Eartiids, wy oer in ûntdutsen nul-day kwetsberens yn Internet Explorer, wêrmei it brûken fan in spesjaal taret MHT triem te downloaden ynformaasje fan de brûker syn kompjûter nei in ôfstân tsjinner. Koartlyn hat dizze kwetsberens, ûntdutsen troch befeiligingsspesjalist John Page, besletten om in oare bekende spesjalist op dit mêd te kontrolearjen en te studearjen - Mitya Kolsek, direkteur fan ACROS Security, in feiligenskontrôlebedriuw, en mei-oprjochter fan 'e micropatch-tsjinst 0patch. Hy folsleine kronyk fan har ûndersyk, wat oanjout dat Microsoft de earnst fan it probleem signifikant ûnderskatte.
Frjemd genôch koe Kolsek yn 't earstoan net de oanfal reprodusearje dy't beskreaun en demonstrearre waard troch John, wêr't hy Internet Explorer brûkte dy't rint op Windows 7 om te downloaden en dan in kweade MHT-bestân te iepenjen. Hoewol't syn proses manager liet sjen dat system.ini, dat wie pland wurde stellen út himsels, waard lêzen troch in skript ferburgen yn de MHT triem, mar waard net stjoerd nei de ôfstân tsjinner.
"Dit like in klassike mark-of-the-Web-situaasje," skriuwt Kolsek. "As in bestân fan it ynternet wurdt ûntfongen, foegje goed rinnende Windows-applikaasjes lykas webbrowsers en e-postkliïnten in label ta oan sa'n bestân yn 'e foarm mei de namme Zone.Identifier mei dêryn de tekenrige ZoneId = 3. Dit lit oare applikaasjes witte dat it bestân fan in net-fertroude boarne kaam en dêrom iepene wurde moat yn in sânbak of in oare beheinde omjouwing."
De ûndersiker ferifiearre dat IE eins sa'n label ynstelde foar it ynladen MHT-bestân. Kolsek besocht doe itselde bestân te downloaden mei Edge en it te iepenjen yn IE, dat bliuwt de standertapplikaasje foar MHT-bestannen. Unferwachts wurke de eksploitaasje.
Earst kontrolearre de ûndersiker "mark-of-the-Web", it die bliken dat Edge ek de boarne fan 'e oarsprong fan 'e bestân opslaat yn in alternative gegevensstream neist de befeiligingsidentifikaasje, dy't wat fragen kin opropje oangeande de privacy fan dit metoade. Kolsek spekulearre dat de ekstra rigels IE miskien hawwe betize en foarkommen dat it de SID lêze kin, mar sa docht bliken, it probleem wie earne oars. Nei in lange analyze fûn de feiligensspesjalist de oarsaak yn twa yngongen yn 'e tagongskontrôlelist dy't it rjocht tafoege om it MHT-bestân te lêzen oan in bepaalde systeemtsjinst, dy't Edge dêr tafoege nei it laden.
James Foreshaw fan it tawijde nul-dei kwetsberensteam - Google Project Zero - tweeted dat de ynstjoerings tafoege troch Edge ferwize nei groep feiligens identifiers foar it pakket Microsoft.MicrosoftEdge_8wekyb3d8bbwe. Nei it fuortheljen fan de twadde rigel fan SID S-1-15-2 - * fan 'e tagongskontrôlelist fan it kweade bestân, wurke de eksploitaasje net mear. As gefolch koe de tastimming tafoege troch Edge it bestân de sânbak yn IE omgean. Lykas Kolsek en syn kollega's suggereare, brûkt Edge dizze tagongsrjochten om ynladen bestannen te beskermjen tsjin tagong troch prosessen mei leech fertrouwen troch it bestân út te fieren yn in foar in part isolearre omjouwing.
Dêrnei woe de ûndersiker better begripe wat feroarsaket dat it befeiligingssysteem fan IE mislearret. In yngeande analyse mei it nut fan Process Monitor en de IDA-disassembler die úteinlik bliken dat de ynstelde resolúsje fan 'e Edge foarkaam dat de Win Api-funksje GetZoneFromAlternateDataStreamEx de Zone.Identifier-bestânstream lêze en in flater weromjoech. Foar Internet Explorer wie sa'n flater by it oanfreegjen fan it befeiligingslabel fan in bestân folslein ûnferwachts, en, blykber, tocht de browser dat de flater lykweardich wie oan it feit dat it bestân gjin "mark-of-the-Web"-mark hie, dy't automatysk makket it fertroud, na wêrom IE tastien it skript ferburgen yn de MHT triem út te fieren en stjoere de doelgroep lokale triem nei de ôfstân tsjinner.
"Sjogge jo de irony hjir?" freget Kolsek. "In net-dokumintearre feiligensfunksje brûkt troch Edge neutralisearre in besteande, sûnder mis folle wichtiger (mark-of-the-Web) funksje yn Internet Explorer."
Nettsjinsteande de ferhege betsjutting fan 'e kwetsberens, wêrtroch in kwea-aardich skript kin wurde útfierd as in fertroud skript, is d'r gjin oanwizing dat Microsoft fan doel is de brek elts momint gau te reparearjen, as it oait wurdt reparearre. Dêrom riede wy noch oan dat jo, lykas yn it foarige artikel, it standertprogramma feroarje foar it iepenjen fan MHT-bestannen nei elke moderne browser.
Fansels gie it ûndersyk fan Kolsek net sûnder in bytsje sels-PR. Oan 'e ein fan it artikel toande hy in lytse patch skreaun yn assemblagetaal dy't de 0patch-tsjinst kin brûke ûntwikkele troch syn bedriuw. 0patch detektearret automatysk kwetsbere software op 'e kompjûter fan' e brûker en past dêr letterlik op 'e flecht lytse patches oan. Bygelyks, yn it gefal dat wy beskreaun hawwe, sil 0patch it flaterberjocht yn 'e GetZoneFromAlternateDataStreamEx-funksje ferfange troch in wearde dy't oerienkomt mei in net-fertroude bestân ûntfongen fan it netwurk, sadat IE gjin ferburgen skripts útfiere sil yn oerienstimming mei de boud- yn feiligens belied.
Boarne: 3dnews.ru