Agrāk mēs
Savādi, ka Kolseks sākotnēji nespēja reproducēt Džona aprakstīto un demonstrēto uzbrukumu, kurā viņš izmantoja Internet Explorer, kas darbojas operētājsistēmā Windows 7, lai lejupielādētu un pēc tam atvērtu ļaunprātīgu MHT failu. Viņa procesa vadītājs gan rādīja, ka system.ini, kuru bija plānots nozagt viņam pašam, nolasīja MHT failā paslēpts skripts, taču tas netika nosūtīts uz attālo serveri.
"Šī izskatījās pēc klasiskas tīmekļa vietnes situācijas," raksta Kolseks. “Kad fails tiek saņemts no interneta, pareizi darbojošās Windows lietojumprogrammas, piemēram, tīmekļa pārlūkprogrammas un e-pasta klienti, pievieno etiķeti šādam failam veidlapā
Pētnieks pārbaudīja, vai IE faktiski iestatīja šādu etiķeti lejupielādētajam MHT failam. Pēc tam Kolsek mēģināja lejupielādēt to pašu failu, izmantojot Edge, un atvērt to IE, kas joprojām ir noklusējuma lietojumprogramma MHT failiem. Negaidīti ekspluatācija nostrādāja.
Pirmkārt, pētnieks pārbaudīja “mark-of-the-Web”, izrādījās, ka Edge papildus drošības identifikatoram saglabā arī faila izcelsmes avotu alternatīvā datu plūsmā, kas var radīt dažus jautājumus par šī faila privātumu. metodi. Kolsek izteica pieņēmumu, ka papildu rindas varētu būt sajaukušas IE un neļāvušas tai nolasīt SID, taču, kā izrādās, problēma bija citur. Pēc ilgstošas analīzes drošības speciālists cēloni atrada divos piekļuves kontroles saraksta ierakstos, kas pievienoja MHT faila lasīšanas tiesības noteiktam sistēmas pakalpojumam, ko Edge tur pievienoja pēc tā ielādes.
Džeimss Forešovs no īpašās nulles dienas ievainojamības komandas — Google Project Zero —
Tālāk pētnieks vēlējās labāk izprast, kas izraisa IE drošības sistēmas atteici. Padziļināta analīze, izmantojot utilītu Process Monitor un IDA izjaukšanas rīku, galu galā atklāja, ka Edge iestatītā izšķirtspēja neļāva Win Api funkcijai GetZoneFromAlternateDataStreamEx nolasīt Zone.Identifier faila straumi un atgrieza kļūdu. Programmai Internet Explorer šāda kļūda, pieprasot faila drošības uzlīmi, bija pilnīgi negaidīta, un, acīmredzot, pārlūkprogramma uzskatīja, ka kļūda ir līdzvērtīga faktam, ka failam nav atzīmes “mark-of-the-Web”, kas automātiski padara to par uzticamu, pēc tam, kāpēc IE atļāva MHT failā paslēptajam skriptam izpildīt un nosūtīt mērķa lokālo failu uz attālo serveri.
"Vai jūs šeit redzat ironiju?" jautā Kolseks. "Nedokumentēts drošības līdzeklis, ko izmantoja Edge, neitralizēja esošu, neapšaubāmi daudz svarīgāku (tīmekļa zīmi) līdzekli pārlūkprogrammā Internet Explorer."
Neskatoties uz pieaugošo ievainojamības nozīmi, kas ļauj palaist ļaunprātīgu skriptu kā uzticamu skriptu, nekas neliecina, ka Microsoft plāno drīzumā labot kļūdu, ja tā kādreiz tiks novērsta. Tāpēc mēs joprojām iesakām, tāpat kā iepriekšējā rakstā, mainīt noklusējuma programmu MHT failu atvēršanai uz jebkuru modernu pārlūkprogrammu.
Protams, Kolseka pētījumi neiztika bez nelielas sevis PR. Raksta beigās viņš demonstrēja nelielu montāžas valodā rakstītu ielāpu, kurā var izmantot viņa uzņēmuma izstrādāto 0patch servisu. 0patch automātiski nosaka neaizsargātu programmatūru lietotāja datorā un burtiski lidojuma laikā uzliek tai mazus ielāpus. Piemēram, mūsu aprakstītajā gadījumā 0patch aizstās kļūdas ziņojumu funkcijā GetZoneFromAlternateDataStreamEx ar vērtību, kas atbilst neuzticamam failam, kas saņemts no tīkla, lai IE neļautu izpildīt slēptos skriptus saskaņā ar iebūvēto drošības politikā.
Avots: 3dnews.ru