Varem meie avastatud nullpäeva haavatavusest Internet Exploreris, mis võimaldab kasutada spetsiaalselt ettevalmistatud MHT-faili teabe allalaadimiseks kasutaja arvutist kaugserverisse. Hiljuti otsustas see haavatavus, mille avastas turbespetsialist John Page, kontrollida ja uurida teist selle valdkonna tuntud spetsialisti – Mitya Kolsekit, turvaauditifirma ACROS Security direktorit ja micropatch teenuse 0patch kaasasutajat. Ta oma uurimise täielik kroonika, mis näitab, et Microsoft alahindas oluliselt probleemi tõsidust.
Kummalisel kombel ei suutnud Kolsek algselt reprodutseerida Johni kirjeldatud ja demonstreeritud rünnakut, kus ta kasutas Windows 7-s töötavat Internet Explorerit pahatahtliku MHT-faili allalaadimiseks ja seejärel avamiseks. Kuigi tema protsessijuht näitas, et temalt varastada plaanitud system.ini luges MHT-faili peidetud skript, kuid seda ei saadetud kaugserverisse.
"See nägi välja nagu klassikaline veebimärgi olukord," kirjutab Kolsek. "Kui fail võetakse vastu Internetist, lisavad korralikult töötavad Windowsi rakendused, näiteks veebibrauserid ja meilikliendid, sellisele failile vormi sildi nimega Zone.Identifier, mis sisaldab stringi ZoneId = 3. See annab teistele rakendustele teada, et fail pärines ebausaldusväärsest allikast ja seetõttu tuleks see avada liivakastis või muus piiratud keskkonnas."
Uurija kontrollis, et IE tegelikult määras allalaaditud MHT-failile sellise sildi. Seejärel proovis Kolsek sama faili Edge'i abil alla laadida ja avada IE-s, mis jääb MHT-failide vaikerakenduseks. Ootamatult toimis ärakasutamine.
Kõigepealt kontrollis teadlane “mark-of-the-Web”, selgus, et Edge salvestab lisaks turvaidentifikaatorile ka faili päritolu allika alternatiivsesse andmevoogu, mis võib tekitada küsimusi selle privaatsuse kohta. meetod. Kolsek oletas, et lisaread võisid IE-d segamini ajada ja takistada SID-i lugemist, kuid nagu selgub, oli probleem mujal. Pärast pikka analüüsi leidis turvaspetsialist põhjuse kahes sissepääsukontrolli nimekirjas olevas kirjes, mis lisasid teatud süsteemiteenusele MHT-faili lugemisõiguse, mille Edge sinna peale laadimist lisas.
James Foreshaw spetsiaalsest nullpäeva haavatavuse meeskonnast – Google Project Zero – säutsus, et Edge'i lisatud kirjed viitavad paketi Microsoft.MicrosoftEdge_8wekyb3d8bbwe rühmaturbeidentifikaatoritele. Pärast SID S-1-15-2 - * teise rea eemaldamist pahatahtliku faili juurdepääsukontrolli loendist ei töötanud enam ärakasutamine. Selle tulemusena võimaldas Edge'i lisatud luba failil IE-s liivakastist mööda minna. Nagu Kolsek ja tema kolleegid soovitasid, kasutab Edge neid õigusi, et kaitsta allalaaditud faile madala usaldusväärsusega protsesside juurdepääsu eest, käivitades faili osaliselt isoleeritud keskkonnas.
Järgmiseks soovis teadlane paremini mõista, mis põhjustab IE turvasüsteemi tõrke. Protsessimonitori utiliiti ja IDA lahtimonteerijat kasutanud põhjalik analüüs näitas lõpuks, et Edge'i seatud eraldusvõime takistas Win Api funktsioonil GetZoneFromAlternateDataStreamEx failivoogu Zone.Identifier lugemast ja andis vea. Internet Exploreri jaoks oli selline viga faili turvasildi küsimisel täiesti ootamatu ja ilmselt leidis brauser, et viga on samaväärne sellega, et failil puudus märk „veebi märgis“, mis muudab selle automaatselt usaldusväärseks, pärast seda, miks IE lubas MHT-failis peidetud skriptil käitada ja sihtfaili kaugserverisse saata.
"Kas sa näed siin irooniat?" küsib Kolsek. "Edge'i kasutatav dokumentideta turvafunktsioon neutraliseeris Internet Exploreris olemasoleva, kahtlemata palju olulisema (veebi märgi) funktsiooni."
Hoolimata haavatavuse suurenenud olulisusest, mis võimaldab pahatahtlikku skripti käitada usaldusväärse skriptina, ei viita miski sellele, et Microsoft kavatseb vea peagi parandada, kui see kunagi parandatakse. Seetõttu soovitame siiski, nagu ka eelmises artiklis, muuta MHT-failide avamise vaikeprogramm mis tahes kaasaegseks brauseriks.
Muidugi ei läinud Kolseki uurimistöö läbi ka väikese enese-PR-ta. Artikli lõpus demonstreeris ta väikest montaažikeeles kirjutatud plaastrit, mis suudab kasutada tema ettevõtte väljatöötatud teenust 0patch. 0patch tuvastab automaatselt kasutaja arvutis haavatava tarkvara ja rakendab sellele sõna otseses mõttes käigu pealt väikesed paigad. Näiteks meie kirjeldatud juhul asendab 0patch funktsiooni GetZoneFromAlternateDataStreamEx veateate väärtusega, mis vastab võrgust saadud ebausaldusväärsele failile, nii et IE ei luba peidetud skripte käivitada vastavalt sisseehitatud julgeolekupoliitikas.
Allikas: 3dnews.ru