Virdrun hu mir
Komesch genuch war de Kolsek am Ufank net fäeg d'Attack ze reproduzéieren, déi vum John beschriwwen a demonstréiert gouf, wou hien Internet Explorer benotzt huet op Windows 7 fir erofzelueden an duerno eng béiswëlleg MHT Datei opzemaachen. Och wann säi Prozessmanager gewisen huet datt system.ini, dee geplangt ass vu sech selwer geklaut ze ginn, vun engem Skript gelies gouf, deen an der MHT-Datei verstoppt ass, awer net op de Fernserver geschéckt gouf.
"Dëst huet ausgesinn wéi eng klassesch Mark-of-the-Web Situatioun", schreift Kolsek. "Wann e Fichier vum Internet kritt gëtt, füügt richteg lafend Windows Uwendungen wéi Webbrowser an E-Mail Clienten e Label un esou Datei an der Form un.
De Fuerscher huet verifizéiert datt IE tatsächlech sou e Label fir déi erofgeluede MHT Datei gesat huet. Kolsek huet dunn probéiert déi selwecht Datei mat Edge erofzelueden an et an IE opzemaachen, wat d'Standardapplikatioun fir MHT Dateien bleift. Onerwaart huet den Exploit geschafft.
Als éischt huet de Fuerscher "mark-of-the-Web" iwwerpréift, et huet sech erausgestallt datt Edge och d'Quell vun der Hierkonft vun der Datei an engem alternativen Datestroum nieft dem Sécherheetsidentifizéierer späichert, wat e puer Froen iwwer d'Privatsphär vun dësem opwerft. Method. Kolsek spekuléiert datt déi extra Zeilen IE duerchernee kënnen hunn a verhënnert hunn d'SID ze liesen, awer wéi et sech erausstellt, war de Problem soss anzwousch. No enger laanger Analyse huet de Sécherheetsspezialist d'Ursaach an zwee Entréen an der Zougangskontrolllëscht fonnt, déi d'Recht bäigefüügt huet fir d'MHT-Datei op e bestëmmte Systemservice ze liesen, deen Edge do bäigefüügt huet nodeems se se gelueden huet.
James Foreshaw vum engagéierten Zero-Day Schwachstelle Team - Google Project Zero -
Als nächst wollt de Fuerscher besser verstoen wat d'Ursaachen vun der IE Sécherheetssystem falen. Eng detailléiert Analyse mat Hëllef vum Process Monitor Utility an dem IDA Disassembler huet schlussendlech opgedeckt datt d'Edge's Set Resolutioun d'Win Api Funktioun GetZoneFromAlternateDataStreamEx verhënnert huet de Zone.Identifier Datei Stream ze liesen an e Feeler zréckginn. Fir Internet Explorer war esou e Feeler beim Ufro vum Sécherheetslabel vun engem Fichier komplett onerwaart, an anscheinend huet de Browser geduecht datt de Feeler gläichwäerteg ass mat der Tatsaach datt d'Datei keng Mark-of-the-Web Mark huet, déi automatesch et vertraut mécht, duerno firwat IE erlaabt de Skript verstoppt an der MHT Datei auszeféieren an d'Zillokal Datei op den Fernserver ze schécken.
"Gesitt Dir d'Ironie hei?" freet de Kolsek. "Eng ondokumentéiert Sécherheetsfunktioun, déi vum Edge benotzt gouf, neutraliséiert eng existent, ouni Zweifel vill méi wichteg (Mark-of-the-Web) Feature am Internet Explorer."
Trotz der verstäerkter Bedeitung vun der Schwachstelle, déi et erlaabt e béiswëlleg Skript als e vertrauenswürdege Skript auszeféieren, gëtt et keng Indikatioun datt Microsoft wëlles de Feeler all Moment geschwënn ze fixéieren, wann et jeemools fixéiert gëtt. Dofir empfeelen mir nach ëmmer datt Dir, wéi am virege Artikel, de Standardprogramm fir MHT Dateien op all modernen Browser opzemaachen.
Natierlech ass d'Fuerschung vum Kolsek net ouni e bëssen Self-PR gaang. Um Enn vum Artikel huet hien e klenge Patch bewisen, deen an der Assembléesprooch geschriwwe gouf, deen den 0patch Service dee vu senger Firma entwéckelt ka benotzen. 0patch erkennt automatesch vulnérabel Software um Computer vum Benotzer an applizéiert kleng Patches op et wuertwiertlech op der Flucht. Zum Beispill, am Fall, dee mir beschriwwen hunn, ersetzt 0patch d'Fehlermeldung an der GetZoneFromAlternateDataStreamEx Funktioun mat engem Wäert entsprécht enger net zouverléisseger Datei, déi aus dem Netz kritt gëtt, sou datt IE keng verstoppte Skripte erlaabt auszeféieren am Aklang mat der gebaut- an der Sécherheetspolitik.
Source: 3dnews.ru