Prima noi circa una vulnerabilità scuperta zero-day in Internet Explorer, chì permette di utilizà un schedariu MHT preparatu apposta per scaricà l'infurmazioni da l'urdinatore di l'utilizatori à un servitore remotu. Ricertamenti, sta vulnerabilità, scuperta da u specialista di sicurità John Page, hà decisu di verificà è studià un altru specialista ben cunnisciutu in questu campu - Mitya Kolsek, direttore di ACROS Security, una sucietà di audit di sicurezza, è cofundatore di u serviziu micropatch 0patch. Ellu cronaca completa di a so investigazione, chì indica chì Microsoft hà sottovalutatu significativamente a gravità di u prublema.
Curiosamente, Kolsek era inizialmente incapace di ripruduce l'attaccu descrittu è dimustratu da Ghjuvanni, induve hà utilizatu Internet Explorer in esecuzione in Windows 7 per scaricà è dopu apre un file MHT malicioso. Ancu s'è u so capu di prucessu hà dimustratu chì system.ini, chì era previstu per esse arrubatu da ellu stessu, hè statu lettu da un script hidden in u schedariu MHT, ma ùn hè statu mandatu à u servitore remotu.
"Questu paria una situazione classica di marca di u Web", scrive Kolsek. "Quandu un schedariu hè ricevutu da Internet, l'applicazioni Windows in esecuzione currettamente cum'è i navigatori web è i clienti di e-mail aghjunghjenu una etichetta à tali file in forma chjamatu Zone.Identifier chì cuntene a stringa ZoneId = 3. Questu permette à l'altri applicazioni sapè chì u schedariu hè vinutu da una fonte micca fiducia è per quessa deve esse apertu in un sandbox o un altru ambiente ristrettu ".
L'investigatore hà verificatu chì IE hà veramente stabilitu una tale etichetta per u schedariu MHT scaricatu. Kolsek hà dopu pruvatu à scaricà u stessu schedariu cù Edge è apre in IE, chì resta l'applicazione predeterminata per i schedari MHT. Inesperu, u sfruttamentu hà travagliatu.
Prima, l'investigatore hà verificatu "mark-of-the-Web", hà risultatu chì Edge guarda ancu a fonte di l'origine di u schedariu in un flussu di dati alternativu in più di l'identificatore di sicurezza, chì pò suscitarà alcune dumande in quantu à a privacy di questu. metudu. Kolsek hà speculatu chì e linee extra puderia avè cunfunditu IE è impediscenu di leghje u SID, ma cum'è risulta, u prublema era in altrò. Dopu una longa analisi, u specialista di sicurità hà truvatu a causa in dui entrate in a lista di cuntrollu di accessu chì aghjunghjenu u dirittu di leghje u schedariu MHT à un certu serviziu di u sistema, chì Edge hà aghjustatu quì dopu a carica.
James Foreshaw da a squadra dedicata di vulnerabilità zero-day - Google Project Zero - tweeted chì e entrate aghjuntu da Edge si riferite à l'identificatori di sicurezza di u gruppu per u pacchettu Microsoft.MicrosoftEdge_8wekyb3d8bbwe. Dopu avè eliminatu a seconda linea di SID S-1-15-2 - * da a lista di cuntrollu di l'accessu di u schedariu maliziusu, u sfruttamentu ùn hà più travagliatu. In u risultatu, in qualchì manera u permessu aghjuntu da Edge hà permessu à u schedariu di aggira u sandbox in IE. Cum'è Kolsek è i so culleghi suggerenu, Edge usa sti permessi per prutege i fugliali scaricati da l'accessu da i prucessi di bassa fiducia eseguendu u schedariu in un ambiente parzialmente isolatu.
Dopu, u circadori vulia capisce megliu ciò chì causa u sistema di sicurità di IE per fallu. Un analisi approfonditu chì utilizeghja l'utilità di u Process Monitor è u disassembler IDA hà finalmente revelatu chì a risoluzione di u Edge hà impeditu a funzione Win Api GetZoneFromAlternateDataStreamEx di leghje u flussu di u schedariu Zone.Identifier è hà restituutu un errore. Per Internet Explorer, un tali errore quandu dumandava l'etichetta di sicurità di un schedariu era cumplettamente inesperu, è, apparentemente, u navigatore hà cunsideratu chì l'errore era equivalente à u fattu chì u schedariu ùn hà micca una marca "mark-of-the-Web". chì automaticamente face fiducia, dopu perchè IE hà permessu u script hidden in u schedariu MHT per eseguisce è mandà u schedariu locale di destinazione à u servitore remoto.
"Vedi l'ironia quì?" dumanda Kolsek. "Una funzione di sicurezza senza documentazione utilizata da Edge neutralizza una funzione esistente, senza dubbitu assai più impurtante (marca di u Web) in Internet Explorer".
Malgradu l'impurtanza aumentata di a vulnerabilità, chì permette un script maliziusu per esse eseguitu cum'è un script di fiducia, ùn ci hè nisuna indicazione chì Microsoft hà intenzione di riparà l'errore in ogni mumentu prestu, s'ellu hè mai riparatu. Dunque, avemu sempre ricumandemu chì, cum'è in l'articulu precedente, cambiate u prugramma predeterminatu per apre i schedari MHT à qualsiasi navigatore mudernu.
Di sicuru, a ricerca di Kolsek ùn hè micca andatu senza un pocu di self-PR. À a fine di l'articulu, hà dimustratu un picculu patch scrittu in lingua assemblea chì pò aduprà u serviziu 0patch sviluppatu da a so cumpagnia. 0patch rileva automaticamente u software vulnerabile nantu à l'urdinatore di l'utilizatore è l'applica letteralmente à a mosca picculi patch. Per esempiu, in u casu chì avemu descrittu, 0patch rimpiazzà u missaghju d'errore in a funzione GetZoneFromAlternateDataStreamEx cù un valore currispundenti à un schedariu micca fiduciale ricevutu da a reta, per quessa chì IE ùn permetterà alcuna scrittura nascosta per esse eseguita in cunfurmità cù u custruitu- in a pulitica di sicurità.
Source: 3dnews.ru