Sebelumnya kita tentang kerentanan zero-day yang ditemukan di Internet Explorer, yang memungkinkan penggunaan file MHT yang disiapkan khusus untuk mengunduh informasi dari komputer pengguna ke server jarak jauh. Baru-baru ini, kerentanan ini, yang ditemukan oleh spesialis keamanan John Page, memutuskan untuk memeriksa dan mempelajari spesialis terkenal lainnya di bidang ini - Mitya Kolsek, direktur ACROS Security, sebuah perusahaan audit keamanan, dan salah satu pendiri layanan micropatch 0patch. Dia kronik lengkap penyelidikannya, menunjukkan bahwa Microsoft terlalu meremehkan tingkat keparahan masalahnya.
Anehnya, Kolsek pada awalnya tidak dapat mereproduksi serangan yang dijelaskan dan didemonstrasikan oleh John, di mana ia menggunakan Internet Explorer yang berjalan pada Windows 7 untuk mengunduh dan kemudian membuka file MHT yang berbahaya. Meskipun manajer prosesnya menunjukkan bahwa system.ini, yang direncanakan untuk dicuri dari dirinya sendiri, dibaca oleh skrip yang disembunyikan di file MHT, tetapi tidak dikirim ke server jauh.
“Ini tampak seperti situasi klasik yang menandai Web,” tulis Kolsek. “Ketika sebuah file diterima dari Internet, aplikasi Windows yang berjalan dengan benar seperti browser web dan klien email menambahkan label ke file tersebut dalam bentuk dengan nama Zone.Identifier berisi string ZoneId = 3. Ini memungkinkan aplikasi lain mengetahui bahwa file tersebut berasal dari sumber yang tidak tepercaya dan oleh karena itu harus dibuka di kotak pasir atau lingkungan terbatas lainnya."
Peneliti memverifikasi bahwa IE benar-benar menetapkan label seperti itu untuk file MHT yang diunduh. Kolsek kemudian mencoba mengunduh file yang sama menggunakan Edge dan membukanya di IE, yang tetap menjadi aplikasi default untuk file MHT. Tanpa diduga, eksploitasi tersebut berhasil.
Pertama, peneliti mencentang “mark-of-the-Web”, ternyata Edge juga menyimpan sumber asal file dalam aliran data alternatif selain pengidentifikasi keamanan, yang mungkin menimbulkan beberapa pertanyaan mengenai privasi ini. metode. Kolsek berspekulasi bahwa baris tambahan tersebut mungkin membingungkan IE dan mencegahnya membaca SID, namun ternyata, masalahnya ada di tempat lain. Setelah analisis yang panjang, spesialis keamanan menemukan penyebabnya dalam dua entri dalam daftar kontrol akses yang menambahkan hak untuk membaca file MHT ke layanan sistem tertentu, yang ditambahkan Edge di sana setelah memuatnya.
James Foreshaw dari tim khusus kerentanan zero-day - Google Project Zero - men-tweet bahwa entri yang ditambahkan oleh Edge merujuk pada pengidentifikasi keamanan grup untuk paket Microsoft.MicrosoftEdge_8wekyb3d8bbwe. Setelah menghapus baris kedua SID S-1-15-2 - * dari daftar kontrol akses file berbahaya, eksploitasi tidak lagi berfungsi. Akibatnya, izin yang ditambahkan oleh Edge memungkinkan file tersebut melewati kotak pasir di IE. Seperti yang disarankan Kolsek dan rekan-rekannya, Edge menggunakan izin ini untuk melindungi file yang diunduh dari akses oleh proses dengan kepercayaan rendah dengan menjalankan file di lingkungan yang sebagian terisolasi.
Selanjutnya peneliti ingin lebih memahami apa yang menyebabkan sistem keamanan IE gagal. Analisis mendalam menggunakan utilitas Process Monitor dan disassembler IDA akhirnya mengungkapkan bahwa resolusi set Edge mencegah fungsi Win Api GetZoneFromAlternateDataStreamEx membaca aliran file Zone.Identifier dan mengembalikan kesalahan. Untuk Internet Explorer, kesalahan seperti itu ketika meminta label keamanan file benar-benar tidak terduga, dan, tampaknya, browser menganggap bahwa kesalahan tersebut setara dengan fakta bahwa file tersebut tidak memiliki tanda "mark-of-the-Web", yang secara otomatis membuatnya dipercaya, setelah itu IE mengizinkan skrip yang disembunyikan di file MHT untuk mengeksekusi dan mengirim file lokal target ke server jauh.
“Apakah Anda melihat ironi di sini?” tanya Kolsek. "Fitur keamanan tidak terdokumentasi yang digunakan oleh Edge menetralisir fitur (mark-of-the-Web) yang sudah ada dan jauh lebih penting di Internet Explorer."
Meskipun kerentanan semakin signifikan, yang memungkinkan skrip berbahaya dijalankan sebagai skrip tepercaya, tidak ada indikasi bahwa Microsoft bermaksud memperbaiki bug tersebut dalam waktu dekat, jika bug tersebut diperbaiki. Oleh karena itu, kami tetap menyarankan, seperti pada artikel sebelumnya, Anda mengubah program default untuk membuka file MHT ke browser modern apa pun.
Tentu saja, penelitian Kolsek tidak berjalan tanpa sedikit pun PR. Di akhir artikel, ia mendemonstrasikan patch kecil yang ditulis dalam bahasa assembly yang dapat menggunakan layanan 0patch yang dikembangkan oleh perusahaannya. 0patch secara otomatis mendeteksi perangkat lunak yang rentan di komputer pengguna dan menerapkan perbaikan kecil pada perangkat lunak tersebut dengan cepat. Misalnya, dalam kasus yang kami jelaskan, 0patch akan mengganti pesan kesalahan dalam fungsi GetZoneFromAlternateDataStreamEx dengan nilai yang sesuai dengan file tidak tepercaya yang diterima dari jaringan, sehingga IE tidak akan mengizinkan skrip tersembunyi apa pun dijalankan sesuai dengan bawaannya. dalam kebijakan keamanan.
Sumber: 3dnews.ru