Agrāk mēs par atklāto nulles dienas ievainojamību pārlūkprogrammā Internet Explorer, kas ļauj, izmantojot speciāli sagatavotu MHT failu, lai lejupielādētu informāciju no lietotāja datora uz attālo serveri. Nesen šī ievainojamība, ko atklāja drošības speciālists Džons Peidžs, nolēma pārbaudīt un izpētīt vēl vienu pazīstamu šīs jomas speciālistu - Mitju Kolšeku, drošības audita kompānijas ACROS Security direktoru un mikropatch servisa 0patch līdzdibinātāju. Viņš pilnu savas izmeklēšanas hroniku, norādot, ka Microsoft būtiski par zemu novērtēja problēmas nopietnību.
Savādi, ka Kolseks sākotnēji nespēja reproducēt Džona aprakstīto un demonstrēto uzbrukumu, kurā viņš izmantoja Internet Explorer, kas darbojas operētājsistēmā Windows 7, lai lejupielādētu un pēc tam atvērtu ļaunprātīgu MHT failu. Viņa procesa vadītājs gan rādīja, ka system.ini, kuru bija plānots nozagt viņam pašam, nolasīja MHT failā paslēpts skripts, taču tas netika nosūtīts uz attālo serveri.
"Šī izskatījās pēc klasiskas tīmekļa vietnes situācijas," raksta Kolseks. “Kad fails tiek saņemts no interneta, pareizi darbojošās Windows lietojumprogrammas, piemēram, tīmekļa pārlūkprogrammas un e-pasta klienti, pievieno etiķeti šādam failam veidlapā ar nosaukumu Zone.Identifier, kas satur virkni ZoneId = 3. Tas ļauj citām lietojumprogrammām zināt, ka fails ir no neuzticama avota un tāpēc tas ir jāatver smilškastē vai citā ierobežotā vidē."
Pētnieks pārbaudīja, vai IE faktiski iestatīja šādu etiķeti lejupielādētajam MHT failam. Pēc tam Kolsek mēģināja lejupielādēt to pašu failu, izmantojot Edge, un atvērt to IE, kas joprojām ir noklusējuma lietojumprogramma MHT failiem. Negaidīti ekspluatācija nostrādāja.
Pirmkārt, pētnieks pārbaudīja “mark-of-the-Web”, izrādījās, ka Edge papildus drošības identifikatoram saglabā arī faila izcelsmes avotu alternatīvā datu plūsmā, kas var radīt dažus jautājumus par šī faila privātumu. metodi. Kolsek izteica pieņēmumu, ka papildu rindas varētu būt sajaukušas IE un neļāvušas tai nolasīt SID, taču, kā izrādās, problēma bija citur. Pēc ilgstošas analīzes drošības speciālists cēloni atrada divos piekļuves kontroles saraksta ierakstos, kas pievienoja MHT faila lasīšanas tiesības noteiktam sistēmas pakalpojumam, ko Edge tur pievienoja pēc tā ielādes.
Džeimss Forešovs no īpašās nulles dienas ievainojamības komandas — Google Project Zero — tvītoja, ka Edge pievienotie ieraksti attiecas uz pakotnes Microsoft.MicrosoftEdge_8wekyb3d8bbwe grupas drošības identifikatoriem. Pēc SID S-1-15-2 - * otrās rindiņas noņemšanas no ļaunprātīgā faila piekļuves kontroles saraksta, ļaunprātīgā faila izmantošana vairs nedarbojās. Rezultātā Edge pievienotā atļauja kaut kā ļāva failam apiet IE smilškaste. Kā ieteica Kolseks un viņa kolēģi, Edge izmanto šīs atļaujas, lai aizsargātu lejupielādētos failus no zemas uzticamības procesu piekļuves, palaižot failu daļēji izolētā vidē.
Tālāk pētnieks vēlējās labāk izprast, kas izraisa IE drošības sistēmas atteici. Padziļināta analīze, izmantojot utilītu Process Monitor un IDA izjaukšanas rīku, galu galā atklāja, ka Edge iestatītā izšķirtspēja neļāva Win Api funkcijai GetZoneFromAlternateDataStreamEx nolasīt Zone.Identifier faila straumi un atgrieza kļūdu. Programmai Internet Explorer šāda kļūda, pieprasot faila drošības uzlīmi, bija pilnīgi negaidīta, un, acīmredzot, pārlūkprogramma uzskatīja, ka kļūda ir līdzvērtīga faktam, ka failam nav atzīmes “mark-of-the-Web”, kas automātiski padara to par uzticamu, pēc tam, kāpēc IE atļāva MHT failā paslēptajam skriptam izpildīt un nosūtīt mērķa lokālo failu uz attālo serveri.
"Vai jūs šeit redzat ironiju?" jautā Kolseks. "Nedokumentēts drošības līdzeklis, ko izmantoja Edge, neitralizēja esošu, neapšaubāmi daudz svarīgāku (tīmekļa zīmi) līdzekli pārlūkprogrammā Internet Explorer."
Neskatoties uz pieaugošo ievainojamības nozīmi, kas ļauj palaist ļaunprātīgu skriptu kā uzticamu skriptu, nekas neliecina, ka Microsoft plāno drīzumā labot kļūdu, ja tā kādreiz tiks novērsta. Tāpēc mēs joprojām iesakām, tāpat kā iepriekšējā rakstā, mainīt noklusējuma programmu MHT failu atvēršanai uz jebkuru modernu pārlūkprogrammu.
Protams, Kolseka pētījumi neiztika bez nelielas sevis PR. Raksta beigās viņš demonstrēja nelielu montāžas valodā rakstītu ielāpu, kurā var izmantot viņa uzņēmuma izstrādāto 0patch servisu. 0patch automātiski nosaka neaizsargātu programmatūru lietotāja datorā un burtiski lidojuma laikā uzliek tai mazus ielāpus. Piemēram, mūsu aprakstītajā gadījumā 0patch aizstās kļūdas ziņojumu funkcijā GetZoneFromAlternateDataStreamEx ar vērtību, kas atbilst neuzticamam failam, kas saņemts no tīkla, lai IE neļautu izpildīt slēptos skriptus saskaņā ar iebūvēto drošības politikā.
Avots: 3dnews.ru