Претходно ние за откриена ранливост на нула-ден во Internet Explorer, која овозможува користење на специјално подготвена датотека MHT за преземање информации од компјутерот на корисникот на оддалечен сервер. Неодамна, оваа ранливост, откриена од специјалистот за безбедност Џон Пејџ, одлучи да провери и проучи уште еден познат специјалист во оваа област - Митија Колсек, директор на ACROS Security, компанија за безбедносна ревизија и ко-основач на услугата micropatch 0patch. Тој целосна хроника на нејзината истрага, што укажува дека Мајкрософт значително ја потцени сериозноста на проблемот.
Доволно чудно, Колсек првично не беше во можност да го репродуцира нападот опишан и демонстриран од Џон, каде што користеше Internet Explorer што работи на Windows 7 за преземање, а потоа отворање на злонамерна датотека MHT. Иако неговиот менаџер за процеси покажа дека system.ini, кој беше планиран да биде украден од него, беше прочитан од скрипта скриена во датотеката MHT, но не беше испратена до оддалечениот сервер.
„Ова изгледаше како класична ознака на веб-ситуација“, пишува Колсек. „Кога датотеката е примена од Интернет, правилно извршените апликации на Windows, како што се веб-прелистувачите и клиентите за е-пошта, додаваат етикета на таквата датотека во форма со име Zone.Идентификатор што ја содржи низата ZoneId = 3. Ова им дава до знаење на другите апликации дека датотеката доаѓа од недоверлив извор и затоа треба да се отвори во песок или друга ограничена околина."
Истражувачот потврди дека IE всушност постави таква ознака за преземената датотека MHT. Колсек потоа се обиде да ја преземе истата датотека користејќи го Edge и да ја отвори во IE, која останува стандардна апликација за MHT-датотеките. Неочекувано, експлоатацијата успеа.
Прво, истражувачот го провери „mark-of-the-Web“, се покажа дека Edge го складира и изворот на потеклото на датотеката во алтернативен проток на податоци покрај безбедносниот идентификатор, што може да покрене некои прашања во врска со приватноста на оваа метод. Колсек шпекулираше дека дополнителните линии можеби го збуниле IE и го спречиле да го чита SID, но како што се испостави, проблемот бил на друго место. По долга анализа, специјалистот за безбедност ја пронајде причината во два записи во списокот за контрола на пристап кои го додадоа правото за читање на датотеката MHT на одредена системска услуга, која Edge ја додаде таму откако ќе ја вчита.
Џејмс Форешоу од посветениот тим за ранливост на нула-ден - Google Project Zero - твитна дека записите додадени од Edge се однесуваат на групни безбедносни идентификатори за пакетот Microsoft.MicrosoftEdge_8wekyb3d8bbwe. По отстранувањето на втората линија на SID S-1-15-2 - * од списокот за контрола на пристап на злонамерната датотека, експлоатацијата повеќе не работеше. Како резултат на тоа, некако дозволата додадена од Edge дозволи датотеката да го заобиколи песокот во IE. Како што предложија Колсек и неговите колеги, Edge ги користи овие дозволи за да ги заштити преземените датотеки од пристап преку процеси со мала доверба со извршување на датотеката во делумно изолирана средина.
Потоа, истражувачот сакаше подобро да разбере што предизвикува неуспехот на безбедносниот систем на IE. Продлабочената анализа со помош на алатката Process Monitor и IDA расклопувачот на крајот откри дека поставената резолуција на Edge ја спречила функцијата Win Api GetZoneFromAlternateDataStreamEx да го чита протокот на датотеката Zone.Identifier и вратила грешка. За Internet Explorer, таквата грешка при барањето на безбедносната ознака на датотеката беше сосема неочекувана, и, очигледно, прелистувачот сметаше дека грешката е еквивалентна на фактот дека датотеката нема ознака „ознака на веб“, што автоматски го прави доверлив, па зошто IE дозволи скриптата скриена во датотеката MHT да се изврши и да ја испрати целната локална датотека до оддалечениот сервер.
„Дали ја гледате иронијата овде? прашува Колсек. „Недокументирана безбедносна карактеристика што ја користеше Edge неутрализираше постоечка, несомнено многу поважна (ознака на веб) функција во Internet Explorer“.
И покрај зголеменото значење на ранливоста, која дозволува злонамерната скрипта да се извршува како доверлива скрипта, нема индикации дека Мајкрософт има намера да ја поправи грешката во скоро време, доколку некогаш се поправи. Затоа, сепак препорачуваме, како и во претходната статија, да ја смените стандардната програма за отворање MHT-датотеки на кој било модерен прелистувач.
Се разбира, истражувањето на Колсек не помина без малку само-PR. На крајот од статијата, тој демонстрираше мал лепенка напишана на асемблерски јазик што може да ја користи услугата 0patch развиена од неговата компанија. 0patch автоматски го открива ранливиот софтвер на компјутерот на корисникот и применува мали закрпи на него буквално во лет. На пример, во случајот што го опишавме, 0patch ќе ја замени пораката за грешка во функцијата GetZoneFromAlternateDataStreamEx со вредност што одговара на недоверлива датотека добиена од мрежата, така што IE нема да дозволи никакви скриени скрипти да се извршуваат во согласност со вградената во безбедносната политика.
Извор: 3dnews.ru