мурда, биз
Кызык жери, Колсек адегенде Жон сүрөттөгөн жана көрсөткөн чабуулду кайталай алган эмес, анда ал Windows 7де иштеген Internet Explorer программасын жүктөп алып, андан кийин зыяндуу MHT файлын ачкан. Анын процесс менеджери өзүнөн уурдалышы пландалган system.ini MHT файлында катылган скрипт аркылуу окуп, бирок алыскы серверге жөнөтүлбөй турганын көрсөттү.
"Бул веб-сайттын классикалык белгиси сыяктуу көрүндү" деп жазат Колсек. "Интернеттен файл алынганда, веб-браузер жана электрондук почта кардарлары сыяктуу Windows тиркемелери туура иштеп жаткан формада мындай файлга энбелги кошот.
Изилдөөчү IE чындыгында жүктөлүп алынган MHT файлы үчүн ушундай белги койгонун текшерди. Андан кийин Kolsek ошол эле файлды Edge аркылуу жүктөп алып, MHT файлдары үчүн демейки тиркеме бойдон калган IEде ачууга аракет кылды. Күтүлбөгөн жерден эксплуатация ишке ашты.
Биринчиден, изилдөөчү "желе белгисин" текшерип, Edge файлдын келип чыгышынын булагын коопсуздук идентификаторунан тышкары альтернативдик маалымат агымында сактай тургандыгы белгилүү болду, бул анын купуялуулугуна байланыштуу суроолорду жаратышы мүмкүн. ыкмасы. Колсек кошумча сызыктар IEди чаташтырып, анын SIDди окуусуна тоскоол болушу мүмкүн деп божомолдоду, бирок белгилүү болгондой, көйгөй башка жерде болгон. Узакка созулган талдоодон кийин, коопсуздук боюнча адис MHT файлын белгилүү бир тутум кызматына окуу укугун кошкон мүмкүндүктү башкаруу тизмесиндеги эки жазуудан себебин тапты, Edge аны жүктөгөндөн кийин ал жерге кошкон.
Жеймс Форшоу атайын нөл күндүк аялуу тобунан - Google Project Zero -
Андан кийин, изилдөөчү IE коопсуздук тутумунун иштебей калышына эмне себеп болгонун жакшыраак түшүнгүсү келген. Process Monitor утилитасын жана IDA демонтаждоочусун колдонуу менен жасалган терең талдоо акыры Edge'дин орнотулган резолюциясы Win Api функциясын GetZoneFromAlternateDataStreamExтин Zone.Identifier файл агымын окуусуна тоскоол болгонун жана катаны кайтарганын көрсөттү. Internet Explorer үчүн файлдын коопсуздук белгисин талап кылууда мындай ката күтүлбөгөн жерден болгон жана, сыягы, браузер ката файлда "желе белгиси" белгиси жок экендигине барабар деп эсептеген. Бул автоматтык түрдө аны ишенимдүү кылат, эмне үчүн IE MHT файлында катылган скриптке максаттуу локалдык файлды аткарууга жана алыскы серверге жөнөтүүгө уруксат бергенден кийин.
"Бул жерде иронияны көрүп жатасызбы?" — деп сурайт Көлсек. "Edge тарабынан колдонулган документтештирилбеген коопсуздук өзгөчөлүгү Internet Explorerдеги бар, албетте, алда канча маанилүү (желе белгиси) өзгөчөлүктү нейтралдаштырды."
Зыяндуу скриптти ишенимдүү скрипт катары иштетүүгө мүмкүндүк берген кемчиликтин маанилүүлүгү жогорулаганына карабастан, Microsoft мүчүлүштүктөрдү тез арада оңдоого ниеттенип жаткандыгы жөнүндө эч кандай белги жок. Ошондуктан, биз мурунку макаладагыдай эле, MHT файлдарын ачуу үчүн демейки программаны каалаган заманбап браузерге өзгөртүүнү сунуштайбыз.
Албетте, Кольсектин изилдөөлөрү бир аз өзүнчө пиарсыз өткөн жок. Макаланын аягында ал өзүнүн компаниясы тарабынан иштелип чыккан 0patch кызматын колдоно ала турган ассемблер тилинде жазылган кичинекей патчты көрсөттү. 0patch колдонуучунун компьютериндеги аялуу программалык камсыздоону автоматтык түрдө аныктайт жана ага кичинекей патчтарды түз мааниде колдонот. Мисалы, биз сүрөттөгөн учурда, 0patch GetZoneFromAlternateDataStreamEx функциясындагы ката кабарын тармактан алынган ишенимсиз файлга туура келген мааниге алмаштырат, андыктан IE эч кандай жашыруун скрипттердин курулганга ылайык аткарылышына жол бербейт. коопсуздук саясатында.
Source: 3dnews.ru