Претходно ние
Доволно чудно, Колсек првично не беше во можност да го репродуцира нападот опишан и демонстриран од Џон, каде што користеше Internet Explorer што работи на Windows 7 за преземање, а потоа отворање на злонамерна датотека MHT. Иако неговиот менаџер за процеси покажа дека system.ini, кој беше планиран да биде украден од него, беше прочитан од скрипта скриена во датотеката MHT, но не беше испратена до оддалечениот сервер.
„Ова изгледаше како класична ознака на веб-ситуација“, пишува Колсек. „Кога датотеката е примена од Интернет, правилно извршените апликации на Windows, како што се веб-прелистувачите и клиентите за е-пошта, додаваат етикета на таквата датотека во форма
Истражувачот потврди дека IE всушност постави таква ознака за преземената датотека MHT. Колсек потоа се обиде да ја преземе истата датотека користејќи го Edge и да ја отвори во IE, која останува стандардна апликација за MHT-датотеките. Неочекувано, експлоатацијата успеа.
Прво, истражувачот го провери „mark-of-the-Web“, се покажа дека Edge го складира и изворот на потеклото на датотеката во алтернативен проток на податоци покрај безбедносниот идентификатор, што може да покрене некои прашања во врска со приватноста на оваа метод. Колсек шпекулираше дека дополнителните линии можеби го збуниле IE и го спречиле да го чита SID, но како што се испостави, проблемот бил на друго место. По долга анализа, специјалистот за безбедност ја пронајде причината во два записи во списокот за контрола на пристап кои го додадоа правото за читање на датотеката MHT на одредена системска услуга, која Edge ја додаде таму откако ќе ја вчита.
Џејмс Форешоу од посветениот тим за ранливост на нула-ден - Google Project Zero -
Потоа, истражувачот сакаше подобро да разбере што предизвикува неуспехот на безбедносниот систем на IE. Продлабочената анализа со помош на алатката Process Monitor и IDA расклопувачот на крајот откри дека поставената резолуција на Edge ја спречила функцијата Win Api GetZoneFromAlternateDataStreamEx да го чита протокот на датотеката Zone.Identifier и вратила грешка. За Internet Explorer, таквата грешка при барањето на безбедносната ознака на датотеката беше сосема неочекувана, и, очигледно, прелистувачот сметаше дека грешката е еквивалентна на фактот дека датотеката нема ознака „ознака на веб“, што автоматски го прави доверлив, па зошто IE дозволи скриптата скриена во датотеката MHT да се изврши и да ја испрати целната локална датотека до оддалечениот сервер.
„Дали ја гледате иронијата овде? прашува Колсек. „Недокументирана безбедносна карактеристика што ја користеше Edge неутрализираше постоечка, несомнено многу поважна (ознака на веб) функција во Internet Explorer“.
И покрај зголеменото значење на ранливоста, која дозволува злонамерната скрипта да се извршува како доверлива скрипта, нема индикации дека Мајкрософт има намера да ја поправи грешката во скоро време, доколку некогаш се поправи. Затоа, сепак препорачуваме, како и во претходната статија, да ја смените стандардната програма за отворање MHT-датотеки на кој било модерен прелистувач.
Се разбира, истражувањето на Колсек не помина без малку само-PR. На крајот од статијата, тој демонстрираше мал лепенка напишана на асемблерски јазик што може да ја користи услугата 0patch развиена од неговата компанија. 0patch автоматски го открива ранливиот софтвер на компјутерот на корисникот и применува мали закрпи на него буквално во лет. На пример, во случајот што го опишавме, 0patch ќе ја замени пораката за грешка во функцијата GetZoneFromAlternateDataStreamEx со вредност што одговара на недоверлива датотека добиена од мрежата, така што IE нема да дозволи никакви скриени скрипти да се извршуваат во согласност со вградената во безбедносната политика.
Извор: 3dnews.ru