Edge和IE两个0 day漏洞曝光

3月30日，安全研究人员James Lee称当前版本的Microsoft Edge和IE浏览器存在2个0 day漏洞。漏洞会使机密信息在不同站点之间的共享。

源有效性验证错误（Origin Validation Error，CWE-346）是浏览器中同源策略存在的漏洞，允许嵌入在恶意web页面中的JS代码来收集用户访问的其他web页面的信息。如果用户通过Microsoft Edge和IE浏览器来访问恶意页面，这些漏洞可能用来中继恶意浏览器会话的敏感信息给攻击者。

同源策略工作原理

为了说明同源策略，通过下面的场景来说明。攻击者诱使用户访问站点hxxp://www.attack1.com，该站点就是一个嵌入了恶意JS的web页面，支持访问客户端缓存中保存的所有session ID。这一策略会尝试暴露用户正在访问的hxxp://www.trustedbank.com在线银行会话信息。

客户端浏览器的同源策略应当阻止attack1.com上的脚本访问trustedbank.com上的信息，因为银行网页和攻击者的web页面是不同源的。因此，客户端的银行信息不会暴露给攻击者，客户端可以确保安全性。

攻击分析

但是因为Edge和IE浏览器存在漏洞，因此攻击者可以绕过同源策略。

通过有漏洞的IE浏览器访问含有恶意脚本的伪造的页面会出现下面的结果：     

图1. 客户端通过IE浏览器访问PoC产生的弹窗

位于pwning.click的PoC web页面会将用户重定向到搜索引擎bing.com。如果IE中的同源策略工作正常，嵌入的JS只会显示来自pwning.click的信息。但是弹窗显示的是来自搜索引擎bing.com的搜索结果。

浏览器没有限制关于网站重定向的信息，而是允许了pwning.click访问客户端中访问的其他网页的活动。在恶意攻击场景中，攻击者是可以直接接收信息的。也就是说，不会有弹窗，用户也不会意识到任何入侵活动。下图说明了IE和Edge访问的PoC抓到的流量包：

图2. IE访问的POC的浏览获取

图3. Edge访问的POC的浏览获取

performance.getEntries(“resource”)[index].name这一行是该PoC的重要部分。嵌入的JS中的这行代码正在如果JS Performance API来访问请求的资源的解析后的URL名。

Performance.getEntries(<entryType>)会返回一个PerformanceEntry对象列表，部分属性如图4所示。更新后的有效entryTypes见https://www.w3.org/wiki/Web_Performance/EntryType。

图4. PerformanceEntry对象域

performance.getEntriesByType(“resource”)[index].name只是IE的performance.getEntries，因此技术上解释是相同的。

图1中弹窗中的URL与嵌入的源是不同的，表明攻击者成功绕过了浏览器的同源策略，访问了本该受限制的资源。

攻击者现在可以访问该URL中保存的所有信息了，包括其中隐藏的信息。URL中保存的信息包括cookies, sessionIDs, usernames, passwords, OAUTH tokens等，其中有些是明文保存的，有些是哈希后的结果。其中OAUTH是认证第三方应用登陆到用户在线账户时使用的，之前就有过被滥用的历史。网站的URL中包含的敏感信息可以利用这些0 day漏洞来收集。

回到前面讲的例子中，如果攻击者绕过了同源策略并且获取了用户和trustedbank.com之前交换的信息的访问权限，用户的在线银行账户就等于被黑了。攻击者可以监听客户端并获取客户端用于在线认证的个人信息，这会带来非常大的灾难。

应对

该漏洞非常严重，因为可以将浏览器会话机密信息暴露给恶意服务器。微软目前还没有给出补丁修复的时间，因此这对终端用户来说是一个高危的攻击场景。研究人员给出一个建议就是在漏洞修复前不要使用Edge和IE浏览器。