في وقت سابق نحن حول ثغرة أمنية مكتشفة في Internet Explorer، والتي تسمح باستخدام ملف MHT مُعد خصيصًا لتنزيل المعلومات من كمبيوتر المستخدم إلى خادم بعيد. في الآونة الأخيرة، قرر متخصص الأمن جون بيج، اكتشاف هذه الثغرة الأمنية، فحص ودراسة متخصص آخر معروف في هذا المجال - ميتيا كولسيك، مدير شركة ACROS Security، وهي شركة تدقيق أمني، والمؤسس المشارك لخدمة micropatch 0patch. هو سجل كامل لتحقيقاتها، مما يشير إلى أن مايكروسوفت قللت بشكل كبير من خطورة المشكلة.
ومن الغريب أن Kolsek لم يتمكن في البداية من إعادة إنتاج الهجوم الذي وصفه وأظهره جون، حيث استخدم Internet Explorer الذي يعمل على نظام التشغيل Windows 7 لتنزيل ملف MHT ضار ثم فتحه. على الرغم من أن مدير العمليات الخاص به أظهر أن System.ini، الذي كان من المخطط سرقته من نفسه، تمت قراءته بواسطة برنامج نصي مخفي في ملف MHT، ولكن لم يتم إرساله إلى الخادم البعيد.
يكتب كولسيك: "بدا هذا وكأنه موقف كلاسيكي للويب". "عند استلام ملف من الإنترنت، فإن تشغيل تطبيقات Windows بشكل صحيح مثل متصفحات الويب وعملاء البريد الإلكتروني يضيف تسمية إلى هذا الملف في النموذج بالاسم Zone.Identifier الذي يحتوي على السلسلة ZoneId = 3. وهذا يتيح للتطبيقات الأخرى معرفة أن الملف جاء من مصدر غير موثوق به وبالتالي يجب فتحه في وضع الحماية أو أي بيئة محظورة أخرى."
تحقق الباحث من أن IE قام بالفعل بتعيين مثل هذه التسمية لملف MHT الذي تم تنزيله. ثم حاول Kolsek تنزيل نفس الملف باستخدام Edge وفتحه في IE، والذي يظل التطبيق الافتراضي لملفات MHT. بشكل غير متوقع، نجح الاستغلال.
أولاً، قام الباحث بفحص "mark-of-the-Web"، وتبين أن Edge يقوم أيضًا بتخزين مصدر أصل الملف في دفق بيانات بديل بالإضافة إلى معرف الأمان، مما قد يثير بعض التساؤلات فيما يتعلق بخصوصية هذا طريقة. وتكهن Kolsek بأن الخطوط الإضافية ربما تكون قد أربكت IE ومنعته من قراءة SID، ولكن كما اتضح، كانت المشكلة في مكان آخر. وبعد تحليل مطول، اكتشف متخصص الأمان السبب في إدخالين في قائمة التحكم في الوصول أضافا حق قراءة ملف MHT إلى خدمة نظام معينة، والتي أضافها Edge هناك بعد تحميله.
جيمس فورشو من فريق التعامل مع الثغرات الأمنية في يوم الصفر - Google Project Zero - غرد أن الإدخالات التي أضافتها Edge تشير إلى معرفات أمان المجموعة للحزمة Microsoft.MicrosoftEdge_8wekyb3d8bbwe. بعد إزالة السطر الثاني من SID S-1-15-2 - * من قائمة التحكم في الوصول للملف الضار، لم يعد الاستغلال يعمل. ونتيجة لذلك، سمح الإذن الذي أضافته Edge للملف بطريقة ما بتجاوز وضع الحماية في IE. وكما اقترح Kolsek وزملاؤه، يستخدم Edge هذه الأذونات لحماية الملفات التي تم تنزيلها من الوصول إليها عن طريق العمليات منخفضة الثقة عن طريق تشغيل الملف في بيئة معزولة جزئيًا.
بعد ذلك، أراد الباحث أن يفهم بشكل أفضل الأسباب التي تؤدي إلى فشل نظام الأمان الخاص بشركة IE. كشف تحليل متعمق باستخدام الأداة المساعدة لمراقبة العمليات ومفكك IDA في النهاية أن دقة مجموعة Edge منعت وظيفة Win Api GetZoneFromAlternateDataStreamEx من قراءة دفق ملف Zone.Identifier وأرجعت خطأ. بالنسبة لبرنامج Internet Explorer، كان مثل هذا الخطأ عند طلب تسمية الأمان لملف غير متوقع تمامًا، وعلى ما يبدو، اعتبر المتصفح أن الخطأ يعادل حقيقة أن الملف لا يحتوي على علامة "علامة الويب"، مما يجعله موثوقًا تلقائيًا، بعد أن سمح IE للنص المخفي في ملف MHT بتنفيذ وإرسال الملف المحلي المستهدف إلى الخادم البعيد.
"هل ترى المفارقة هنا؟" يسأل كولسيك. "لقد أدت إحدى ميزات الأمان غير الموثقة التي يستخدمها Edge إلى تحييد ميزة موجودة، وهي بلا شك أكثر أهمية (علامة الويب) في Internet Explorer."
وعلى الرغم من الأهمية المتزايدة لهذه الثغرة الأمنية، والتي تسمح بتشغيل برنامج نصي ضار كبرنامج نصي موثوق به، فلا يوجد ما يشير إلى أن Microsoft تعتزم إصلاح الخطأ في أي وقت قريب، إذا تم إصلاحه. لذلك، ما زلنا نوصي، كما في المقالة السابقة، بتغيير البرنامج الافتراضي لفتح ملفات MHT على أي متصفح حديث.
وبطبيعة الحال، فإن بحث كولسيك لم يمر دون القليل من العلاقات العامة الذاتية. وفي نهاية المقال، أظهر تصحيحًا صغيرًا مكتوبًا بلغة التجميع يمكنه استخدام خدمة 0patch التي طورتها شركته. يكتشف 0patch تلقائيًا البرامج الضعيفة على كمبيوتر المستخدم ويطبق عليها تصحيحات صغيرة بشكل فوري. على سبيل المثال، في الحالة التي وصفناها، سيستبدل 0patch رسالة الخطأ في وظيفة GetZoneFromAlternateDataStreamEx بقيمة مقابلة لملف غير موثوق به تم استلامه من الشبكة، بحيث لن يسمح IE بتنفيذ أي برامج نصية مخفية وفقًا للملف المدمج. في السياسة الأمنية.
المصدر: 3dnews.ru