Ranije mi o otkrivenoj zero-day ranjivosti u Internet Exploreru, koja omogućuje korištenje posebno pripremljene MHT datoteke za preuzimanje informacija s računala korisnika na udaljeni poslužitelj. Nedavno je ovu ranjivost, koju je otkrio sigurnosni stručnjak John Page, odlučio provjeriti i proučiti još jedan poznati stručnjak u ovom području - Mitya Kolsek, direktor tvrtke za reviziju sigurnosti ACROS Security i suosnivač micropatch servisa 0patch. On potpunu kroniku svoje istrage, što pokazuje da je Microsoft značajno podcijenio ozbiljnost problema.
Začudo, Kolsek u početku nije mogao reproducirati napad koji je opisao i demonstrirao John, gdje je koristio Internet Explorer pokrenut na Windows 7 za preuzimanje i zatim otvaranje zlonamjerne MHT datoteke. Iako je njegov upravitelj procesa pokazao da je system.ini, koji je planirao ukrasti od njega samog, pročitan skriptom skrivenom u MHT datoteci, ali nije poslan na udaljeni poslužitelj.
"Ovo je izgledalo kao klasična situacija označavanja weba", piše Kolsek. “Kada se datoteka primi s interneta, ispravno pokrenute Windows aplikacije kao što su web preglednici i klijenti e-pošte dodaju oznaku takvoj datoteci u obliku s nazivom Zone.Identifier koji sadrži niz ZoneId = 3. To drugim aplikacijama daje do znanja da je datoteka došla iz nepouzdanog izvora i stoga je treba otvoriti u sandboxu ili drugom ograničenom okruženju."
Istraživač je potvrdio da je IE doista postavio takvu oznaku za preuzetu MHT datoteku. Kolsek je zatim pokušao preuzeti istu datoteku koristeći Edge i otvoriti je u IE-u, koji ostaje zadana aplikacija za MHT datoteke. Neočekivano, eksploatacija je uspjela.
Prvo, istraživač je provjerio "mark-of-the-Web", pokazalo se da Edge također pohranjuje izvor podrijetla datoteke u alternativni tok podataka uz sigurnosni identifikator, što može izazvati neka pitanja u vezi s privatnošću ovog metoda. Kolsek je nagađao da su dodatni redovi mogli zbuniti IE i spriječiti ga u čitanju SID-a, ali kako se ispostavilo, problem je bio negdje drugdje. Nakon poduže analize sigurnosni stručnjak je uzrok pronašao u dva unosa u popisu kontrole pristupa koji su dodali pravo čitanja MHT datoteke određenom servisu sustava, a koje je Edge tamo dodao nakon učitavanja.
James Foreshaw iz tima posvećenog zero-day ranjivosti - Google Project Zero - tweetao da se unosi koje je dodao Edge odnose na grupne sigurnosne identifikatore za paket Microsoft.MicrosoftEdge_8wekyb3d8bbwe. Nakon uklanjanja drugog retka SID-a S-1-15-2 - * s popisa kontrole pristupa zlonamjerne datoteke, exploit više nije radio. Kao rezultat toga, dopuštenje koje je dodao Edge na neki je način omogućilo datoteci zaobići sandbox u IE-u. Kao što su Kolsek i njegovi kolege sugerirali, Edge koristi ova dopuštenja za zaštitu preuzetih datoteka od pristupa procesa s niskim povjerenjem pokretanjem datoteke u djelomično izoliranom okruženju.
Zatim je istraživač želio bolje razumjeti što uzrokuje kvar sigurnosnog sustava IE-a. Detaljna analiza korištenjem uslužnog programa Process Monitor i IDA disassemblera na kraju je otkrila da je postavljena rezolucija Edgea spriječila Win Api funkciju GetZoneFromAlternateDataStreamEx da pročita tok datoteke Zone.Identifier i vratila pogrešku. Za Internet Explorer je takva pogreška pri traženju sigurnosne oznake datoteke bila potpuno neočekivana, a preglednik je očito smatrao da je pogreška ekvivalentna činjenici da datoteka nema oznaku “mark-of-the-Web”, što ga automatski čini pouzdanim, nakon čega je IE dopustio izvršenje skripte skrivene u MHT datoteci i slanje ciljane lokalne datoteke na udaljeni poslužitelj.
"Vidiš li ironiju ovdje?" pita Kolšek. "Nedokumentirana sigurnosna značajka koju koristi Edge neutralizirala je postojeću, nedvojbeno mnogo važniju (mark-of-the-Web) značajku u Internet Exploreru."
Unatoč povećanom značaju ranjivosti, koja omogućuje pokretanje zlonamjerne skripte kao pouzdane skripte, nema naznaka da Microsoft namjerava ispraviti pogrešku u skorije vrijeme, ako se ikad popravi. Stoga i dalje preporučamo da, kao u prethodnom članku, promijenite zadani program za otvaranje MHT datoteka u bilo kojem modernom pregledniku.
Naravno, Kolsekovo istraživanje nije prošlo bez malo samo-PR-a. Na kraju članka demonstrirao je malu zakrpu napisanu asemblerskim jezikom koja može koristiti uslugu 0patch koju je razvila njegova tvrtka. 0patch automatski otkriva ranjivi softver na korisnikovom računalu i na njega primjenjuje male zakrpe doslovno u hodu. Na primjer, u slučaju koji smo opisali, 0patch će zamijeniti poruku o pogrešci u funkciji GetZoneFromAlternateDataStreamEx vrijednošću koja odgovara nepouzdanoj datoteci primljenoj s mreže, tako da IE neće dopustiti izvršenje skrivenih skripti u skladu s ugrađenim u sigurnosnoj politici.
Izvor: 3dnews.ru