Yn flaenorol, rydym ni
Yn rhyfedd ddigon, ni allai Kolsek i ddechrau atgynhyrchu'r ymosodiad a ddisgrifiwyd ac a ddangoswyd gan John, lle defnyddiodd Internet Explorer yn rhedeg ar Windows 7 i lawrlwytho ac yna agor ffeil MHT maleisus. Er bod ei reolwr proses yn dangos bod system.ini, y bwriadwyd ei ddwyn ohono'i hun, yn cael ei ddarllen gan sgript a guddiwyd yn y ffeil MHT, ond ni chafodd ei anfon at y gweinydd pell.
“Roedd hon yn edrych fel sefyllfa farc-y-We glasurol,” mae Kolsek yn ysgrifennu. “Pan dderbynnir ffeil o'r Rhyngrwyd, mae rhaglenni Windows sy'n rhedeg yn iawn fel porwyr gwe a chleientiaid e-bost yn ychwanegu label at ffeil o'r fath yn y ffurflen
Cadarnhaodd yr ymchwilydd fod IE mewn gwirionedd wedi gosod label o'r fath ar gyfer y ffeil MHT a lawrlwythwyd. Yna ceisiodd Kolsek lawrlwytho'r un ffeil gan ddefnyddio Edge a'i hagor yn IE, sef y cymhwysiad rhagosodedig ar gyfer ffeiliau MHT o hyd. Yn annisgwyl, fe weithiodd y camfanteisio.
Yn gyntaf, gwiriodd yr ymchwilydd “mark-of-the-Web”, daeth i'r amlwg bod Edge hefyd yn storio ffynhonnell tarddiad y ffeil mewn ffrwd ddata amgen yn ogystal â'r dynodwr diogelwch, a allai godi rhai cwestiynau ynghylch preifatrwydd hyn. dull. Dyfalodd Kolsek y gallai'r llinellau ychwanegol fod wedi drysu IE a'i atal rhag darllen y SID, ond fel y mae'n digwydd, roedd y broblem mewn mannau eraill. Ar ôl dadansoddiad hir, canfu'r arbenigwr diogelwch yr achos mewn dau gofnod yn y rhestr rheoli mynediad a ychwanegodd yr hawl i ddarllen y ffeil MHT i wasanaeth system penodol, a ychwanegodd Edge yno ar ôl ei lwytho.
James Foreshaw o'r tîm bregusrwydd dim diwrnod pwrpasol - Google Project Zero -
Nesaf, roedd yr ymchwilydd eisiau deall yn well beth sy'n achosi i system ddiogelwch IE fethu. Yn y pen draw, datgelodd dadansoddiad manwl gan ddefnyddio cyfleustodau Process Monitor a dadosodwr yr IDA fod datrysiad gosod Edge wedi atal swyddogaeth Win Api GetZoneFromAlternateDataStreamEx rhag darllen ffrwd ffeil Zone.Identifier a dychwelodd gwall. Ar gyfer Internet Explorer, roedd gwall o'r fath wrth ofyn am label diogelwch ffeil yn gwbl annisgwyl, ac, yn ôl pob tebyg, roedd y porwr o'r farn bod y gwall yn cyfateb i'r ffaith nad oedd gan y ffeil nod "marc-y-We", sy'n ei gwneud yn awtomatig ymddiried ynddo, ar ôl pam y caniataodd IE y sgript a guddiwyd yn y ffeil MHT i weithredu ac anfon y ffeil leol targed i'r gweinydd pell.
“Ydych chi'n gweld yr eironi yma?” yn gofyn Kolsek. “Fe wnaeth nodwedd ddiogelwch heb ei dogfennu a ddefnyddiwyd gan Edge niwtraleiddio nodwedd bresennol, yn ddi-os, nodwedd llawer pwysicach (marc-y-Gwe) yn Internet Explorer.”
Er gwaethaf arwyddocâd cynyddol y bregusrwydd, sy'n caniatáu i sgript faleisus gael ei rhedeg fel sgript y gellir ymddiried ynddi, nid oes unrhyw arwydd bod Microsoft yn bwriadu trwsio'r nam unrhyw bryd yn fuan, os bydd yn cael ei drwsio byth. Felly, rydym yn dal i argymell, fel yn yr erthygl flaenorol, eich bod yn newid y rhaglen ddiofyn ar gyfer agor ffeiliau MHT i unrhyw borwr modern.
Wrth gwrs, ni aeth ymchwil Kolsek heb ychydig o hunan-PR. Ar ddiwedd yr erthygl, dangosodd ddarn bach wedi'i ysgrifennu mewn iaith gydosod sy'n gallu defnyddio'r gwasanaeth 0patch a ddatblygwyd gan ei gwmni. Mae 0patch yn canfod meddalwedd sy'n agored i niwed yn awtomatig ar gyfrifiadur y defnyddiwr ac yn cymhwyso clytiau bach iddo'n llythrennol wrth hedfan. Er enghraifft, yn yr achos a ddisgrifiwyd gennym, bydd 0patch yn disodli'r neges gwall yn swyddogaeth GetZoneFromAlternateDataStreamEx gyda gwerth sy'n cyfateb i ffeil anymddiriededig a dderbyniwyd gan y rhwydwaith, fel na fydd IE yn caniatáu i unrhyw sgriptiau cudd gael eu gweithredu yn unol â'r adeiledig- mewn polisi diogelwch.
Ffynhonnell: 3dnewyddion.ru