Ranije mi
Začudo, Kolsek u početku nije mogao reproducirati napad koji je opisao i demonstrirao John, gdje je koristio Internet Explorer pokrenut na Windows 7 za preuzimanje i zatim otvaranje zlonamjerne MHT datoteke. Iako je njegov upravitelj procesa pokazao da je system.ini, koji je planirao ukrasti od njega samog, pročitan skriptom skrivenom u MHT datoteci, ali nije poslan na udaljeni poslužitelj.
"Ovo je izgledalo kao klasična situacija označavanja weba", piše Kolsek. “Kada se datoteka primi s interneta, ispravno pokrenute Windows aplikacije kao što su web preglednici i klijenti e-pošte dodaju oznaku takvoj datoteci u obliku
Istraživač je potvrdio da je IE doista postavio takvu oznaku za preuzetu MHT datoteku. Kolsek je zatim pokušao preuzeti istu datoteku koristeći Edge i otvoriti je u IE-u, koji ostaje zadana aplikacija za MHT datoteke. Neočekivano, eksploatacija je uspjela.
Prvo, istraživač je provjerio "mark-of-the-Web", pokazalo se da Edge također pohranjuje izvor podrijetla datoteke u alternativni tok podataka uz sigurnosni identifikator, što može izazvati neka pitanja u vezi s privatnošću ovog metoda. Kolsek je nagađao da su dodatni redovi mogli zbuniti IE i spriječiti ga u čitanju SID-a, ali kako se ispostavilo, problem je bio negdje drugdje. Nakon poduže analize sigurnosni stručnjak je uzrok pronašao u dva unosa u popisu kontrole pristupa koji su dodali pravo čitanja MHT datoteke određenom servisu sustava, a koje je Edge tamo dodao nakon učitavanja.
James Foreshaw iz tima posvećenog zero-day ranjivosti - Google Project Zero -
Zatim je istraživač želio bolje razumjeti što uzrokuje kvar sigurnosnog sustava IE-a. Detaljna analiza korištenjem uslužnog programa Process Monitor i IDA disassemblera na kraju je otkrila da je postavljena rezolucija Edgea spriječila Win Api funkciju GetZoneFromAlternateDataStreamEx da pročita tok datoteke Zone.Identifier i vratila pogrešku. Za Internet Explorer je takva pogreška pri traženju sigurnosne oznake datoteke bila potpuno neočekivana, a preglednik je očito smatrao da je pogreška ekvivalentna činjenici da datoteka nema oznaku “mark-of-the-Web”, što ga automatski čini pouzdanim, nakon čega je IE dopustio izvršenje skripte skrivene u MHT datoteci i slanje ciljane lokalne datoteke na udaljeni poslužitelj.
"Vidiš li ironiju ovdje?" pita Kolšek. "Nedokumentirana sigurnosna značajka koju koristi Edge neutralizirala je postojeću, nedvojbeno mnogo važniju (mark-of-the-Web) značajku u Internet Exploreru."
Unatoč povećanom značaju ranjivosti, koja omogućuje pokretanje zlonamjerne skripte kao pouzdane skripte, nema naznaka da Microsoft namjerava ispraviti pogrešku u skorije vrijeme, ako se ikad popravi. Stoga i dalje preporučamo da, kao u prethodnom članku, promijenite zadani program za otvaranje MHT datoteka u bilo kojem modernom pregledniku.
Naravno, Kolsekovo istraživanje nije prošlo bez malo samo-PR-a. Na kraju članka demonstrirao je malu zakrpu napisanu asemblerskim jezikom koja može koristiti uslugu 0patch koju je razvila njegova tvrtka. 0patch automatski otkriva ranjivi softver na korisnikovom računalu i na njega primjenjuje male zakrpe doslovno u hodu. Na primjer, u slučaju koji smo opisali, 0patch će zamijeniti poruku o pogrešci u funkciji GetZoneFromAlternateDataStreamEx vrijednošću koja odgovara nepouzdanoj datoteci primljenoj s mreže, tako da IE neće dopustiti izvršenje skrivenih skripti u skladu s ugrađenim u sigurnosnoj politici.
Izvor: 3dnews.ru