Virdrun hu mir iwwer eng entdeckt Nulldeeg Schwachstelle am Internet Explorer, wat et erlaabt eng speziell virbereet MHT-Datei ze benotzen fir Informatioun vum Computer vum Benotzer op e Fernserver erofzelueden. Viru kuerzem huet dës Schwachstelle, entdeckt vum Sécherheetsspezialist John Page, decidéiert en anere bekannte Spezialist an dësem Beräich ze kontrolléieren an ze studéieren - Mitya Kolsek, Direkter vun ACROS Security, eng Sécherheetsauditfirma, a Matgrënner vum Micropatch Service 0patch. Hien voll Chronik vu senger Enquête, wat beweist datt Microsoft d'Gravitéit vum Problem wesentlech ënnerschat huet.
Komesch genuch war de Kolsek am Ufank net fäeg d'Attack ze reproduzéieren, déi vum John beschriwwen a demonstréiert gouf, wou hien Internet Explorer benotzt huet op Windows 7 fir erofzelueden an duerno eng béiswëlleg MHT Datei opzemaachen. Och wann säi Prozessmanager gewisen huet datt system.ini, dee geplangt ass vu sech selwer geklaut ze ginn, vun engem Skript gelies gouf, deen an der MHT-Datei verstoppt ass, awer net op de Fernserver geschéckt gouf.
"Dëst huet ausgesinn wéi eng klassesch Mark-of-the-Web Situatioun", schreift Kolsek. "Wann e Fichier vum Internet kritt gëtt, füügt richteg lafend Windows Uwendungen wéi Webbrowser an E-Mail Clienten e Label un esou Datei an der Form un. mam Numm Zone.Identifier containing the string ZoneId = 3. Dëst léisst aner Applikatiounen wëssen, datt de Fichier aus enger net zouverléisseger Quell koum an dofir an enger Sandkëscht oder engem anere limitéierten Ëmfeld opgemaach soll ginn."
De Fuerscher huet verifizéiert datt IE tatsächlech sou e Label fir déi erofgeluede MHT Datei gesat huet. Kolsek huet dunn probéiert déi selwecht Datei mat Edge erofzelueden an et an IE opzemaachen, wat d'Standardapplikatioun fir MHT Dateien bleift. Onerwaart huet den Exploit geschafft.
Als éischt huet de Fuerscher "mark-of-the-Web" iwwerpréift, et huet sech erausgestallt datt Edge och d'Quell vun der Hierkonft vun der Datei an engem alternativen Datestroum nieft dem Sécherheetsidentifizéierer späichert, wat e puer Froen iwwer d'Privatsphär vun dësem opwerft. Method. Kolsek spekuléiert datt déi extra Zeilen IE duerchernee kënnen hunn a verhënnert hunn d'SID ze liesen, awer wéi et sech erausstellt, war de Problem soss anzwousch. No enger laanger Analyse huet de Sécherheetsspezialist d'Ursaach an zwee Entréen an der Zougangskontrolllëscht fonnt, déi d'Recht bäigefüügt huet fir d'MHT-Datei op e bestëmmte Systemservice ze liesen, deen Edge do bäigefüügt huet nodeems se se gelueden huet.
James Foreshaw vum engagéierten Zero-Day Schwachstelle Team - Google Project Zero - tweeted datt d'Entréen, déi vum Edge bäigefüügt goufen, op Gruppesécherheetsidentifizéierer fir de Package Microsoft.MicrosoftEdge_8wekyb3d8bbwe bezéien. Nodeems Dir déi zweet Zeil vum SID S-1-15-2 - * aus der Zougangskontrolllëscht vun der béiswëlleger Datei erofgeholl huet, huet d'Exploit net méi geschafft. Als Resultat huet iergendwéi d'Erlaabnes vum Edge bäigefüügt datt d'Datei d'Sandbox am IE ëmgoe konnt. Wéi de Kolsek a seng Kollegen virgeschloen hunn, benotzt Edge dës Permissiounen fir erofgeluede Dateien vum Zougang duerch niddereg Vertrauensprozesser ze schützen andeems d'Datei an engem deelweis isoléierten Ëmfeld leeft.
Als nächst wollt de Fuerscher besser verstoen wat d'Ursaachen vun der IE Sécherheetssystem falen. Eng detailléiert Analyse mat Hëllef vum Process Monitor Utility an dem IDA Disassembler huet schlussendlech opgedeckt datt d'Edge's Set Resolutioun d'Win Api Funktioun GetZoneFromAlternateDataStreamEx verhënnert huet de Zone.Identifier Datei Stream ze liesen an e Feeler zréckginn. Fir Internet Explorer war esou e Feeler beim Ufro vum Sécherheetslabel vun engem Fichier komplett onerwaart, an anscheinend huet de Browser geduecht datt de Feeler gläichwäerteg ass mat der Tatsaach datt d'Datei keng Mark-of-the-Web Mark huet, déi automatesch et vertraut mécht, duerno firwat IE erlaabt de Skript verstoppt an der MHT Datei auszeféieren an d'Zillokal Datei op den Fernserver ze schécken.
"Gesitt Dir d'Ironie hei?" freet de Kolsek. "Eng ondokumentéiert Sécherheetsfunktioun, déi vum Edge benotzt gouf, neutraliséiert eng existent, ouni Zweifel vill méi wichteg (Mark-of-the-Web) Feature am Internet Explorer."
Trotz der verstäerkter Bedeitung vun der Schwachstelle, déi et erlaabt e béiswëlleg Skript als e vertrauenswürdege Skript auszeféieren, gëtt et keng Indikatioun datt Microsoft wëlles de Feeler all Moment geschwënn ze fixéieren, wann et jeemools fixéiert gëtt. Dofir empfeelen mir nach ëmmer datt Dir, wéi am virege Artikel, de Standardprogramm fir MHT Dateien op all modernen Browser opzemaachen.
Natierlech ass d'Fuerschung vum Kolsek net ouni e bëssen Self-PR gaang. Um Enn vum Artikel huet hien e klenge Patch bewisen, deen an der Assembléesprooch geschriwwe gouf, deen den 0patch Service dee vu senger Firma entwéckelt ka benotzen. 0patch erkennt automatesch vulnérabel Software um Computer vum Benotzer an applizéiert kleng Patches op et wuertwiertlech op der Flucht. Zum Beispill, am Fall, dee mir beschriwwen hunn, ersetzt 0patch d'Fehlermeldung an der GetZoneFromAlternateDataStreamEx Funktioun mat engem Wäert entsprécht enger net zouverléisseger Datei, déi aus dem Netz kritt gëtt, sou datt IE keng verstoppte Skripte erlaabt auszeféieren am Aklang mat der gebaut- an der Sécherheetspolitik.
Source: 3dnews.ru