Ավելի վաղ մենք Internet Explorer-ում հայտնաբերված զրոյական օրվա խոցելիության մասին, որը թույլ է տալիս օգտագործել հատուկ պատրաստված MHT ֆայլ՝ օգտատիրոջ համակարգչից հեռավոր սերվեր ներբեռնելու համար: Վերջերս անվտանգության մասնագետ Ջոն Փեյջի կողմից հայտնաբերված այս խոցելիությունը որոշեց ստուգել և ուսումնասիրել այս ոլորտում մեկ այլ հայտնի մասնագետի՝ Միտյա Կոլսեկին՝ ACROS Security-ի տնօրեն, անվտանգության աուդիտ ընկերություն և micropatch ծառայության 0patch-ի համահիմնադիր: Նա իր հետաքննության ամբողջական տարեգրությունը, որը ցույց է տալիս, որ Microsoft-ը զգալիորեն թերագնահատել է խնդրի սրությունը:
Տարօրինակ կերպով, Կոլսեկը սկզբում չկարողացավ վերարտադրել Ջոնի նկարագրած և ցուցադրած հարձակումը, որտեղ նա օգտագործեց Windows 7-ով աշխատող Internet Explorer-ը՝ ներբեռնելու և այնուհետև բացելու վնասակար MHT ֆայլը: Չնայած նրա պրոցեսի մենեջերը ցույց տվեց, որ system.ini-ն, որը ծրագրվում էր գողանալ իրենից, կարդացվել է MHT ֆայլում թաքնված սկրիպտով, բայց չի ուղարկվել հեռավոր սերվեր:
«Սա կարծես դասական վեբ իրավիճակ էր», - գրում է Կոլսեկը: «Երբ ֆայլը ստացվում է ինտերնետից, Windows-ի ճիշտ գործարկվող հավելվածները, ինչպիսիք են վեբ բրաուզերները և էլփոստի սպասառուները, պիտակ են ավելացնում նման ֆայլի ձևի մեջ: Zone.Identifier-ը, որը պարունակում է տողը ZoneId = 3: Սա թույլ է տալիս մյուս հավելվածներին իմանալ, որ ֆայլը եկել է անվստահելի աղբյուրից և, հետևաբար, պետք է բացվի ավազարկղում կամ այլ սահմանափակ միջավայրում:
Հետազոտողը ստուգեց, որ IE-ն իրականում նման պիտակ է սահմանել ներբեռնված MHT ֆայլի համար: Այնուհետև Kolsek-ը փորձեց ներբեռնել նույն ֆայլը Edge-ի միջոցով և բացել այն IE-ով, որը մնում է MHT ֆայլերի լռելյայն հավելվածը: Անսպասելիորեն շահագործումն աշխատեց։
Նախ, հետազոտողը ստուգեց «Web-ի նշանը», պարզվեց, որ Edge-ը նաև պահպանում է ֆայլի ծագման աղբյուրը տվյալների այլընտրանքային հոսքում՝ ի հավելումն անվտանգության նույնացուցիչի, ինչը կարող է որոշ հարցեր առաջացնել այս գաղտնիության վերաբերյալ: մեթոդ. Կոլսեկը ենթադրում էր, որ լրացուցիչ տողերը կարող էին շփոթել IE-ին և խանգարել նրան կարդալ SID-ը, բայց ինչպես պարզվեց, խնդիրն այլ տեղ է: Երկարատև վերլուծությունից հետո անվտանգության մասնագետը պատճառ գտավ մուտքի վերահսկման ցանկի երկու գրառումներում, որոնք ավելացրեցին MHT ֆայլը կարդալու իրավունքը որոշակի համակարգի ծառայությանը, որը Edge-ն ավելացրեց այնտեղ այն բեռնելուց հետո:
