Sebelumnya kita
Anehnya, Kolsek pada awalnya tidak dapat mereproduksi serangan yang dijelaskan dan didemonstrasikan oleh John, di mana ia menggunakan Internet Explorer yang berjalan pada Windows 7 untuk mengunduh dan kemudian membuka file MHT yang berbahaya. Meskipun manajer prosesnya menunjukkan bahwa system.ini, yang direncanakan untuk dicuri dari dirinya sendiri, dibaca oleh skrip yang disembunyikan di file MHT, tetapi tidak dikirim ke server jauh.
“Ini tampak seperti situasi klasik yang menandai Web,” tulis Kolsek. “Ketika sebuah file diterima dari Internet, aplikasi Windows yang berjalan dengan benar seperti browser web dan klien email menambahkan label ke file tersebut dalam bentuk
Peneliti memverifikasi bahwa IE benar-benar menetapkan label seperti itu untuk file MHT yang diunduh. Kolsek kemudian mencoba mengunduh file yang sama menggunakan Edge dan membukanya di IE, yang tetap menjadi aplikasi default untuk file MHT. Tanpa diduga, eksploitasi tersebut berhasil.
Pertama, peneliti mencentang “mark-of-the-Web”, ternyata Edge juga menyimpan sumber asal file dalam aliran data alternatif selain pengidentifikasi keamanan, yang mungkin menimbulkan beberapa pertanyaan mengenai privasi ini. metode. Kolsek berspekulasi bahwa baris tambahan tersebut mungkin membingungkan IE dan mencegahnya membaca SID, namun ternyata, masalahnya ada di tempat lain. Setelah analisis yang panjang, spesialis keamanan menemukan penyebabnya dalam dua entri dalam daftar kontrol akses yang menambahkan hak untuk membaca file MHT ke layanan sistem tertentu, yang ditambahkan Edge di sana setelah memuatnya.
James Foreshaw dari tim khusus kerentanan zero-day - Google Project Zero -
Selanjutnya peneliti ingin lebih memahami apa yang menyebabkan sistem keamanan IE gagal. Analisis mendalam menggunakan utilitas Process Monitor dan disassembler IDA akhirnya mengungkapkan bahwa resolusi set Edge mencegah fungsi Win Api GetZoneFromAlternateDataStreamEx membaca aliran file Zone.Identifier dan mengembalikan kesalahan. Untuk Internet Explorer, kesalahan seperti itu ketika meminta label keamanan file benar-benar tidak terduga, dan, tampaknya, browser menganggap bahwa kesalahan tersebut setara dengan fakta bahwa file tersebut tidak memiliki tanda "mark-of-the-Web", yang secara otomatis membuatnya dipercaya, setelah itu IE mengizinkan skrip yang disembunyikan di file MHT untuk mengeksekusi dan mengirim file lokal target ke server jauh.
“Apakah Anda melihat ironi di sini?” tanya Kolsek. "Fitur keamanan tidak terdokumentasi yang digunakan oleh Edge menetralisir fitur (mark-of-the-Web) yang sudah ada dan jauh lebih penting di Internet Explorer."
Meskipun kerentanan semakin signifikan, yang memungkinkan skrip berbahaya dijalankan sebagai skrip tepercaya, tidak ada indikasi bahwa Microsoft bermaksud memperbaiki bug tersebut dalam waktu dekat, jika bug tersebut diperbaiki. Oleh karena itu, kami tetap menyarankan, seperti pada artikel sebelumnya, Anda mengubah program default untuk membuka file MHT ke browser modern apa pun.
Tentu saja, penelitian Kolsek tidak berjalan tanpa sedikit pun PR. Di akhir artikel, ia mendemonstrasikan patch kecil yang ditulis dalam bahasa assembly yang dapat menggunakan layanan 0patch yang dikembangkan oleh perusahaannya. 0patch secara otomatis mendeteksi perangkat lunak yang rentan di komputer pengguna dan menerapkan perbaikan kecil pada perangkat lunak tersebut dengan cepat. Misalnya, dalam kasus yang kami jelaskan, 0patch akan mengganti pesan kesalahan dalam fungsi GetZoneFromAlternateDataStreamEx dengan nilai yang sesuai dengan file tidak tepercaya yang diterima dari jaringan, sehingga IE tidak akan mengizinkan skrip tersembunyi apa pun dijalankan sesuai dengan bawaannya. dalam kebijakan keamanan.
Sumber: 3dnews.ru