Aikaisemmin me
Kummallista kyllä, Kolsek ei aluksi pystynyt toistamaan Johnin kuvaamaa ja osoittamaa hyökkäystä, jossa hän käytti Windows 7 -käyttöjärjestelmää käyttävää Internet Exploreria ladatakseen ja sitten avatakseen haitallisen MHT-tiedoston. Vaikka hänen prosessipäällikkönsä osoitti, että häneltä varastettavaksi suunniteltu system.ini luettiin MHT-tiedostoon piilotetulla skriptillä, mutta sitä ei lähetetty etäpalvelimelle.
"Tämä näytti klassiselta merkki-of-the-Web-tilanteelta", Kolsek kirjoittaa. "Kun tiedosto vastaanotetaan Internetistä, oikein toimivat Windows-sovellukset, kuten verkkoselaimet ja sähköpostiohjelmat lisäävät tällaiseen tiedostoon tunnisteen lomakkeeseen
Tutkija vahvisti, että IE todella asetti tällaisen tunnisteen ladatulle MHT-tiedostolle. Kolsek yritti sitten ladata saman tiedoston Edgen avulla ja avata sen IE:ssä, joka on edelleen MHT-tiedostojen oletussovellus. Yllättäen hyväksikäyttö toimi.
Ensin tutkija tarkisti ”mark-of-the-Webin”, kävi ilmi, että Edge tallentaa myös tiedoston alkuperän lähteen vaihtoehtoiseen tietovirtaan suojaustunnisteen lisäksi, mikä saattaa herättää kysymyksiä tämän yksityisyyden suhteen. menetelmä. Kolsek arveli, että ylimääräiset rivit saattoivat sekoittaa IE:tä ja estää sitä lukemasta SID:tä, mutta kuten kävi ilmi, ongelma oli muualla. Pitkän analyysin jälkeen tietoturva-asiantuntija löysi syyn kahdesta pääsynvalvontaluettelon merkinnästä, jotka lisäsivät MHT-tiedoston lukuoikeuden tiettyyn järjestelmäpalveluun, jonka Edge lisäsi sinne latauksen jälkeen.
James Foreshaw omistautuneesta nollapäivän haavoittuvuustiimistä - Google Project Zero -
Seuraavaksi tutkija halusi ymmärtää paremmin, mikä aiheuttaa IE:n turvajärjestelmän epäonnistumisen. Syvällinen analyysi Process Monitor -apuohjelmalla ja IDA disassembler -ohjelmalla paljasti lopulta, että Edgen asetettu resoluutio esti Win Api -funktiota GetZoneFromAlternateDataStreamEx lukemasta Zone.Identifier-tiedostovirtaa ja palautti virheen. Internet Explorerille tällainen virhe pyydettäessä tiedoston suojausmerkkiä oli täysin odottamaton, ja ilmeisesti selain katsoi virheen vastaavan sitä, että tiedostossa ei ollut "mark-of-the-Web" -merkkiä, mikä tekee siitä automaattisesti luotetun sen jälkeen, miksi IE salli MHT-tiedostoon piilotetun skriptin suorittaa ja lähettää paikallisen kohdetiedoston etäpalvelimelle.
"Näetkö tässä ironiaa?" kysyy Kolsek. "Edgen käyttämä dokumentoimaton suojausominaisuus neutraloi olemassa olevan, epäilemättä paljon tärkeämmän Internet Explorerin ominaisuuden."
Huolimatta haavoittuvuuden lisääntyneestä merkityksestä, joka mahdollistaa haitallisen skriptin suorittamisen luotettuna komentosarjana, ei ole viitteitä siitä, että Microsoft aikoisi korjata vian lähiaikoina, jos se joskus korjataan. Siksi suosittelemme edelleen, että, kuten edellisessä artikkelissa, muutat oletusohjelman MHT-tiedostojen avaamiseksi mihin tahansa nykyaikaiseen selaimeen.
Kolsekin tutkimus ei tietenkään mennyt ilman pientä itse-PR:ää. Artikkelin lopussa hän esitteli pienen assembly-kielellä kirjoitetun korjaustiedoston, joka voi käyttää hänen yrityksensä kehittämää 0patch-palvelua. 0patch tunnistaa automaattisesti haavoittuvat ohjelmistot käyttäjän tietokoneella ja asentaa siihen pieniä korjauksia kirjaimellisesti lennossa. Esimerkiksi kuvaamassamme tapauksessa 0patch korvaa GetZoneFromAlternateDataStreamEx-funktion virheilmoituksen arvolla, joka vastaa verkosta saatua epäluotettavaa tiedostoa, jotta IE ei salli piilotettujen komentosarjojen suorittamista sisäänrakennetun turvallisuuspolitiikassa.
Lähde: 3dnews.ru