Бұрын біз Internet Explorer шолғышында анықталған нөлдік күндік осалдық туралы, ол пайдаланушының компьютерінен қашықтағы серверге ақпаратты жүктеу үшін арнайы дайындалған MHT файлын пайдалануға мүмкіндік береді. Жақында қауіпсіздік маманы Джон Пейдж анықтаған бұл осалдықты осы саладағы тағы бір танымал маман - қауіпсіздік аудиті компаниясы ACROS Security директоры және 0patch микропатч қызметінің негізін қалаушы Митя Колсек тексеріп, зерттеуге шешім қабылдады. Ол оның тергеуінің толық хроникасы, бұл Microsoft корпорациясының мәселенің ауырлығын айтарлықтай бағаламағанын көрсетеді.
Бір қызығы, Колсек бастапқыда Джон сипаттаған және көрсеткен шабуылды жаңғырта алмады, онда ол Windows 7 жүйесінде жұмыс істейтін Internet Explorer бағдарламасын жүктеп алып, зиянды MHT файлын ашу үшін пайдаланды. Оның процесс менеджері өзінен ұрлау жоспарланған system.ini MHT файлында жасырылған сценарий арқылы оқылғанын көрсеткенімен, бірақ қашықтағы серверге жіберілмеді.
«Бұл веб-сайттың классикалық белгісі сияқты көрінді», - деп жазады Колсек. «Интернеттен файл алынған кезде, веб-шолғыштар және электрондық пошта клиенттері сияқты дұрыс жұмыс істейтін Windows қолданбалары пішінде мұндай файлға белгіні қосады. ZoneId = 3 жолын қамтитын Zone.Идентификатор деп аталады. Бұл басқа қолданбаларға файлдың сенімсіз көзден келгенін білуге мүмкіндік береді, сондықтан құм жәшігінде немесе басқа шектеулі ортада ашылуы керек."
Зерттеуші IE шын мәнінде жүктелген MHT файлы үшін осындай белгіні орнатқанын тексерді. Содан кейін Kolsek сол файлды Edge арқылы жүктеп алып, оны MHT файлдары үшін әдепкі қолданба болып қалатын IE-де ашуға тырысты. Күтпеген жерден эксплойт жұмыс істеді.
Біріншіден, зерттеуші «веб белгісін» тексерді, Edge сонымен қатар файлдың шығу көзін қауіпсіздік идентификаторынан басқа баламалы деректер ағынында сақтайды, бұл оның құпиялылығына қатысты кейбір сұрақтар тудыруы мүмкін. әдіс. Кольсек қосымша жолдар IE-ді шатастырып, оны SID оқуына кедергі келтіруі мүмкін деп болжады, бірақ мәселе басқа жерде болғаны белгілі болды. Ұзақ талдаудан кейін қауіпсіздік маманы қол жеткізуді басқару тізіміндегі екі жазбадан себебін тапты, ол MHT файлын белгілі бір жүйелік қызметке оқу құқығын қосқан, Edge оны жүктегеннен кейін сол жерге қосқан.
Джеймс Форшоу арнайы нөлдік күндік осалдық тобынан - Google Project Zero - Edge арқылы қосылған жазбалар Microsoft.MicrosoftEdge_8wekyb3d8bbwe бумасы үшін топтық қауіпсіздік идентификаторларына сілтеме жасайтынын твиттерде жазды. Зиянды файлдың кіруді басқару тізімінен SID S-1-15-2 - * екінші жолын алып тастағаннан кейін эксплойт жұмыс істемейді. Нәтижесінде, қандай да бір жолмен Edge қосқан рұқсат файлға IE ішіндегі құм жәшігін айналып өтуге мүмкіндік берді. Kolsek және оның әріптестері ұсынғандай, Edge файлды ішінара оқшауланған ортада іске қосу арқылы жүктелген файлдарды сенімсіз процестердің қол жеткізуінен қорғау үшін осы рұқсаттарды пайдаланады.
Содан кейін зерттеуші IE қауіпсіздік жүйесінің сәтсіздігіне не себеп болатынын жақсырақ түсінгісі келді. Процесс мониторы утилитасын және IDA бөлшектеу құралын қолданатын терең талдау соңында Edge орнатылған ажыратымдылығы Win Api функциясының GetZoneFromAlternateDataStreamEx Zone.Identifier файл ағынын оқуына кедергі келтіретінін және қатені қайтарғанын көрсетті. Internet Explorer үшін файлдың қауіпсіздік белгісін сұраған кезде мұндай қате мүлдем күтпеген болды және, шамасы, браузер қате файлда «веб белгісі» белгісінің жоқтығына баламалы деп есептеді. бұл автоматты түрде сенімді етеді, содан кейін IE MHT файлында жасырылған сценарийге мақсатты жергілікті файлды қашықтағы серверге орындауға және жіберуге рұқсат берді.
«Сіз мұнда иронияны көріп тұрсыз ба?» деп сұрайды Көлсек. «Edge пайдаланатын құжатсыз қауіпсіздік мүмкіндігі Internet Explorer шолғышындағы бар, сөзсіз әлдеқайда маңызды (веб-белгі) мүмкіндігін бейтараптандырды.»
Зиянды сценарийді сенімді сценарий ретінде іске қосуға мүмкіндік беретін осалдықтың маңыздылығына қарамастан, Microsoft корпорациясының қатені кез келген уақытта, егер ол түзетілсе, тез арада түзеткісі келетіні туралы ешқандай белгі жоқ. Сондықтан, біз бұрынғы мақаладағыдай, MHT файлдарын ашуға арналған әдепкі бағдарламаны кез келген заманауи браузерге өзгертуді ұсынамыз.
Әрине, Көлсектің зерттеулері азғантай өзін-өзі пиарсыз өткен жоқ. Мақаланың соңында ол өз компаниясы әзірлеген 0patch қызметін пайдалана алатын ассемблер тілінде жазылған шағын патчты көрсетті. 0patch пайдаланушының компьютеріндегі осал бағдарламалық құралды автоматты түрде анықтайды және оған шағын патчтарды бірден қолданады. Мысалы, біз сипаттаған жағдайда, 0patch GetZoneFromAlternateDataStreamEx функциясындағы қате туралы хабарды желіден алынған сенімсіз файлға сәйкес мәнмен ауыстырады, осылайша IE кірістірілген бағдарламаға сәйкес жасырын сценарийлерді орындауға рұқсат бермейді. қауіпсіздік саясатында.
Ақпарат көзі: 3dnews.ru