Eartiids, wy
Frjemd genôch koe Kolsek yn 't earstoan net de oanfal reprodusearje dy't beskreaun en demonstrearre waard troch John, wêr't hy Internet Explorer brûkte dy't rint op Windows 7 om te downloaden en dan in kweade MHT-bestân te iepenjen. Hoewol't syn proses manager liet sjen dat system.ini, dat wie pland wurde stellen út himsels, waard lêzen troch in skript ferburgen yn de MHT triem, mar waard net stjoerd nei de ôfstân tsjinner.
"Dit like in klassike mark-of-the-Web-situaasje," skriuwt Kolsek. "As in bestân fan it ynternet wurdt ûntfongen, foegje goed rinnende Windows-applikaasjes lykas webbrowsers en e-postkliïnten in label ta oan sa'n bestân yn 'e foarm
De ûndersiker ferifiearre dat IE eins sa'n label ynstelde foar it ynladen MHT-bestân. Kolsek besocht doe itselde bestân te downloaden mei Edge en it te iepenjen yn IE, dat bliuwt de standertapplikaasje foar MHT-bestannen. Unferwachts wurke de eksploitaasje.
Earst kontrolearre de ûndersiker "mark-of-the-Web", it die bliken dat Edge ek de boarne fan 'e oarsprong fan 'e bestân opslaat yn in alternative gegevensstream neist de befeiligingsidentifikaasje, dy't wat fragen kin opropje oangeande de privacy fan dit metoade. Kolsek spekulearre dat de ekstra rigels IE miskien hawwe betize en foarkommen dat it de SID lêze kin, mar sa docht bliken, it probleem wie earne oars. Nei in lange analyze fûn de feiligensspesjalist de oarsaak yn twa yngongen yn 'e tagongskontrôlelist dy't it rjocht tafoege om it MHT-bestân te lêzen oan in bepaalde systeemtsjinst, dy't Edge dêr tafoege nei it laden.
James Foreshaw fan it tawijde nul-dei kwetsberensteam - Google Project Zero -
Dêrnei woe de ûndersiker better begripe wat feroarsaket dat it befeiligingssysteem fan IE mislearret. In yngeande analyse mei it nut fan Process Monitor en de IDA-disassembler die úteinlik bliken dat de ynstelde resolúsje fan 'e Edge foarkaam dat de Win Api-funksje GetZoneFromAlternateDataStreamEx de Zone.Identifier-bestânstream lêze en in flater weromjoech. Foar Internet Explorer wie sa'n flater by it oanfreegjen fan it befeiligingslabel fan in bestân folslein ûnferwachts, en, blykber, tocht de browser dat de flater lykweardich wie oan it feit dat it bestân gjin "mark-of-the-Web"-mark hie, dy't automatysk makket it fertroud, na wêrom IE tastien it skript ferburgen yn de MHT triem út te fieren en stjoere de doelgroep lokale triem nei de ôfstân tsjinner.
"Sjogge jo de irony hjir?" freget Kolsek. "In net-dokumintearre feiligensfunksje brûkt troch Edge neutralisearre in besteande, sûnder mis folle wichtiger (mark-of-the-Web) funksje yn Internet Explorer."
Nettsjinsteande de ferhege betsjutting fan 'e kwetsberens, wêrtroch in kwea-aardich skript kin wurde útfierd as in fertroud skript, is d'r gjin oanwizing dat Microsoft fan doel is de brek elts momint gau te reparearjen, as it oait wurdt reparearre. Dêrom riede wy noch oan dat jo, lykas yn it foarige artikel, it standertprogramma feroarje foar it iepenjen fan MHT-bestannen nei elke moderne browser.
Fansels gie it ûndersyk fan Kolsek net sûnder in bytsje sels-PR. Oan 'e ein fan it artikel toande hy in lytse patch skreaun yn assemblagetaal dy't de 0patch-tsjinst kin brûke ûntwikkele troch syn bedriuw. 0patch detektearret automatysk kwetsbere software op 'e kompjûter fan' e brûker en past dêr letterlik op 'e flecht lytse patches oan. Bygelyks, yn it gefal dat wy beskreaun hawwe, sil 0patch it flaterberjocht yn 'e GetZoneFromAlternateDataStreamEx-funksje ferfange troch in wearde dy't oerienkomt mei in net-fertroude bestân ûntfongen fan it netwurk, sadat IE gjin ferburgen skripts útfiere sil yn oerienstimming mei de boud- yn feiligens belied.
Boarne: 3dnews.ru