Fyrr við um uppgötvað núlldaga veikleika í Internet Explorer, sem gerir kleift að nota sérútbúna MHT skrá til að hlaða niður upplýsingum úr tölvu notandans á ytri netþjón. Nýlega ákvað þessi varnarleysi, sem öryggissérfræðingurinn John Page uppgötvaði, að athuga og rannsaka annan þekktan sérfræðing á þessu sviði - Mitya Kolsek, forstöðumaður ACROS Security, öryggisendurskoðunarfyrirtækis, og meðstofnandi micropatch þjónustunnar 0patch. Hann fullur annáll um rannsókn sína, sem gefur til kynna að Microsoft hafi verulega vanmetið alvarleika vandans.
Merkilegt nokk gat Kolsek upphaflega ekki endurskapað árásina sem John lýsti og sýndi, þar sem hann notaði Internet Explorer í gangi á Windows 7 til að hlaða niður og síðan opna skaðlega MHT skrá. Þó að ferlistjóri hans hafi sýnt fram á að system.ini, sem ætlað var að stela frá honum sjálfum, var lesið af handriti sem var falið í MHT skránni, en var ekki sent á ytri netþjóninn.
„Þetta leit út eins og klassískt mark-af-the-vef ástand,“ skrifar Kolsek. „Þegar skrá er móttekin af internetinu, setja almennilega keyrandi Windows forrit eins og vefvafra og tölvupóstforrit merki við slíka skrá í formi heitir Zone.Identifier sem inniheldur strenginn ZoneId = 3. Þetta lætur önnur forrit vita að skráin kom frá ótraustum uppruna og því ætti að opna hana í sandkassa eða öðru takmörkuðu umhverfi."
Rannsakandi staðfesti að IE hafi í raun sett slíkt merki fyrir MHT skrána sem hlaðið var niður. Kolsek reyndi síðan að hlaða niður sömu skrá með Edge og opna hana í IE, sem er áfram sjálfgefið forrit fyrir MHT skrár. Óvænt tókst hagræðingin.
Í fyrsta lagi athugaði rannsakandinn „mark-of-the-Web“, það kom í ljós að Edge geymir einnig uppruna uppruna skrárinnar í öðrum gagnastraumi auk öryggisauðkennisins, sem gæti vakið spurningar varðandi friðhelgi þessa aðferð. Kolsek velti því fyrir sér að aukalínurnar gætu hafa ruglað IE og hindrað hana í að lesa SID, en eins og það kemur í ljós var vandamálið annars staðar. Eftir langa greiningu fann öryggissérfræðingurinn orsökina í tveimur færslum í aðgangsstýringarlistanum sem bættu réttinum til að lesa MHT-skrána við ákveðna kerfisþjónustu sem Edge bætti þar við eftir að hún var hlaðin.
James Foreshaw frá sérstöku zero-day varnarleysishópnum - Google Project Zero - kvakaði að færslurnar sem Edge bætti við vísa til öryggisauðkenna hópa fyrir pakkann Microsoft.MicrosoftEdge_8wekyb3d8bbwe. Eftir að hafa fjarlægt seinni línuna af SID S-1-15-2 - * af aðgangsstýringarlistanum yfir illgjarna skrá, virkaði misnotkunin ekki lengur. Fyrir vikið leyfði leyfið sem Edge bætti við skránni einhvern veginn framhjá sandkassanum í IE. Eins og Kolsek og samstarfsmenn hans lögðu til, notar Edge þessar heimildir til að vernda niðurhalaðar skrár gegn aðgangi með litlum traustum ferlum með því að keyra skrána í að hluta til einangruðu umhverfi.
Því næst vildi rannsakandinn skilja betur hvað veldur því að öryggiskerfi IE bilar. Ítarleg greining með því að nota Process Monitor tólið og IDA disassembler leiddi að lokum í ljós að stillt upplausn Edge kom í veg fyrir Win Api aðgerðina GetZoneFromAlternateDataStreamEx í að lesa Zone.Identifier skráarstrauminn og skilaði villu. Fyrir Internet Explorer var slík villa þegar beðið var um öryggismerki skráar algjörlega óvænt og greinilega taldi vafrinn að villan jafngilti því að skráin væri ekki með „mark-of-the-Web“ merki, sem gerir það sjálfkrafa treyst, eftir hvers vegna IE leyfði handritinu sem var falið í MHT skránni að keyra og senda staðbundna markskrána til ytri netþjónsins.
— Sérðu kaldhæðnina hér? spyr Kolsek. „Óskráður öryggiseiginleiki sem Edge notaði gerði óvirkan núverandi, án efa miklu mikilvægari (mark-of-the-Web) eiginleika í Internet Explorer.“
Þrátt fyrir aukna þýðingu varnarleysisins, sem gerir kleift að keyra illgjarnt handrit sem traust handrit, er ekkert sem bendir til þess að Microsoft ætli að laga villuna í bráð, ef það verður einhvern tíma lagað. Þess vegna mælum við samt með því, eins og í fyrri grein, að þú breytir sjálfgefna forritinu til að opna MHT skrár í hvaða nútíma vafra sem er.
Auðvitað fóru rannsóknir Kolsek ekki án smá sjálfs-PR. Í lok greinarinnar sýndi hann lítinn plástur skrifaðan á samsetningarmáli sem getur notað 0patch þjónustuna sem fyrirtæki hans hefur þróað. 0patch skynjar sjálfkrafa viðkvæman hugbúnað á tölvu notandans og setur litla plástra á hann bókstaflega á flugi. Til dæmis, í því tilviki sem við lýstum, mun 0patch skipta út villuboðunum í GetZoneFromAlternateDataStreamEx aðgerðinni fyrir gildi sem samsvarar ótraustri skrá sem er móttekin frá netinu, þannig að IE leyfir ekki að keyra falin forskrift í samræmi við innbyggða- í öryggisstefnu.
Heimild: 3dnews.ru