Prima noi
Curiosamente, Kolsek era inizialmente incapace di ripruduce l'attaccu descrittu è dimustratu da Ghjuvanni, induve hà utilizatu Internet Explorer in esecuzione in Windows 7 per scaricà è dopu apre un file MHT malicioso. Ancu s'è u so capu di prucessu hà dimustratu chì system.ini, chì era previstu per esse arrubatu da ellu stessu, hè statu lettu da un script hidden in u schedariu MHT, ma ùn hè statu mandatu à u servitore remotu.
"Questu paria una situazione classica di marca di u Web", scrive Kolsek. "Quandu un schedariu hè ricevutu da Internet, l'applicazioni Windows in esecuzione currettamente cum'è i navigatori web è i clienti di e-mail aghjunghjenu una etichetta à tali file in forma
L'investigatore hà verificatu chì IE hà veramente stabilitu una tale etichetta per u schedariu MHT scaricatu. Kolsek hà dopu pruvatu à scaricà u stessu schedariu cù Edge è apre in IE, chì resta l'applicazione predeterminata per i schedari MHT. Inesperu, u sfruttamentu hà travagliatu.
Prima, l'investigatore hà verificatu "mark-of-the-Web", hà risultatu chì Edge guarda ancu a fonte di l'origine di u schedariu in un flussu di dati alternativu in più di l'identificatore di sicurezza, chì pò suscitarà alcune dumande in quantu à a privacy di questu. metudu. Kolsek hà speculatu chì e linee extra puderia avè cunfunditu IE è impediscenu di leghje u SID, ma cum'è risulta, u prublema era in altrò. Dopu una longa analisi, u specialista di sicurità hà truvatu a causa in dui entrate in a lista di cuntrollu di accessu chì aghjunghjenu u dirittu di leghje u schedariu MHT à un certu serviziu di u sistema, chì Edge hà aghjustatu quì dopu a carica.
James Foreshaw da a squadra dedicata di vulnerabilità zero-day - Google Project Zero -
Dopu, u circadori vulia capisce megliu ciò chì causa u sistema di sicurità di IE per fallu. Un analisi approfonditu chì utilizeghja l'utilità di u Process Monitor è u disassembler IDA hà finalmente revelatu chì a risoluzione di u Edge hà impeditu a funzione Win Api GetZoneFromAlternateDataStreamEx di leghje u flussu di u schedariu Zone.Identifier è hà restituutu un errore. Per Internet Explorer, un tali errore quandu dumandava l'etichetta di sicurità di un schedariu era cumplettamente inesperu, è, apparentemente, u navigatore hà cunsideratu chì l'errore era equivalente à u fattu chì u schedariu ùn hà micca una marca "mark-of-the-Web". chì automaticamente face fiducia, dopu perchè IE hà permessu u script hidden in u schedariu MHT per eseguisce è mandà u schedariu locale di destinazione à u servitore remoto.
"Vedi l'ironia quì?" dumanda Kolsek. "Una funzione di sicurezza senza documentazione utilizata da Edge neutralizza una funzione esistente, senza dubbitu assai più impurtante (marca di u Web) in Internet Explorer".
Malgradu l'impurtanza aumentata di a vulnerabilità, chì permette un script maliziusu per esse eseguitu cum'è un script di fiducia, ùn ci hè nisuna indicazione chì Microsoft hà intenzione di riparà l'errore in ogni mumentu prestu, s'ellu hè mai riparatu. Dunque, avemu sempre ricumandemu chì, cum'è in l'articulu precedente, cambiate u prugramma predeterminatu per apre i schedari MHT à qualsiasi navigatore mudernu.
Di sicuru, a ricerca di Kolsek ùn hè micca andatu senza un pocu di self-PR. À a fine di l'articulu, hà dimustratu un picculu patch scrittu in lingua assemblea chì pò aduprà u serviziu 0patch sviluppatu da a so cumpagnia. 0patch rileva automaticamente u software vulnerabile nantu à l'urdinatore di l'utilizatore è l'applica letteralmente à a mosca picculi patch. Per esempiu, in u casu chì avemu descrittu, 0patch rimpiazzà u missaghju d'errore in a funzione GetZoneFromAlternateDataStreamEx cù un valore currispundenti à un schedariu micca fiduciale ricevutu da a reta, per quessa chì IE ùn permetterà alcuna scrittura nascosta per esse eseguita in cunfurmità cù u custruitu- in a pulitica di sicurità.
Source: 3dnews.ru