Anksčiau mes apie aptiktą nulinės dienos pažeidžiamumą programoje Internet Explorer, leidžiančią naudojant specialiai paruoštą MHT failą informacijai iš vartotojo kompiuterio atsisiųsti į nuotolinį serverį. Neseniai šis pažeidžiamumas, kurį atrado saugos specialistas Johnas Page’as, nusprendė patikrinti ir ištirti kitą žinomą šios srities specialistą – Mitya Kolsek, saugos audito įmonės ACROS Security direktorę ir micropatch paslaugos 0patch įkūrėją. Jis visą savo tyrimo kroniką, o tai rodo, kad „Microsoft“ gerokai neįvertino problemos rimtumo.
Kaip bebūtų keista, Kolsekas iš pradžių negalėjo atkurti Johno aprašytos ir demonstruotos atakos, kai jis naudojo „Internet Explorer“ operacinėje sistemoje „Windows 7“, kad atsisiųstų ir atidarytų kenkėjišką MHT failą. Nors jo proceso vadovas parodė, kad system.ini, kurį planuota pavogti iš jo paties, buvo perskaitytas MHT faile paslėpto scenarijaus, tačiau į nuotolinį serverį nebuvo išsiųstas.
„Tai atrodė kaip klasikinė žiniatinklio padėtis“, – rašo Kolsekas. „Kai failas gaunamas iš interneto, tinkamai veikiančios Windows programos, tokios kaip žiniatinklio naršyklės ir el. pašto programos, prie tokio failo formoje prideda etiketę. su pavadinimu Zone.Identifier, kuriame yra eilutė ZoneId = 3. Tai leidžia kitoms programoms žinoti, kad failas atkeliavo iš nepatikimo šaltinio, todėl jį reikia atidaryti smėlio dėžėje ar kitoje ribotoje aplinkoje.
Tyrėjas patikrino, ar IE iš tikrųjų nustatė tokią etiketę atsisiųstam MHT failui. Tada Kolsek bandė atsisiųsti tą patį failą naudodamas Edge ir atidaryti jį IE, kuris išlieka numatytoji MHT failų programa. Netikėtai išnaudojimas suveikė.
Pirmiausia tyrėjas patikrino „žiniatinklio žymėjimą“, paaiškėjo, kad „Edge“ taip pat saugo failo kilmės šaltinį alternatyviame duomenų sraute be saugos identifikatoriaus, todėl gali kilti klausimų dėl šio failo privatumo. metodas. Kolsekas spėliojo, kad papildomos eilutės galėjo supainioti IE ir neleisti jai nuskaityti SID, tačiau, kaip paaiškėjo, problema buvo kitur. Po ilgos analizės saugos specialistas priežastį rado dviejuose prieigos kontrolės sąrašo įrašuose, kurie prie tam tikros sistemos paslaugos pridėjo teisę skaityti MHT failą, kurį „Edge“ ten įtraukė jį įkėlus.
Jamesas Foreshaw iš specialios nulinės dienos pažeidžiamumo komandos – „Google Project Zero“ – tviteryje paskelbė, kad Edge pridėti įrašai nurodo paketo Microsoft.MicrosoftEdge_8wekyb3d8bbwe grupės saugos identifikatorius. Pašalinus antrąją SID S-1-15-2 - * eilutę iš kenkėjiško failo prieigos kontrolės sąrašo, išnaudojimas nebeveikė. Dėl to kažkaip Edge pridėtas leidimas leido failui apeiti smėlio dėžę IE. Kaip siūlė Kolsekas ir jo kolegos, Edge naudoja šiuos leidimus, kad apsaugotų atsisiųstus failus nuo žemo pasitikėjimo procesų prieigos, paleisdama failą iš dalies izoliuotoje aplinkoje.
Toliau tyrėjas norėjo geriau suprasti, dėl ko sugenda IE apsaugos sistema. Išsami analizė naudojant „Process Monitor“ įrankį ir IDA išardiklį galiausiai atskleidė, kad „Edge“ nustatyta skiriamoji geba neleido „Win Api“ funkcijai GetZoneFromAlternateDataStreamEx nuskaityti Zone.Identifier failo srauto ir grąžino klaidą. „Internet Explorer“ tokia klaida prašant failo saugos etiketės buvo visiškai netikėta ir, matyt, naršyklė manė, kad klaida prilygsta faktui, kad failas neturėjo „žiniatinklio ženklo“ ženklo, o tai automatiškai daro jį patikimu, kodėl IE leido paleisti MHT faile paslėptą scenarijų ir nusiųsti tikslinį vietinį failą į nuotolinį serverį.
– Ar matote čia ironiją? – klausia Kolsekas. "Nedokumentuota saugos funkcija, kurią naudojo Edge, neutralizavo esamą, neabejotinai daug svarbesnę (žiniatinklio ženklo) funkciją "Internet Explorer".
Nepaisant padidėjusios pažeidžiamumo, leidžiančio kenkėjišką scenarijų paleisti kaip patikimą scenarijų, reikšmės, nėra jokių požymių, kad „Microsoft“ ketintų artimiausiu metu ištaisyti klaidą, jei ji kada nors bus ištaisyta. Todėl vis tiek rekomenduojame, kaip ir ankstesniame straipsnyje, pakeisti numatytąją MHT failų atidarymo programą į bet kurią šiuolaikinę naršyklę.
Žinoma, Kolseko tyrimai neapsiėjo be nedidelio savęs PR. Straipsnio pabaigoje jis pademonstravo nedidelį pataisą, parašytą asamblėjos kalba, kuri gali naudoti jo įmonės sukurtą 0patch paslaugą. 0patch automatiškai aptinka pažeidžiamą programinę įrangą vartotojo kompiuteryje ir tiesiogine prasme pritaiko jai mažas pataisas. Pavyzdžiui, mūsų aprašytu atveju 0patch pakeis klaidos pranešimą funkcijoje GetZoneFromAlternateDataStreamEx reikšme, atitinkančia nepatikimą failą, gautą iš tinklo, todėl IE neleis vykdyti jokių paslėptų scenarijų pagal įmontuotą saugumo politikoje.
Šaltinis: 3dnews.ru