Aikaisemmin me Internet Explorerissa löydetystä nollapäivän haavoittuvuudesta, joka mahdollistaa tietojen lataamisen käyttäjän tietokoneelta etäpalvelimelle käyttämällä erityisesti valmisteltua MHT-tiedostoa. Äskettäin tämä tietoturva-asiantuntijan John Pagen havaitsema haavoittuvuus päätti tarkistaa ja tutkia toista tämän alan tunnettua asiantuntijaa - Mitya Kolsekia, ACROS Securityn johtajaa, tietoturvatarkastusyritystä ja micropatch-palvelun 0patch perustajaa. Hän Täydellinen kronikka tutkimuksestaan, mikä osoittaa, että Microsoft aliarvioi huomattavasti ongelman vakavuuden.
Kummallista kyllä, Kolsek ei aluksi pystynyt toistamaan Johnin kuvaamaa ja osoittamaa hyökkäystä, jossa hän käytti Windows 7 -käyttöjärjestelmää käyttävää Internet Exploreria ladatakseen ja sitten avatakseen haitallisen MHT-tiedoston. Vaikka hänen prosessipäällikkönsä osoitti, että häneltä varastettavaksi suunniteltu system.ini luettiin MHT-tiedostoon piilotetulla skriptillä, mutta sitä ei lähetetty etäpalvelimelle.
"Tämä näytti klassiselta merkki-of-the-Web-tilanteelta", Kolsek kirjoittaa. "Kun tiedosto vastaanotetaan Internetistä, oikein toimivat Windows-sovellukset, kuten verkkoselaimet ja sähköpostiohjelmat lisäävät tällaiseen tiedostoon tunnisteen lomakkeeseen jonka nimi on Zone.Identifier, joka sisältää merkkijonon ZoneId = 3. Tämä ilmoittaa muille sovelluksille, että tiedosto on peräisin epäluotetusta lähteestä ja siksi se tulee avata hiekkalaatikossa tai muussa rajoitetussa ympäristössä."
Tutkija vahvisti, että IE todella asetti tällaisen tunnisteen ladatulle MHT-tiedostolle. Kolsek yritti sitten ladata saman tiedoston Edgen avulla ja avata sen IE:ssä, joka on edelleen MHT-tiedostojen oletussovellus. Yllättäen hyväksikäyttö toimi.
Ensin tutkija tarkisti ”mark-of-the-Webin”, kävi ilmi, että Edge tallentaa myös tiedoston alkuperän lähteen vaihtoehtoiseen tietovirtaan suojaustunnisteen lisäksi, mikä saattaa herättää kysymyksiä tämän yksityisyyden suhteen. menetelmä. Kolsek arveli, että ylimääräiset rivit saattoivat sekoittaa IE:tä ja estää sitä lukemasta SID:tä, mutta kuten kävi ilmi, ongelma oli muualla. Pitkän analyysin jälkeen tietoturva-asiantuntija löysi syyn kahdesta pääsynvalvontaluettelon merkinnästä, jotka lisäsivät MHT-tiedoston lukuoikeuden tiettyyn järjestelmäpalveluun, jonka Edge lisäsi sinne latauksen jälkeen.
James Foreshaw omistautuneesta nollapäivän haavoittuvuustiimistä - Google Project Zero - twiittasi, että Edgen lisäämät merkinnät viittaavat paketin Microsoft.MicrosoftEdge_8wekyb3d8bbwe ryhmäsuojaustunnisteisiin. SID:n S-1-15-2 - * toisen rivin poistamisen jälkeen haitallisen tiedoston käyttöoikeusluettelosta hyväksikäyttö ei enää toiminut. Tämän seurauksena jollakin tavalla Edgen lisäämä lupa salli tiedoston ohittaa IE:n hiekkalaatikon. Kuten Kolsek ja hänen kollegansa ehdottivat, Edge käyttää näitä oikeuksia suojatakseen ladattuja tiedostoja heikosti luotettavilta prosesseilta ajamalla tiedostoa osittain eristetyssä ympäristössä.
Seuraavaksi tutkija halusi ymmärtää paremmin, mikä aiheuttaa IE:n turvajärjestelmän epäonnistumisen. Syvällinen analyysi Process Monitor -apuohjelmalla ja IDA disassembler -ohjelmalla paljasti lopulta, että Edgen asetettu resoluutio esti Win Api -funktiota GetZoneFromAlternateDataStreamEx lukemasta Zone.Identifier-tiedostovirtaa ja palautti virheen. Internet Explorerille tällainen virhe pyydettäessä tiedoston suojausmerkkiä oli täysin odottamaton, ja ilmeisesti selain katsoi virheen vastaavan sitä, että tiedostossa ei ollut "mark-of-the-Web" -merkkiä, mikä tekee siitä automaattisesti luotetun sen jälkeen, miksi IE salli MHT-tiedostoon piilotetun skriptin suorittaa ja lähettää paikallisen kohdetiedoston etäpalvelimelle.
"Näetkö tässä ironiaa?" kysyy Kolsek. "Edgen käyttämä dokumentoimaton suojausominaisuus neutraloi olemassa olevan, epäilemättä paljon tärkeämmän Internet Explorerin ominaisuuden."
Huolimatta haavoittuvuuden lisääntyneestä merkityksestä, joka mahdollistaa haitallisen skriptin suorittamisen luotettuna komentosarjana, ei ole viitteitä siitä, että Microsoft aikoisi korjata vian lähiaikoina, jos se joskus korjataan. Siksi suosittelemme edelleen, että, kuten edellisessä artikkelissa, muutat oletusohjelman MHT-tiedostojen avaamiseksi mihin tahansa nykyaikaiseen selaimeen.
Kolsekin tutkimus ei tietenkään mennyt ilman pientä itse-PR:ää. Artikkelin lopussa hän esitteli pienen assembly-kielellä kirjoitetun korjaustiedoston, joka voi käyttää hänen yrityksensä kehittämää 0patch-palvelua. 0patch tunnistaa automaattisesti haavoittuvat ohjelmistot käyttäjän tietokoneella ja asentaa siihen pieniä korjauksia kirjaimellisesti lennossa. Esimerkiksi kuvaamassamme tapauksessa 0patch korvaa GetZoneFromAlternateDataStreamEx-funktion virheilmoituksen arvolla, joka vastaa verkosta saatua epäluotettavaa tiedostoa, jotta IE ei salli piilotettujen komentosarjojen suorittamista sisäänrakennetun turvallisuuspolitiikassa.
Lähde: 3dnews.ru