Antaŭe ni pri malkovrita nul-taga vundebleco en Internet Explorer, kiu permesas uzi speciale preparitan MHT-dosieron por elŝuti informojn de la komputilo de la uzanto al fora servilo. Lastatempe, ĉi tiu vundebleco, malkovrita de sekureca specialisto John Page, decidis kontroli kaj studi alian konatan specialiston en ĉi tiu kampo - Mitya Kolsek, direktoro de ACROS Security, sekureca revizia kompanio, kaj kunfondinto de la micropatch-servo 0patch. Li plena kroniko de ĝia enketo, indikante ke Microsoft signife subtaksis la severecon de la problemo.
Sufiĉe strange, Kolsek komence ne povis reprodukti la atakon priskribitan kaj pruvitan de Johano, kie li uzis Interreton Explorer funkciantan sur Windows 7 por elŝuti kaj poste malfermi malican MHT-dosieron. Kvankam lia procezmanaĝero montris ke system.ini, kiu estis planita esti ŝtelita de li mem, estis legita per skripto kaŝita en la MHT-dosiero, sed ne estis sendita al la fora servilo.
"Ĉi tio aspektis kiel klasika marko de la retejo," Kolsek skribas. "Kiam dosiero estas ricevita de la Interreto, konvene rulantaj Vindozaj aplikoj kiel retumiloj kaj retpoŝtaj klientoj aldonas etikedon al tia dosiero en la formo kun la nomo Zone.Identifier enhavanta la ĉenon ZoneId = 3. Ĉi tio lasas aliajn aplikaĵojn scii ke la dosiero venis de nefidinda fonto kaj tial devus esti malfermita en sablokesto aŭ alia limigita medio."
La esploristo kontrolis, ke IE efektive starigis tian etikedon por la elŝutita MHT-dosiero. Kolsek tiam provis elŝuti la saman dosieron per Edge kaj malfermi ĝin en IE, kiu restas la defaŭlta aplikaĵo por MHT-dosieroj. Neatendite, la ekspluato funkciis.
Unue, la esploristo kontrolis "mark-of-the-Web", montriĝis, ke Edge ankaŭ konservas la fonton de la origino de la dosiero en alternativa datumfluo aldone al la sekureca identigilo, kio povas levi kelkajn demandojn pri la privateco de ĉi tiu. metodo. Kolsek konjektis ke la ekstraj linioj eble konfuzis IE kaj malhelpis ĝin legi la SID, sed kiel ĝi rezultas, la problemo estis aliloke. Post longa analizo, la sekureca specialisto trovis la kaŭzon en du enskriboj en la alirkontrola listo, kiuj aldonis la rajton legi la MHT-dosieron al certa sistema servo, kiun Edge aldonis tie post ŝarĝo de ĝi.
James Foreshaw de la dediĉita nultaga vundebleco-teamo - Google Project Zero - tweetis, ke la enskriboj aldonitaj de Edge rilatas al grupaj sekurecaj identigiloj por la pakaĵo Microsoft.MicrosoftEdge_8wekyb3d8bbwe. Post forigo de la dua linio de SID S-1-15-2 - * de la alirkontrola listo de la malica dosiero, la ekspluato ne plu funkciis. Kiel rezulto, iel la permeso aldonita de Edge permesis al la dosiero preteriri la sablokeston en IE. Kiel Kolsek kaj liaj kolegoj sugestis, Edge uzas ĉi tiujn permesojn por protekti elŝutitajn dosierojn kontraŭ aliro per malaltaj fidindaj procezoj rulante la dosieron en parte izolita medio.
Poste, la esploristo volis pli bone kompreni, kio kaŭzas malsukceson de la sekureca sistemo de IE. Profunda analizo uzanta la Procezan Monitoro-servaĵon kaj la IDA-malmuntilon finfine malkaŝis, ke la fiksita rezolucio de la Edge malhelpis la Win Api-funkcion GetZoneFromAlternateDataStreamEx legi la dosierfluon Zone.Identifier kaj redonis eraron. Por Internet Explorer, tia eraro, kiam oni petis la sekurecan etikedon de dosiero, estis tute neatendita, kaj, ŝajne, la retumilo konsideris, ke la eraro egalas al tio, ke la dosiero ne havis markon "mark-of-the-Web". kiu aŭtomate faras ĝin fidinda, post kial IE permesis al la skripto kaŝita en la MHT-dosiero ekzekuti kaj sendi la celan lokan dosieron al la fora servilo.
"Ĉu vi vidas la ironion ĉi tie?" demandas Kolsek. "Nedokumentita sekureca trajto uzata de Edge neŭtraligis ekzistantan, sendube multe pli gravan (mark-of-the-Web) trajton en Internet Explorer."
Malgraŭ la pliigita signifo de la vundebleco, kiu permesas malican skripton ruliĝi kiel fidinda skripto, estas neniu indiko, ke Microsoft intencas ripari la cimon baldaŭ, se ĝi iam estos riparita. Tial ni ankoraŭ rekomendas, ke, kiel en la antaŭa artikolo, vi ŝanĝu la defaŭltan programon por malfermi MHT-dosierojn al iu ajn moderna retumilo.
Kompreneble, la esplorado de Kolsek ne daŭris sen iom da mem-PR. Ĉe la fino de la artikolo, li montris malgrandan flikaĵon skribitan en asembla lingvo, kiu povas uzi la servon 0patch evoluigitan de lia kompanio. 0patch aŭtomate detektas vundeblan programaron sur la komputilo de la uzanto kaj aplikas malgrandajn pecetojn al ĝi laŭvorte sur la muŝo. Ekzemple, en la kazo, kiun ni priskribis, 0patch anstataŭigos la erarmesaĝon en la funkcio GetZoneFromAlternateDataStreamEx per valoro responda al nefidinda dosiero ricevita de la reto, tiel ke IE ne permesos ekzekuti iujn kaŝitajn skriptojn konforme al la konstruita- en sekureca politiko.
fonto: 3dnews.ru