Korábban mi az Internet Explorer felfedezett nulladik napi sebezhetőségéről, amely lehetővé teszi egy speciálisan elkészített MHT-fájl használatával információk letöltését a felhasználó számítógépéről egy távoli szerverre. A közelmúltban ez a sérülékenység, amelyet John Page biztonsági szakértő fedezett fel, úgy döntött, hogy megvizsgál és tanulmányoz egy másik jól ismert szakembert ezen a területen – Mitya Kolseket, az ACROS Security biztonsági audit cég igazgatóját és a 0patch micropatch szolgáltatás társalapítóját. Ő vizsgálatának teljes krónikája, ami azt jelzi, hogy a Microsoft jelentősen alábecsülte a probléma súlyosságát.
Különös módon Kolsek kezdetben képtelen volt reprodukálni a John által leírt és bemutatott támadást, ahol a Windows 7 rendszeren futó Internet Explorer segítségével letöltött, majd megnyitott egy rosszindulatú MHT-fájlt. Bár a folyamatmenedzsere kimutatta, hogy a saját magától ellopni tervezett system.ini-t az MHT-fájlba rejtett szkript elolvasta, de nem küldte el a távoli szerverre.
„Ez egy klasszikus webes helyzetnek tűnt” – írja Kolsek. "Amikor egy fájl érkezik az internetről, a megfelelően futó Windows-alkalmazások, például a webböngészők és az e-mail kliensek címkét adnak az ilyen fájlokhoz az űrlapon. a Zone.Identifier névvel, amely a ZoneId = 3 karakterláncot tartalmazza. Ezzel tudatja a többi alkalmazással, hogy a fájl nem megbízható forrásból származik, ezért homokozóban vagy más korlátozott környezetben kell megnyitni."
A kutató ellenőrizte, hogy az IE valóban ilyen címkét állított-e be a letöltött MHT-fájlhoz. Ezután Kolsek megpróbálta letölteni ugyanazt a fájlt az Edge segítségével, és megnyitni az IE-ben, amely továbbra is az MHT-fájlok alapértelmezett alkalmazása. Váratlanul működött az exploit.
Először a kutató ellenőrizte a „mark-of-the-Web”-et, kiderült, hogy az Edge a biztonsági azonosító mellett a fájl eredetének forrását is egy alternatív adatfolyamban tárolja, ami kérdéseket vethet fel ennek a titkosságát illetően. módszer. Kolsek arra tippelt, hogy az extra sorok összezavarhatták az IE-t, és megakadályozhatták a SID beolvasásában, de mint kiderült, a probléma máshol volt. A biztonsági szakember hosszas elemzés után a hozzáférés-felügyeleti lista két olyan bejegyzésében találta meg az okot, amelyek egy bizonyos rendszerszolgáltatáshoz hozzáadták az MHT-fájl olvasási jogát, amit az Edge a betöltés után adott oda.
James Foreshaw a nulladik napi sebezhetőségi csapattól – a Google Project Zero – tweetelte, hogy az Edge által hozzáadott bejegyzések a Microsoft.MicrosoftEdge_8wekyb3d8bbwe csomag csoportbiztonsági azonosítóira utalnak. Miután eltávolította az S-1-15-2 - * SID második sorát a rosszindulatú fájl hozzáférés-vezérlési listájáról, a kihasználás már nem működött. Ennek eredményeként az Edge által hozzáadott engedély valahogy lehetővé tette a fájl számára, hogy megkerülje a sandboxot az IE-ben. Ahogy Kolsek és kollégái javasolták, az Edge ezeket az engedélyeket arra használja, hogy megvédje a letöltött fájlokat az alacsony megbízhatóságú folyamatok hozzáférésétől, mivel a fájlt részben elszigetelt környezetben futtatja.
Ezután a kutató jobban szerette volna megérteni, hogy mi okozza az IE biztonsági rendszerének meghibásodását. A Process Monitor segédprogram és az IDA disassembler segítségével végzett mélyreható elemzés végül feltárta, hogy az Edge beállított felbontása megakadályozta, hogy a Win Api függvény GetZoneFromAlternateDataStreamEx beolvassa a Zone.Identifier fájlfolyamot, és hibát adott vissza. Az Internet Explorer esetében teljesen váratlan volt egy ilyen hiba a fájl biztonsági címkéjének lekérésekor, és a böngésző láthatóan úgy ítélte meg, hogy a hiba egyenértékű azzal, hogy a fájl nem rendelkezik „mark-of-the-Web” jelzéssel, ami automatikusan megbízhatóvá teszi, miután az IE miért engedélyezte az MHT-fájlban rejtett szkript végrehajtását, és elküldi a cél helyi fájlt a távoli kiszolgálónak.
– Látod itt az iróniát? kérdezi Kolsek. "Az Edge által használt, dokumentálatlan biztonsági funkció semlegesítette az Internet Explorer egy meglévő, kétségtelenül sokkal fontosabb (a webes) funkcióját."
A sebezhetőség megnövekedett jelentősége ellenére, amely lehetővé teszi a rosszindulatú szkriptek megbízható szkriptként való futtatását, semmi sem utal arra, hogy a Microsoft hamarosan kijavítaná a hibát, ha azt valaha is kijavítják. Ezért továbbra is javasoljuk, hogy az előző cikkhez hasonlóan módosítsa az MHT fájlok megnyitásának alapértelmezett programját bármely modern böngészőre.
Természetesen Kolsek kutatása sem ment el egy kis ön-PR nélkül. A cikk végén bemutatott egy assembly nyelven írt kis javítást, amely képes használni a cége által fejlesztett 0patch szolgáltatást. A 0patch automatikusan észleli a sebezhető szoftvereket a felhasználó számítógépén, és szó szerint menet közben helyez rá kis javításokat. Például az általunk leírt esetben a 0patch lecseréli a GetZoneFromAlternateDataStreamEx függvény hibaüzenetét egy, a hálózatról kapott nem megbízható fájlnak megfelelő értékre, így az IE nem engedi meg a rejtett szkriptek végrehajtását a beépített a biztonságpolitikában.
Forrás: 3dnews.ru