@magicmac2000 พบ trick ที่จะหลอก address bar ของ Microsoft เป็นเว็บไซด์อะไรก็ได้โดยใช้ BlockSite.htm ซึ่งเป็น feature SmartScreen การแสดงผลการ block phishing ต่างๆของ Microsoft Edge ได้

โดยปกติแล้วหากเราเข้าเว็บไซด์ที่เป็น Phishing หรือ Blacklist รวมถึงการ block ads หรือ iframe ในเพจใดๆโดยใช้  Microsoft Edge จะมีการไปเรียกใช้งาน SmartScreen ซึ่งเป็น Resource หนึ่งที่ติดตั้งมากับ Microsoft Edge เพื่อ Block page เหล่านั้น

smartscreen-2-1024x674

ทีนี้ SmartScreen ดังกล่าวจริงๆแล้วคือการเรียก resource แบบ ms-appx-web://microsoft.microsoftedge/asset/errorpages/PhishSiteEdge.htm

03-f12-realurlซึ่งจะสังเกตุว่า Address Bar ไม่ได้เป็น URL ตามที่มีการเรียกใช้งานเป็น URL ของการเรียกใช้ resource ms-appx-web ทีนี้เมื่อไล่ดูจริงๆแล้ว path ที่เก็บ page ดังกล่าวจะอยู่ที่ C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\ErrorPages โดยภายในนั้นมี page ที่ให้เราเรียกใช้ในกรณีต่างๆจำนวนมาก

screen-shot-2559-12-08-at-15-45-38

จากการตรวจสอบและทดสอบหลายๆรูปแบบ พบว่า Page สามารถเรียก page BlockSite.htm ได้โดยใช้เป็น “ms-appx-web://microsoft.microsoftedge/assets/errorpages/BlockSite%2ehtm”

โดยใน BlockSite นั้นมีการรับ parameter มาใช้งานในหลายๆส่วนทำให้ผู้พบสามารถสร้าง Spam page ได้โดยใช้หน้า BlockSite ดังกล่าว อีกทั้งยังกำหนด Address Bar ที่แสดงอยู่ด้านบนให้เป็น domain name ที่เราต้องการได้อีกด้วย

window.open(“ms-appx-web://microsoft.microsoftedge/assets/errorpages/BlockSite%2ehtm?”+
“BlockedDomain=facebook.com&Host=Technical Support Really Super Legit CALL NOW\:”+
“800-111-2222#http://www.facebook.com”);

09-fb

หากใครต้องการทดสอบลองเปิด Link นี้ โดยใช้ Edge ดูครับ จะพบว่า Address Bar จะเป็น facebook.com และเนื้อหาภายในเป็นการหลอกให้ User โทรไปหา Hacker เพื่อจัดการปัญหา(ปลอม)ที่ระบุไว้ใน page ได้ครับ

Source:: BrokenBrowser.com