Yn flaenorol, rydym ni ynghylch bregusrwydd dim diwrnod a ddarganfuwyd yn Internet Explorer, sy'n caniatáu defnyddio ffeil MHT a baratowyd yn arbennig i lawrlwytho gwybodaeth o gyfrifiadur y defnyddiwr i weinydd pell. Yn ddiweddar, penderfynodd y bregusrwydd hwn, a ddarganfuwyd gan yr arbenigwr diogelwch John Page, wirio ac astudio arbenigwr adnabyddus arall yn y maes hwn - Mitya Kolsek, cyfarwyddwr ACROS Security, cwmni archwilio diogelwch, a chyd-sylfaenydd y gwasanaeth micropatch 0patch. Ef cronicl llawn o'i ymchwiliad, gan ddangos bod Microsoft wedi tanamcangyfrif difrifoldeb y broblem yn sylweddol.
Yn rhyfedd ddigon, ni allai Kolsek i ddechrau atgynhyrchu'r ymosodiad a ddisgrifiwyd ac a ddangoswyd gan John, lle defnyddiodd Internet Explorer yn rhedeg ar Windows 7 i lawrlwytho ac yna agor ffeil MHT maleisus. Er bod ei reolwr proses yn dangos bod system.ini, y bwriadwyd ei ddwyn ohono'i hun, yn cael ei ddarllen gan sgript a guddiwyd yn y ffeil MHT, ond ni chafodd ei anfon at y gweinydd pell.
“Roedd hon yn edrych fel sefyllfa farc-y-We glasurol,” mae Kolsek yn ysgrifennu. “Pan dderbynnir ffeil o'r Rhyngrwyd, mae rhaglenni Windows sy'n rhedeg yn iawn fel porwyr gwe a chleientiaid e-bost yn ychwanegu label at ffeil o'r fath yn y ffurflen gyda'r enw Zone.Identifier yn cynnwys y llinyn ZoneId = 3. Mae hyn yn gadael i gymwysiadau eraill wybod bod y ffeil wedi dod o ffynhonnell na ellir ymddiried ynddi ac felly dylid ei hagor mewn blwch tywod neu amgylchedd cyfyngedig arall."
Cadarnhaodd yr ymchwilydd fod IE mewn gwirionedd wedi gosod label o'r fath ar gyfer y ffeil MHT a lawrlwythwyd. Yna ceisiodd Kolsek lawrlwytho'r un ffeil gan ddefnyddio Edge a'i hagor yn IE, sef y cymhwysiad rhagosodedig ar gyfer ffeiliau MHT o hyd. Yn annisgwyl, fe weithiodd y camfanteisio.
Yn gyntaf, gwiriodd yr ymchwilydd “mark-of-the-Web”, daeth i'r amlwg bod Edge hefyd yn storio ffynhonnell tarddiad y ffeil mewn ffrwd ddata amgen yn ogystal â'r dynodwr diogelwch, a allai godi rhai cwestiynau ynghylch preifatrwydd hyn. dull. Dyfalodd Kolsek y gallai'r llinellau ychwanegol fod wedi drysu IE a'i atal rhag darllen y SID, ond fel y mae'n digwydd, roedd y broblem mewn mannau eraill. Ar ôl dadansoddiad hir, canfu'r arbenigwr diogelwch yr achos mewn dau gofnod yn y rhestr rheoli mynediad a ychwanegodd yr hawl i ddarllen y ffeil MHT i wasanaeth system penodol, a ychwanegodd Edge yno ar ôl ei lwytho.
James Foreshaw o'r tîm bregusrwydd dim diwrnod pwrpasol - Google Project Zero - wedi trydar bod y cofnodion a ychwanegwyd gan Edge yn cyfeirio at ddynodwyr diogelwch grŵp ar gyfer y pecyn Microsoft.MicrosoftEdge_8wekyb3d8bbwe. Ar ôl tynnu ail linell SID S-1-15-2 - * o restr rheoli mynediad y ffeil maleisus, nid oedd y camfanteisio bellach yn gweithio. O ganlyniad, rhywsut roedd y caniatâd a ychwanegwyd gan Edge yn caniatáu i'r ffeil osgoi'r blwch tywod yn IE. Fel yr awgrymodd Kolsek a'i gydweithwyr, mae Edge yn defnyddio'r caniatâd hwn i amddiffyn ffeiliau wedi'u llwytho i lawr rhag mynediad trwy brosesau ymddiriedaeth isel trwy redeg y ffeil mewn amgylchedd rhannol ynysig.
Nesaf, roedd yr ymchwilydd eisiau deall yn well beth sy'n achosi i system ddiogelwch IE fethu. Yn y pen draw, datgelodd dadansoddiad manwl gan ddefnyddio cyfleustodau Process Monitor a dadosodwr yr IDA fod datrysiad gosod Edge wedi atal swyddogaeth Win Api GetZoneFromAlternateDataStreamEx rhag darllen ffrwd ffeil Zone.Identifier a dychwelodd gwall. Ar gyfer Internet Explorer, roedd gwall o'r fath wrth ofyn am label diogelwch ffeil yn gwbl annisgwyl, ac, yn ôl pob tebyg, roedd y porwr o'r farn bod y gwall yn cyfateb i'r ffaith nad oedd gan y ffeil nod "marc-y-We", sy'n ei gwneud yn awtomatig ymddiried ynddo, ar ôl pam y caniataodd IE y sgript a guddiwyd yn y ffeil MHT i weithredu ac anfon y ffeil leol targed i'r gweinydd pell.
“Ydych chi'n gweld yr eironi yma?” yn gofyn Kolsek. “Fe wnaeth nodwedd ddiogelwch heb ei dogfennu a ddefnyddiwyd gan Edge niwtraleiddio nodwedd bresennol, yn ddi-os, nodwedd llawer pwysicach (marc-y-Gwe) yn Internet Explorer.”
Er gwaethaf arwyddocâd cynyddol y bregusrwydd, sy'n caniatáu i sgript faleisus gael ei rhedeg fel sgript y gellir ymddiried ynddi, nid oes unrhyw arwydd bod Microsoft yn bwriadu trwsio'r nam unrhyw bryd yn fuan, os bydd yn cael ei drwsio byth. Felly, rydym yn dal i argymell, fel yn yr erthygl flaenorol, eich bod yn newid y rhaglen ddiofyn ar gyfer agor ffeiliau MHT i unrhyw borwr modern.
Wrth gwrs, ni aeth ymchwil Kolsek heb ychydig o hunan-PR. Ar ddiwedd yr erthygl, dangosodd ddarn bach wedi'i ysgrifennu mewn iaith gydosod sy'n gallu defnyddio'r gwasanaeth 0patch a ddatblygwyd gan ei gwmni. Mae 0patch yn canfod meddalwedd sy'n agored i niwed yn awtomatig ar gyfrifiadur y defnyddiwr ac yn cymhwyso clytiau bach iddo'n llythrennol wrth hedfan. Er enghraifft, yn yr achos a ddisgrifiwyd gennym, bydd 0patch yn disodli'r neges gwall yn swyddogaeth GetZoneFromAlternateDataStreamEx gyda gwerth sy'n cyfateb i ffeil anymddiriededig a dderbyniwyd gan y rhwydwaith, fel na fydd IE yn caniatáu i unrhyw sgriptiau cudd gael eu gweithredu yn unol â'r adeiledig- mewn polisi diogelwch.
Ffynhonnell: 3dnewyddion.ru