Tidligere vi
Mærkeligt nok var Kolsek i starten ude af stand til at reproducere angrebet beskrevet og demonstreret af John, hvor han brugte Internet Explorer, der kørte på Windows 7, til at downloade og derefter åbne en ondsindet MHT-fil. Selvom hans procesleder viste, at system.ini, som var planlagt til at blive stjålet fra ham selv, blev læst af et script gemt i MHT-filen, men blev ikke sendt til fjernserveren.
"Dette lignede en klassisk mark-of-the-Web-situation," skriver Kolsek. "Når en fil modtages fra internettet, tilføjer korrekt kørende Windows-applikationer såsom webbrowsere og e-mail-klienter en etiket til en sådan fil i formularen
Forskeren bekræftede, at IE faktisk satte en sådan etiket til den downloadede MHT-fil. Kolsek forsøgte derefter at downloade den samme fil ved hjælp af Edge og åbne den i IE, som forbliver standardapplikationen til MHT-filer. Uventet virkede udnyttelsen.
Først tjekkede forskeren "mark-of-the-Web", det viste sig, at Edge også gemmer kilden til filens oprindelse i en alternativ datastrøm udover sikkerhedsidentifikatoren, hvilket kan rejse nogle spørgsmål vedrørende privatlivets fred for denne metode. Kolsek spekulerede i, at de ekstra linjer kunne have forvirret IE og forhindret den i at læse SID, men som det viser sig, var problemet et andet sted. Efter en længere analyse fandt sikkerhedsspecialisten årsagen i to poster i adgangskontrollisten, der tilføjede retten til at læse MHT-filen til en bestemt systemtjeneste, som Edge tilføjede der efter indlæsning af den.
James Foreshaw fra det dedikerede zero-day sårbarhedsteam - Google Project Zero -
Dernæst ønskede forskeren bedre at forstå, hvad der får IE's sikkerhedssystem til at fejle. En dybdegående analyse ved hjælp af Process Monitor-værktøjet og IDA-disassembleren afslørede i sidste ende, at Edges indstillede opløsning forhindrede Win Api-funktionen GetZoneFromAlternateDataStreamEx i at læse Zone.Identifier-filstrømmen og returnerede en fejl. For Internet Explorer var en sådan fejl ved anmodning om en fils sikkerhedsetiket fuldstændig uventet, og tilsyneladende mente browseren, at fejlen svarede til det faktum, at filen ikke havde et "mark-of-the-Web"-mærke, hvilket automatisk gør det tillid, efter hvorfor IE tillod scriptet gemt i MHT-filen at udføre og sende den lokale målfil til fjernserveren.
"Kan du se ironien her?" spørger Kolsek. "En udokumenteret sikkerhedsfunktion brugt af Edge neutraliserede en eksisterende, uden tvivl meget vigtigere (mark-of-the-Web) funktion i Internet Explorer."
På trods af den øgede betydning af sårbarheden, som gør det muligt at køre et ondsindet script som et betroet script, er der intet, der tyder på, at Microsoft har til hensigt at rette fejlen snarest, hvis den nogensinde bliver rettet. Derfor anbefaler vi stadig, som i den forrige artikel, at du ændrer standardprogrammet til at åbne MHT-filer til enhver moderne browser.
Kolseks research gik selvfølgelig ikke uden lidt selv-PR. I slutningen af artiklen demonstrerede han en lille patch skrevet i assemblersprog, der kan bruge 0patch-tjenesten udviklet af hans virksomhed. 0patch registrerer automatisk sårbar software på brugerens computer og anvender små patches til det bogstaveligt talt på farten. For eksempel, i det tilfælde, vi beskrev, vil 0patch erstatte fejlmeddelelsen i GetZoneFromAlternateDataStreamEx-funktionen med en værdi, der svarer til en fil, der ikke er tillid til, modtaget fra netværket, så IE ikke vil tillade, at nogen skjulte scripts udføres i overensstemmelse med den indbyggede- i sikkerhedspolitik.
Kilde: 3dnews.ru