Hoje lançamos o Security Advisory 2501696 para alertar clientes para uma vulnerabilidade divulgada publicamente no manipulador de protocolo MHTML. Esta vulnerabilidade pode permitir que atacantes para a construção de links maliciosos apontando para documentos HTML que, quando clicado, tornaria o documento orientada e reflectida script no contexto de segurança do usuário e local de destino. O resultado final deste tipo de vulnerabilidade é script codificado dentro do link executado no contexto do documento de destino ou site de destino.

Como eu poderia saber se a minha máquina é afetado?

Por padrão, o manipulador de protocolo MHTML é vulnerável no Windows XP e todas as versões suportadas do Windows mais tarde. Internet Explorer é um vetor de ataque, mas porque esta é uma vulnerabilidade do Windows, a versão do IE não é relevante.

Como eu poderia proteger os sistemas do cliente?

A segurança enumera medidas de aconselhamento para bloquear o manipulador de protocolo MHTML quer para todos os cenários Zona Internet ou para desativá-lo completamente. Nós já escrevi sobre o protocolo de rede Lockdown solução aqui .Você também pode clicar no botão abaixo para ativar o Network Protocol Lockdown para mhtml: para todas as zonas de segurança:

Mais informações sobre esta FixIt a 2.501.696 KB .

Qual seria o efeito colateral de MHTML solução de bloqueio?

Em nossos testes, o único efeito colateral que encontramos é a execução de scripts e ActiveX que está sendo desativado dentro de documentos MHT. Esperamos que na maioria dos ambientes que isso terá impacto limitado. Enquanto MHTML é um importante componente do Windows, é usado raramente via mhtml: hiperlinks. Na maioria das vezes, MHTML é usado nos bastidores, e os cenários não seriam afetadas pelo bloqueio do protocolo de rede. Na verdade, se não houver conteúdo do script no arquivo THM, o arquivo MHT seria exibido normalmente sem qualquer problema. Finalmente, para arquivos de MHT legítimo com o conteúdo do script que você gostaria de ser prestados no IE, os usuários podem clicar na barra de informações e selecione "Permitir todos os protocolos", como mostrado abaixo.

Fazer isso seria permitir temporariamente que o conteúdo do script no arquivo MHT e, assim, manter arquivos de MHT processado corretamente. Note aqui que a seleção "Permitir todos os protocolos" não vai desfazer a solução alternativa MHTML permanentemente.

Como posso saber se meu serviço está em risco?

Qualquer serviço que permite a entrada do usuário para ser refletida de volta para o usuário pode ser afetado por esse problema. No entanto, o impacto do script injetado em um serviço depende do modo como o serviço é implementado. Desta forma, o impacto é o mesmo um server-side problema de script cross-site, mas a vulnerabilidade reside no cliente.

Que acções poderão ter serviço de provedor de proprietários?

Primeiro, por favor, recomendamos que os clientes apliquem a solução do lado do cliente na Assessoria de Segurança. Isso vai impedir que os clientes sejam afetados, não importa como um atacante escolhe para criar o link.

Existem soluções possíveis do lado do servidor que o proprietário do serviço poderia empregar. Estamos trabalhando com provedores de serviços como o Google e outros como nós explorar estas opções. Algumas dessas idéias estão listadas abaixo.Cada uma dessas abordagens vale a pena explorar e continuamos a fazê-lo. No entanto, eles podem ser difíceis de sites para implementar de forma abrangente. Por exemplo, enquanto nova linha de filtragem pode ser introduzida em determinados cenários, baixo nível de resposta de erro HTTP páginas poderia refletir os dados de uma forma que é difícil identificar e mitigar. Cada uma das idéias são destinados para quebrar a análise de conteúdo MIME e incluem:

  • Filtragem de caracteres de nova linha de pedidos / respostas
  • Prefixando caracteres de nova linha em uma resposta HTTP
  • Alterando o código de status da resposta HTTP

Além disso, as interações cliente / servidor e decodificação de comportamento pode significar que, em certas configurações, estas abordagens não são totalmente eficazes.

Continuaremos a investigar soluções server-side, e continuará a atualizar com orientação quanto mais são descobertos. No entanto, pelas razões acima, nós recomendamos o uso da solução do lado do cliente listados no alerta, que pode bloquear explora independentemente do serviço.

Como posso testar o que um sistema cliente é protegida?

Aqui estão os passos para criar um teste para garantir que uma máquina em que a solução está habilitado está protegido contra esta vulnerabilidade.

Passo 1: Criar o test.mht com o seguinte conteúdo:

De: "Teste"
Assunto: 
Data: Mon, 01 de janeiro de 1111 11:11:11 -0800
MIME-Version: 1.0
Content-Type: text / html;
       charset = "utf-8"
Content-Transfer-Encoding: quoted-printable
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7600.16543
 
= EF = BB = BF