Antaŭe ni
Sufiĉe strange, Kolsek komence ne povis reprodukti la atakon priskribitan kaj pruvitan de Johano, kie li uzis Interreton Explorer funkciantan sur Windows 7 por elŝuti kaj poste malfermi malican MHT-dosieron. Kvankam lia procezmanaĝero montris ke system.ini, kiu estis planita esti ŝtelita de li mem, estis legita per skripto kaŝita en la MHT-dosiero, sed ne estis sendita al la fora servilo.
"Ĉi tio aspektis kiel klasika marko de la retejo," Kolsek skribas. "Kiam dosiero estas ricevita de la Interreto, konvene rulantaj Vindozaj aplikoj kiel retumiloj kaj retpoŝtaj klientoj aldonas etikedon al tia dosiero en la formo
La esploristo kontrolis, ke IE efektive starigis tian etikedon por la elŝutita MHT-dosiero. Kolsek tiam provis elŝuti la saman dosieron per Edge kaj malfermi ĝin en IE, kiu restas la defaŭlta aplikaĵo por MHT-dosieroj. Neatendite, la ekspluato funkciis.
Unue, la esploristo kontrolis "mark-of-the-Web", montriĝis, ke Edge ankaŭ konservas la fonton de la origino de la dosiero en alternativa datumfluo aldone al la sekureca identigilo, kio povas levi kelkajn demandojn pri la privateco de ĉi tiu. metodo. Kolsek konjektis ke la ekstraj linioj eble konfuzis IE kaj malhelpis ĝin legi la SID, sed kiel ĝi rezultas, la problemo estis aliloke. Post longa analizo, la sekureca specialisto trovis la kaŭzon en du enskriboj en la alirkontrola listo, kiuj aldonis la rajton legi la MHT-dosieron al certa sistema servo, kiun Edge aldonis tie post ŝarĝo de ĝi.
James Foreshaw de la dediĉita nultaga vundebleco-teamo - Google Project Zero -
Poste, la esploristo volis pli bone kompreni, kio kaŭzas malsukceson de la sekureca sistemo de IE. Profunda analizo uzanta la Procezan Monitoro-servaĵon kaj la IDA-malmuntilon finfine malkaŝis, ke la fiksita rezolucio de la Edge malhelpis la Win Api-funkcion GetZoneFromAlternateDataStreamEx legi la dosierfluon Zone.Identifier kaj redonis eraron. Por Internet Explorer, tia eraro, kiam oni petis la sekurecan etikedon de dosiero, estis tute neatendita, kaj, ŝajne, la retumilo konsideris, ke la eraro egalas al tio, ke la dosiero ne havis markon "mark-of-the-Web". kiu aŭtomate faras ĝin fidinda, post kial IE permesis al la skripto kaŝita en la MHT-dosiero ekzekuti kaj sendi la celan lokan dosieron al la fora servilo.
"Ĉu vi vidas la ironion ĉi tie?" demandas Kolsek. "Nedokumentita sekureca trajto uzata de Edge neŭtraligis ekzistantan, sendube multe pli gravan (mark-of-the-Web) trajton en Internet Explorer."
Malgraŭ la pliigita signifo de la vundebleco, kiu permesas malican skripton ruliĝi kiel fidinda skripto, estas neniu indiko, ke Microsoft intencas ripari la cimon baldaŭ, se ĝi iam estos riparita. Tial ni ankoraŭ rekomendas, ke, kiel en la antaŭa artikolo, vi ŝanĝu la defaŭltan programon por malfermi MHT-dosierojn al iu ajn moderna retumilo.
Kompreneble, la esplorado de Kolsek ne daŭris sen iom da mem-PR. Ĉe la fino de la artikolo, li montris malgrandan flikaĵon skribitan en asembla lingvo, kiu povas uzi la servon 0patch evoluigitan de lia kompanio. 0patch aŭtomate detektas vundeblan programaron sur la komputilo de la uzanto kaj aplikas malgrandajn pecetojn al ĝi laŭvorte sur la muŝo. Ekzemple, en la kazo, kiun ni priskribis, 0patch anstataŭigos la erarmesaĝon en la funkcio GetZoneFromAlternateDataStreamEx per valoro responda al nefidinda dosiero ricevita de la reto, tiel ke IE ne permesos ekzekuti iujn kaŝitajn skriptojn konforme al la konstruita- en sekureca politiko.
fonto: 3dnews.ru