Ranije smo mi o otkrivenoj ranjivosti nultog dana u Internet Exploreru, koja omogućava korištenje posebno pripremljene MHT datoteke za preuzimanje informacija sa računara korisnika na udaljeni server. Nedavno je ovu ranjivost, koju je otkrio stručnjak za sigurnost John Page, odlučio provjeriti i proučiti još jedan poznati stručnjak u ovoj oblasti - Mitya Kolsek, direktor ACROS Security-a, kompanije za reviziju sigurnosti, i suosnivač micropatch servisa 0patch. On punu hroniku njegove istrage, što ukazuje da je Microsoft značajno potcijenio ozbiljnost problema.
Začudo, Kolsek u početku nije mogao da reproducira napad koji je opisao i demonstrirao Džon, gde je koristio Internet Explorer koji radi na Windows 7 da preuzme i zatim otvori zlonamerni MHT fajl. Iako je njegov menadžer procesa pokazao da je system.ini, koji je planirano da bude ukraden od njega, pročitan skriptom skrivenom u MHT datoteci, ali nije poslan na udaljeni server.
“Ovo je izgledalo kao klasična situacija s oznakom weba”, piše Kolsek. “Kada se datoteka primi sa interneta, pravilno pokrenute Windows aplikacije kao što su web pretraživači i klijenti e-pošte dodaju oznaku takvoj datoteci u obliku pod nazivom Zone.Identifier koji sadrži string ZoneId = 3. Ovo omogućava drugim aplikacijama da znaju da je datoteka došla iz nepouzdanog izvora i da bi stoga trebala biti otvorena u sandboxu ili drugom ograničenom okruženju."
Istraživač je potvrdio da je IE zapravo postavio takvu oznaku za preuzetu MHT datoteku. Kolsek je zatim pokušao preuzeti isti fajl koristeći Edge i otvoriti ga u IE, koji ostaje zadana aplikacija za MHT datoteke. Neočekivano, eksploatacija je uspjela.
Prvo, istraživač je provjerio “mark-of-the-web”, pokazalo se da Edge također pohranjuje izvor porijekla datoteke u alternativni tok podataka pored sigurnosnog identifikatora, što može pokrenuti neka pitanja u vezi s privatnošću ovog metoda. Kolsek je spekulisao da su dodatni redovi možda zbunili IE i sprečili ga da čita SID, ali kako se ispostavilo, problem je bio negde drugde. Nakon duge analize, stručnjak za sigurnost je pronašao uzrok u dva unosa u listi kontrole pristupa koji su dodali pravo čitanja MHT datoteke određenoj sistemskoj usluzi, koju je Edge dodao tamo nakon učitavanja.
James Foreshaw iz posvećenog tima za ranjivost nultog dana - Google Project Zero - je tvitovao da se unosi koje je dodao Edge odnose na grupne sigurnosne identifikatore za paket Microsoft.MicrosoftEdge_8wekyb3d8bbwe. Nakon uklanjanja drugog reda SID-a S-1-15-2 - * sa liste kontrole pristupa zlonamerne datoteke, eksploatacija više nije radila. Kao rezultat toga, dozvola koju je dodao Edge omogućila je da datoteka zaobiđe sandbox u IE. Kao što su Kolsek i njegove kolege predložili, Edge koristi ove dozvole da zaštiti preuzete datoteke od pristupa od strane procesa sa niskim povjerenjem tako što pokreće datoteku u djelomično izolovanom okruženju.
Zatim je istraživač želio bolje razumjeti šta uzrokuje kvar IE-ovog sigurnosnog sistema. Dubinska analiza pomoću uslužnog programa Process Monitor i IDA disassemblera na kraju je otkrila da je postavljena rezolucija Edge-a spriječila Win Api funkciju GetZoneFromAlternateDataStreamEx da čita tok datoteke Zone.Identifier i vratila grešku. Za Internet Explorer, takva greška pri traženju sigurnosne oznake datoteke bila je potpuno neočekivana i, očigledno, pretraživač je smatrao da je greška ekvivalentna činjenici da datoteka nema oznaku „mark-of-the-web”, što ga automatski čini pouzdanim, nakon čega je IE dozvolio da se skripta skrivena u MHT datoteci izvrši i pošalje ciljnu lokalnu datoteku na udaljeni server.
„Vidite li tu ironiju?“ pita Kolsek. "Nedokumentovana sigurnosna funkcija koju koristi Edge neutralizirala je postojeću, nesumnjivo mnogo važniju (oznaku weba) funkciju u Internet Exploreru."
Uprkos povećanom značaju ranjivosti, koja omogućava da se zlonamerna skripta pokrene kao pouzdana skripta, nema naznaka da Microsoft namerava da ispravi grešku u skorije vreme, ako ikada bude ispravljena. Stoga i dalje preporučujemo da, kao iu prethodnom članku, promijenite zadani program za otvaranje MHT datoteka na bilo koji moderni pretraživač.
Naravno, Kolsekovo istraživanje nije prošlo bez malo samo-PR-a. Na kraju članka je demonstrirao malu zakrpu napisanu na asemblerskom jeziku koja može koristiti uslugu 0patch koju je razvila njegova kompanija. 0patch automatski detektuje ranjivi softver na računaru korisnika i primenjuje male zakrpe na njega doslovno u hodu. Na primjer, u slučaju koji smo opisali, 0patch će zamijeniti poruku o grešci u funkciji GetZoneFromAlternateDataStreamEx vrijednošću koja odgovara nepouzdanoj datoteci primljenoj iz mreže, tako da IE neće dozvoliti izvršavanje skrivenih skripti u skladu sa ugrađenim u bezbednosnoj politici.
izvor: 3dnews.ru