Microsoft ha solucionado una vulnerabilidad en el navegador Edge que podría ser usada para robar archivos locales de la computadora de un usuario. La buena noticia es que para explotar esta vulnerabilidad se debe hacer uso de la ingeniería social, lo que significa que el ataque no puede automatizarse a escala y por lo tanto, presenta un menor nivel de peligro para los usuarios finales.
La vulnerabilidad fue descubierta por el investigador de seguridad de Netsparker, Ziyahan Albeniz, la vulnerabilidad involucra la característica de seguridad de Política del Mismo Origen (SOP por sus siglas en inglés) que admite todo el navegador.
En Edge y en todos los demás navegadores, SOP funciona impidiendo que un atacante cargue códigos maliciosos a través de un enlace que no coincide con el mismo dominio (subdominio), puerto y protocolo.
Albeniz dice que la implementación de SOP en Edge funciona según lo previsto excepto en un caso: cuando los usuarios son engañados para que descarguen un archivo HTML malicioso en su PC y luego lo ejecuten.
Cuando el usuario ejecuta este archivo HTML, su código malicioso se cargará a través del protocolo file:// y como es un archivo local, no tendrá un valor de dominio y puerto. Lo que significa es que este archivo HTML malicioso puede contener código que recopila y roba datos de archivos locales a los que se puede acceder mediante una URL “file://“.
Como se puede acceder a cualquier archivo del sistema operativo a través de un URL del tipo file:// dentro de un navegador, esto esencialmente le da al atacante libre acceso para recopilar y robar cualquier archivo local en su computadora.
Albeniz dice que durante sus pruebas, él fue capaz de robar datos de las computadoras locales y enviarlos a un servidor remoto al ejecutar este archivo en Edge y la aplicación de correo y calendario. También grabó un video dónde explica el métodp de ataque, que mostramos a continuación:
El ataque requiere que un atacante sepa dónde se almacenan los diversos archivos, pero algunos archivos de configuración y almacenamiento del Sistema Operativo y muchas de las aplicaciones más importantes se almacenan en la mayoría de los casos en la misma ubicación en la gran mayoría de los dispositivos. Además, la ubicación de algunos archivos se puede deducir o adivinar.
La vulnerabilidad puede no ser útil en el caso de campañas de distribución enmascaradas de malware, pero podría ser útil también en ataques más dirigidos contra objetivos de alto valor.
Aunque Microsoft ha parchado este problema en la última version de las aplicaciones Edge, Mail y Calendar, Albeniz ahora quiere advertir a los usuarios sobre los peligros de ejecutar archivos HTML que reciben de personas extrañas o por correo electrónico.
La advertencia del investigador es válida porque los archivos HTML generalmente no se asocian con campañas regulares de distribución de malware.
Según un informe de F-Secure, solo cinco tipos de archivos componen el 85% de todos los archivos adjuntos maliciosos enviados a través de campañas de correo no deseado (spam). Estos archivos son ZIP, DOC, XLS, PDF y 7Z, justamente ayer comentamos sobre ello en un post.
“La única forma de protegerse es actualizar a la última versión del navegador Edge y las aplicaciones de Windows Mail y Windows Calendar. Y, por supuesto, es mejor nunca abrir archivos adjuntos de remitentes desconocidos, incluso si la extensión no parece ser maliciosa“, dijo Albeniz en un informe que publicó ayer, bajo el título: “Explotar una vulnerabilidad de Microsoft Edge para robar archivos“.
Albeniz dijo que otros navegadores no son vulnerables a la vulnerabilidad SOP que el reportó a Microsoft. El investigador también dijo que el fabricante del sistema operativo basado en Redmond solucionó la vulnerabilidad (CVE-2018-0871) con el lanzamiento del parche de junio de 2018 que fue liberado el último martes.