Ջեյմս Ֆորեշոուն զրոյական օրվա խոցելիության հատուկ թիմից՝ Google Project Zero - Թվիթերում գրել է, որ Edge-ի կողմից ավելացված գրառումները վերաբերում են Microsoft.MicrosoftEdge_8wekyb3d8bbwe փաթեթի խմբային անվտանգության նույնացուցիչներին: SID S-1-15-2 - *-ի երկրորդ տողը վնասակար ֆայլի մուտքի վերահսկման ցուցակից հեռացնելուց հետո, շահագործումն այլևս չաշխատեց: Արդյունքում, Edge-ի կողմից ավելացված թույլտվությունը թույլ տվեց ֆայլին շրջանցել IE-ի ավազարկղը։ Ինչպես առաջարկեցին Կոլսեկը և նրա գործընկերները, Edge-ն օգտագործում է այս թույլտվությունները՝ պաշտպանելու ներբեռնված ֆայլերը ցածր վստահության գործընթացների հասանելիությունից՝ ֆայլը գործարկելով մասամբ մեկուսացված միջավայրում:
Այնուհետև, հետազոտողը ցանկանում էր ավելի լավ հասկանալ, թե ինչն է հանգեցնում IE-ի անվտանգության համակարգի ձախողմանը: Խորը վերլուծությունը, օգտագործելով Process Monitor կոմունալ ծրագիրը և IDA ապամոնտաժիչը, ի վերջո պարզեց, որ Edge-ի սահմանված լուծումը թույլ չի տվել Win Api ֆունկցիան GetZoneFromAlternateDataStreamEx կարդալ Zone.Identifier ֆայլի հոսքը և վերադարձրել սխալ: Internet Explorer-ի համար նման սխալը ֆայլի անվտանգության պիտակ պահանջելիս բոլորովին անսպասելի էր, և, ըստ երևույթին, զննարկիչը համարում էր, որ սխալը համարժեք է այն փաստին, որ ֆայլը չունի «Web-ի նշան» նշան, ինչը ավտոմատ կերպով դարձնում է այն վստահելի, հետո ինչու IE-ն թույլ տվեց MHT ֆայլում թաքնված սկրիպտը գործարկել և ուղարկել թիրախային տեղական ֆայլը հեռավոր սերվերին:
«Դուք այստեղ հեգնանք տեսնու՞մ եք»: հարցնում է Կոլսեկը. «Edge-ի կողմից օգտագործված չփաստաթղթավորված անվտանգության հատկանիշը չեզոքացրել է Internet Explorer-ի գոյություն ունեցող, անկասկած, շատ ավելի կարևոր (նշանակի վեբ) գործառույթը»:
Չնայած խոցելիության մեծ նշանակությանը, որը թույլ է տալիս վնասակար սկրիպտը գործարկել որպես վստահելի սցենար, որևէ նշան չկա, որ Microsoft-ը մտադիր է շուտով շտկել սխալը, եթե այն երբևէ շտկվի: Հետևաբար, մենք դեռ խորհուրդ ենք տալիս, ինչպես նախորդ հոդվածում, փոխեք MHT ֆայլերը բացելու լռելյայն ծրագիրը ցանկացած ժամանակակից բրաուզերի վրա:
Իհարկե, Կոլսեկի հետազոտությունը չանցավ առանց մի փոքր ինքնասիրության: Հոդվածի վերջում նա ցուցադրեց մի փոքրիկ կարկատել, որը գրված է assembly լեզվով, որը կարող է օգտագործել իր ընկերության կողմից մշակված 0patch ծառայությունը։ 0patch-ը ավտոմատ կերպով հայտնաբերում է օգտատիրոջ համակարգչի խոցելի ծրագրակազմը և կիրառում է փոքրիկ կարկատաններ բառացիորեն անմիջապես: Օրինակ, մեր նկարագրած դեպքում 0patch-ը կփոխարինի GetZoneFromAlternateDataStreamEx ֆունկցիայի սխալի հաղորդագրությունը ցանցից ստացված անվստահելի ֆայլին համապատասխանող արժեքով, այնպես որ IE-ն թույլ չի տա, որ որևէ թաքնված սկրիպտներ կատարվեն ներկառուցվածի համաձայն: անվտանգության քաղաքականության մեջ։
Source: 3dnews.ru