Ranije smo mi
Začudo, Kolsek u početku nije mogao da reproducira napad koji je opisao i demonstrirao Džon, gde je koristio Internet Explorer koji radi na Windows 7 da preuzme i zatim otvori zlonamerni MHT fajl. Iako je njegov menadžer procesa pokazao da je system.ini, koji je planirano da bude ukraden od njega, pročitan skriptom skrivenom u MHT datoteci, ali nije poslan na udaljeni server.
“Ovo je izgledalo kao klasična situacija s oznakom weba”, piše Kolsek. “Kada se datoteka primi sa interneta, pravilno pokrenute Windows aplikacije kao što su web pretraživači i klijenti e-pošte dodaju oznaku takvoj datoteci u obliku
Istraživač je potvrdio da je IE zapravo postavio takvu oznaku za preuzetu MHT datoteku. Kolsek je zatim pokušao preuzeti isti fajl koristeći Edge i otvoriti ga u IE, koji ostaje zadana aplikacija za MHT datoteke. Neočekivano, eksploatacija je uspjela.
Prvo, istraživač je provjerio “mark-of-the-web”, pokazalo se da Edge također pohranjuje izvor porijekla datoteke u alternativni tok podataka pored sigurnosnog identifikatora, što može pokrenuti neka pitanja u vezi s privatnošću ovog metoda. Kolsek je spekulisao da su dodatni redovi možda zbunili IE i sprečili ga da čita SID, ali kako se ispostavilo, problem je bio negde drugde. Nakon duge analize, stručnjak za sigurnost je pronašao uzrok u dva unosa u listi kontrole pristupa koji su dodali pravo čitanja MHT datoteke određenoj sistemskoj usluzi, koju je Edge dodao tamo nakon učitavanja.
James Foreshaw iz posvećenog tima za ranjivost nultog dana - Google Project Zero -
Zatim je istraživač želio bolje razumjeti šta uzrokuje kvar IE-ovog sigurnosnog sistema. Dubinska analiza pomoću uslužnog programa Process Monitor i IDA disassemblera na kraju je otkrila da je postavljena rezolucija Edge-a spriječila Win Api funkciju GetZoneFromAlternateDataStreamEx da čita tok datoteke Zone.Identifier i vratila grešku. Za Internet Explorer, takva greška pri traženju sigurnosne oznake datoteke bila je potpuno neočekivana i, očigledno, pretraživač je smatrao da je greška ekvivalentna činjenici da datoteka nema oznaku „mark-of-the-web”, što ga automatski čini pouzdanim, nakon čega je IE dozvolio da se skripta skrivena u MHT datoteci izvrši i pošalje ciljnu lokalnu datoteku na udaljeni server.
„Vidite li tu ironiju?“ pita Kolsek. "Nedokumentovana sigurnosna funkcija koju koristi Edge neutralizirala je postojeću, nesumnjivo mnogo važniju (oznaku weba) funkciju u Internet Exploreru."
Uprkos povećanom značaju ranjivosti, koja omogućava da se zlonamerna skripta pokrene kao pouzdana skripta, nema naznaka da Microsoft namerava da ispravi grešku u skorije vreme, ako ikada bude ispravljena. Stoga i dalje preporučujemo da, kao iu prethodnom članku, promijenite zadani program za otvaranje MHT datoteka na bilo koji moderni pretraživač.
Naravno, Kolsekovo istraživanje nije prošlo bez malo samo-PR-a. Na kraju članka je demonstrirao malu zakrpu napisanu na asemblerskom jeziku koja može koristiti uslugu 0patch koju je razvila njegova kompanija. 0patch automatski detektuje ranjivi softver na računaru korisnika i primenjuje male zakrpe na njega doslovno u hodu. Na primjer, u slučaju koji smo opisali, 0patch će zamijeniti poruku o grešci u funkciji GetZoneFromAlternateDataStreamEx vrijednošću koja odgovara nepouzdanoj datoteci primljenoj iz mreže, tako da IE neće dozvoliti izvršavanje skrivenih skripti u skladu sa ugrađenim u bezbednosnoj politici.
izvor: 3dnews.ru