Abans nosaltres sobre una vulnerabilitat de dia zero descoberta a Internet Explorer, que permet utilitzar un fitxer MHT especialment preparat per descarregar informació de l'ordinador de l'usuari a un servidor remot. Recentment, aquesta vulnerabilitat, descoberta per l'especialista en seguretat John Page, va decidir comprovar i estudiar un altre especialista conegut en aquest camp: Mitya Kolsek, director d'ACROS Security, una empresa d'auditoria de seguretat i cofundador del servei de micropatch 0patch. Ell crònica completa de la seva investigació, que indica que Microsoft va subestimar significativament la gravetat del problema.
Curiosament, Kolsek inicialment no va poder reproduir l'atac descrit i demostrat per John, on va utilitzar Internet Explorer que s'executava a Windows 7 per descarregar i després obrir un fitxer MHT maliciós. Tot i que el seu gestor de processos va mostrar que system.ini, que estava previst per ser robat a ell mateix, va ser llegit per un script amagat al fitxer MHT, però no es va enviar al servidor remot.
"Això semblava una situació clàssica de marca de la web", escriu Kolsek. "Quan es rep un fitxer d'Internet, les aplicacions de Windows que funcionen correctament, com ara navegadors web i clients de correu electrònic, afegeixen una etiqueta a aquest fitxer en el formulari amb el nom Zone.Identifier que conté la cadena ZoneId = 3. Això permet que altres aplicacions sàpiguen que el fitxer prové d'una font no fiable i, per tant, s'hauria d'obrir en un sandbox o un altre entorn restringit."
L'investigador va verificar que IE realment va establir aquesta etiqueta per al fitxer MHT descarregat. Aleshores, Kolsek va intentar descarregar el mateix fitxer amb Edge i obrir-lo a IE, que segueix sent l'aplicació predeterminada per als fitxers MHT. Inesperadament, l'explotació va funcionar.
Primer, l'investigador va comprovar "mark-of-the-Web", va resultar que Edge també emmagatzema la font de l'origen del fitxer en un flux de dades alternatiu a més de l'identificador de seguretat, cosa que pot plantejar algunes preguntes sobre la privadesa d'aquest fitxer. mètode. Kolsek va especular que les línies addicionals podrien haver confós IE i impedit que llegeixi el SID, però, com a resultat, el problema estava en un altre lloc. Després d'una llarga anàlisi, l'especialista en seguretat va trobar la causa en dues entrades de la llista de control d'accés que afegeixen el dret de llegir el fitxer MHT a un determinat servei del sistema, que Edge hi va afegir després de carregar-lo.
James Foreshaw de l'equip dedicat a la vulnerabilitat del dia zero - Project Zero de Google - va tuitejar que les entrades afegides per Edge fan referència als identificadors de seguretat de grup per al paquet Microsoft.MicrosoftEdge_8wekyb3d8bbwe. Després d'eliminar la segona línia del SID S-1-15-2 - * de la llista de control d'accés del fitxer maliciós, l'explotació ja no funcionava. Com a resultat, d'alguna manera, el permís afegit per Edge va permetre que el fitxer obviés el sandbox a IE. Tal com van suggerir Kolsek i els seus col·legues, Edge utilitza aquests permisos per protegir els fitxers descarregats de l'accés de processos de poca confiança executant el fitxer en un entorn parcialment aïllat.
A continuació, l'investigador volia entendre millor què fa que el sistema de seguretat d'IE fallés. Una anàlisi en profunditat amb la utilitat Process Monitor i el desmuntador IDA va revelar finalment que la resolució establerta de l'Edge va impedir que la funció Win Api GetZoneFromAlternateDataStreamEx llegís el flux de fitxers Zone.Identifier i va retornar un error. Per a Internet Explorer, aquest error en sol·licitar l'etiqueta de seguretat d'un fitxer va ser completament inesperat i, pel que sembla, el navegador va considerar que l'error era equivalent al fet que el fitxer no tenia la marca "marca de la web". que automàticament fa que sigui de confiança, després de per què IE va permetre que l'script amagat al fitxer MHT s'executi i enviï el fitxer local de destinació al servidor remot.
"Veus la ironia aquí?" pregunta Kolsek. "Una funció de seguretat no documentada utilitzada per Edge va neutralitzar una característica existent, sens dubte molt més important (marca de la web) a Internet Explorer".
Malgrat l'augment de la importància de la vulnerabilitat, que permet executar un script maliciós com a script de confiança, no hi ha cap indicació que Microsoft tingui la intenció de solucionar l'error aviat, si mai s'arregla. Per tant, encara recomanem que, com a l'article anterior, canvieu el programa predeterminat per obrir fitxers MHT a qualsevol navegador modern.
Per descomptat, la investigació de Kolsek no va anar sense una mica d'autopromoció. Al final de l'article, va demostrar un petit pedaç escrit en llenguatge assemblador que pot utilitzar el servei 0patch desenvolupat per la seva empresa. 0patch detecta automàticament programari vulnerable a l'ordinador de l'usuari i li aplica literalment petits pedaços sobre la marxa. Per exemple, en el cas que hem descrit, 0patch substituirà el missatge d'error a la funció GetZoneFromAlternateDataStreamEx per un valor corresponent a un fitxer no fiable rebut de la xarxa, de manera que IE no permetrà executar cap script ocult d'acord amb el en política de seguretat.
Font: 3dnews.ru