мурда, биз Маалыматты колдонуучунун компьютеринен алыскы серверге жүктөө үчүн атайын даярдалган MHT файлын колдонууга мүмкүндүк берген Internet Explorerде табылган нөл күндүк бузулуу жөнүндө. Жакында коопсуздук боюнча адис Джон Пейдж тарабынан табылган бул аялуу бул тармактагы дагы бир белгилүү адисти - коопсуздук аудити ACROS Security компаниясынын директору Митя Колсек жана 0patch micropatch сервисинин негиздөөчүсү Митя Колсекти текшерип, изилдөөнү чечти. Ал анын иликтөөсүнүн толук хроникасы, бул Microsoft көйгөйдүн олуттуулугун баалабай койгонун көрсөтүп турат.
Кызык жери, Колсек адегенде Жон сүрөттөгөн жана көрсөткөн чабуулду кайталай алган эмес, анда ал Windows 7де иштеген Internet Explorer программасын жүктөп алып, андан кийин зыяндуу MHT файлын ачкан. Анын процесс менеджери өзүнөн уурдалышы пландалган system.ini MHT файлында катылган скрипт аркылуу окуп, бирок алыскы серверге жөнөтүлбөй турганын көрсөттү.
"Бул веб-сайттын классикалык белгиси сыяктуу көрүндү" деп жазат Колсек. "Интернеттен файл алынганда, веб-браузер жана электрондук почта кардарлары сыяктуу Windows тиркемелери туура иштеп жаткан формада мындай файлга энбелги кошот. ZoneId = 3 сабын камтыган Zone.Идентификатор деп аталат. Бул башка колдонмолорго файлдын ишенимсиз булактан келгенин билүүгө мүмкүндүк берет, ошондуктан кум чөйрөдө же башка чектелген чөйрөдө ачылышы керек."
Изилдөөчү IE чындыгында жүктөлүп алынган MHT файлы үчүн ушундай белги койгонун текшерди. Андан кийин Kolsek ошол эле файлды Edge аркылуу жүктөп алып, MHT файлдары үчүн демейки тиркеме бойдон калган IEде ачууга аракет кылды. Күтүлбөгөн жерден эксплуатация ишке ашты.
Биринчиден, изилдөөчү "желе белгисин" текшерип, Edge файлдын келип чыгышынын булагын коопсуздук идентификаторунан тышкары альтернативдик маалымат агымында сактай тургандыгы белгилүү болду, бул анын купуялуулугуна байланыштуу суроолорду жаратышы мүмкүн. ыкмасы. Колсек кошумча сызыктар IEди чаташтырып, анын SIDди окуусуна тоскоол болушу мүмкүн деп божомолдоду, бирок белгилүү болгондой, көйгөй башка жерде болгон. Узакка созулган талдоодон кийин, коопсуздук боюнча адис MHT файлын белгилүү бир тутум кызматына окуу укугун кошкон мүмкүндүктү башкаруу тизмесиндеги эки жазуудан себебин тапты, Edge аны жүктөгөндөн кийин ал жерге кошкон.
Жеймс Форшоу атайын нөл күндүк аялуу тобунан - Google Project Zero - Edge тарабынан кошулган жазуулар Microsoft.MicrosoftEdge_8wekyb3d8bbwe пакетинин коопсуздук идентификаторлоруна тиешелүү экенин твиттерде жазды. SID S-1-15-2 - * экинчи сабын зыяндуу файлдын кирүү башкаруу тизмесинен алып салгандан кийин, эксплойт иштебей калды. Натыйжада, кандайдыр бир жол менен Edge тарабынан кошулган уруксат файлга IEдеги кум кутуну айланып өтүүгө мүмкүндүк берди. Колсек жана анын кесиптештери сунуш кылгандай, Edge жүктөлүп алынган файлдарды жарым-жартылай обочолонгон чөйрөдө иштетип, ишенимдүүлүгү төмөн процесстерден коргоо үчүн бул уруксаттарды колдонот.
Андан кийин, изилдөөчү IE коопсуздук тутумунун иштебей калышына эмне себеп болгонун жакшыраак түшүнгүсү келген. Process Monitor утилитасын жана IDA демонтаждоочусун колдонуу менен жасалган терең талдоо акыры Edge'дин орнотулган резолюциясы Win Api функциясын GetZoneFromAlternateDataStreamExтин Zone.Identifier файл агымын окуусуна тоскоол болгонун жана катаны кайтарганын көрсөттү. Internet Explorer үчүн файлдын коопсуздук белгисин талап кылууда мындай ката күтүлбөгөн жерден болгон жана, сыягы, браузер ката файлда "желе белгиси" белгиси жок экендигине барабар деп эсептеген. Бул автоматтык түрдө аны ишенимдүү кылат, эмне үчүн IE MHT файлында катылган скриптке максаттуу локалдык файлды аткарууга жана алыскы серверге жөнөтүүгө уруксат бергенден кийин.
"Бул жерде иронияны көрүп жатасызбы?" — деп сурайт Көлсек. "Edge тарабынан колдонулган документтештирилбеген коопсуздук өзгөчөлүгү Internet Explorerдеги бар, албетте, алда канча маанилүү (желе белгиси) өзгөчөлүктү нейтралдаштырды."
Зыяндуу скриптти ишенимдүү скрипт катары иштетүүгө мүмкүндүк берген кемчиликтин маанилүүлүгү жогорулаганына карабастан, Microsoft мүчүлүштүктөрдү тез арада оңдоого ниеттенип жаткандыгы жөнүндө эч кандай белги жок. Ошондуктан, биз мурунку макаладагыдай эле, MHT файлдарын ачуу үчүн демейки программаны каалаган заманбап браузерге өзгөртүүнү сунуштайбыз.
Албетте, Кольсектин изилдөөлөрү бир аз өзүнчө пиарсыз өткөн жок. Макаланын аягында ал өзүнүн компаниясы тарабынан иштелип чыккан 0patch кызматын колдоно ала турган ассемблер тилинде жазылган кичинекей патчты көрсөттү. 0patch колдонуучунун компьютериндеги аялуу программалык камсыздоону автоматтык түрдө аныктайт жана ага кичинекей патчтарды түз мааниде колдонот. Мисалы, биз сүрөттөгөн учурда, 0patch GetZoneFromAlternateDataStreamEx функциясындагы ката кабарын тармактан алынган ишенимсиз файлга туура келген мааниге алмаштырат, андыктан IE эч кандай жашыруун скрипттердин курулганга ылайык аткарылышына жол бербейт. коопсуздук саясатында.
Source: 3dnews.ru