者结合近年来神经网络和机器学习的最新进展,从理论和实际应用出发,全面、系统地介绍了神经网络的基本模型、方法和技术,并将神经网络和机器学习有机地结合在一起。 本书不但注重对数学分析方法和理论的探......一起来看看 《神经网络与机器学习(原书第3版)》 这本书的介绍吧!