Tidligere vi om en opdaget nul-dages sårbarhed i Internet Explorer, som gør det muligt at bruge en specielt forberedt MHT-fil til at downloade information fra brugerens computer til en ekstern server. For nylig besluttede denne sårbarhed, opdaget af sikkerhedsspecialisten John Page, at undersøge og studere en anden velkendt specialist på dette område - Mitya Kolsek, direktør for ACROS Security, et sikkerhedsrevisionsfirma og medstifter af micropatch-tjenesten 0patch. Han den fulde kronik af sin undersøgelse, hvilket indikerer, at Microsoft undervurderede væsentligt alvoren af problemet.
Mærkeligt nok var Kolsek i starten ude af stand til at reproducere angrebet beskrevet og demonstreret af John, hvor han brugte Internet Explorer, der kørte på Windows 7, til at downloade og derefter åbne en ondsindet MHT-fil. Selvom hans procesleder viste, at system.ini, som var planlagt til at blive stjålet fra ham selv, blev læst af et script gemt i MHT-filen, men blev ikke sendt til fjernserveren.
"Dette lignede en klassisk mark-of-the-Web-situation," skriver Kolsek. "Når en fil modtages fra internettet, tilføjer korrekt kørende Windows-applikationer såsom webbrowsere og e-mail-klienter en etiket til en sådan fil i formularen med navnet Zone.Identifier, der indeholder strengen ZoneId = 3. Dette lader andre programmer vide, at filen kom fra en kilde, der ikke er tillid til, og derfor bør åbnes i en sandkasse eller et andet begrænset miljø."
Forskeren bekræftede, at IE faktisk satte en sådan etiket til den downloadede MHT-fil. Kolsek forsøgte derefter at downloade den samme fil ved hjælp af Edge og åbne den i IE, som forbliver standardapplikationen til MHT-filer. Uventet virkede udnyttelsen.
Først tjekkede forskeren "mark-of-the-Web", det viste sig, at Edge også gemmer kilden til filens oprindelse i en alternativ datastrøm udover sikkerhedsidentifikatoren, hvilket kan rejse nogle spørgsmål vedrørende privatlivets fred for denne metode. Kolsek spekulerede i, at de ekstra linjer kunne have forvirret IE og forhindret den i at læse SID, men som det viser sig, var problemet et andet sted. Efter en længere analyse fandt sikkerhedsspecialisten årsagen i to poster i adgangskontrollisten, der tilføjede retten til at læse MHT-filen til en bestemt systemtjeneste, som Edge tilføjede der efter indlæsning af den.
James Foreshaw fra det dedikerede zero-day sårbarhedsteam - Google Project Zero - tweeted, at indgange tilføjet af Edge henviser til gruppesikkerhedsidentifikatorer for pakken Microsoft.MicrosoftEdge_8wekyb3d8bbwe. Efter at have fjernet den anden linje i SID S-1-15-2 - * fra adgangskontrollisten for den skadelige fil, virkede udnyttelsen ikke længere. Som et resultat tillod tilladelsen tilføjet af Edge på en eller anden måde filen til at omgå sandkassen i IE. Som Kolsek og hans kolleger foreslog, bruger Edge disse tilladelser til at beskytte downloadede filer mod adgang fra processer med lav tillid ved at køre filen i et delvist isoleret miljø.
Dernæst ønskede forskeren bedre at forstå, hvad der får IE's sikkerhedssystem til at fejle. En dybdegående analyse ved hjælp af Process Monitor-værktøjet og IDA-disassembleren afslørede i sidste ende, at Edges indstillede opløsning forhindrede Win Api-funktionen GetZoneFromAlternateDataStreamEx i at læse Zone.Identifier-filstrømmen og returnerede en fejl. For Internet Explorer var en sådan fejl ved anmodning om en fils sikkerhedsetiket fuldstændig uventet, og tilsyneladende mente browseren, at fejlen svarede til det faktum, at filen ikke havde et "mark-of-the-Web"-mærke, hvilket automatisk gør det tillid, efter hvorfor IE tillod scriptet gemt i MHT-filen at udføre og sende den lokale målfil til fjernserveren.
"Kan du se ironien her?" spørger Kolsek. "En udokumenteret sikkerhedsfunktion brugt af Edge neutraliserede en eksisterende, uden tvivl meget vigtigere (mark-of-the-Web) funktion i Internet Explorer."
På trods af den øgede betydning af sårbarheden, som gør det muligt at køre et ondsindet script som et betroet script, er der intet, der tyder på, at Microsoft har til hensigt at rette fejlen snarest, hvis den nogensinde bliver rettet. Derfor anbefaler vi stadig, som i den forrige artikel, at du ændrer standardprogrammet til at åbne MHT-filer til enhver moderne browser.
Kolseks research gik selvfølgelig ikke uden lidt selv-PR. I slutningen af artiklen demonstrerede han en lille patch skrevet i assemblersprog, der kan bruge 0patch-tjenesten udviklet af hans virksomhed. 0patch registrerer automatisk sårbar software på brugerens computer og anvender små patches til det bogstaveligt talt på farten. For eksempel, i det tilfælde, vi beskrev, vil 0patch erstatte fejlmeddelelsen i GetZoneFromAlternateDataStreamEx-funktionen med en værdi, der svarer til en fil, der ikke er tillid til, modtaget fra netværket, så IE ikke vil tillade, at nogen skjulte scripts udføres i overensstemmelse med den indbyggede- i sikkerhedspolitik.
Kilde: 3dnews.ru