Өмнө нь бид Хэрэглэгчийн компьютерээс алсын сервер рүү мэдээллийг татаж авахын тулд тусгайлан бэлтгэсэн MHT файлыг ашиглах боломжийг олгодог Internet Explorer-ийн 0 өдрийн эмзэг байдлын тухай. Саяхан аюулгүй байдлын мэргэжилтэн Жон Пейж илрүүлсэн энэхүү эмзэг байдлыг энэ салбарын өөр нэг алдартай мэргэжилтэн болох ACROS Security аюулгүй байдлын аудитын компанийн захирал, XNUMXpatch micropatch үйлчилгээний үүсгэн байгуулагч Митя Колсек шалгаж, судлахаар шийджээ. Тэр Мөрдөн байцаалтын бүрэн түүх нь Microsoft нь асуудлын ноцтой байдлыг дутуу үнэлснийг харуулж байна.
Хачирхалтай нь, Колсек Жонны тайлбарлаж, үзүүлсэн халдлагыг эхэндээ давтаж чадаагүй бөгөөд Windows 7 дээр ажиллаж байгаа Internet Explorer программыг ашиглан хортой MHT файлыг татаж аваад нээжээ. Хэдийгээр түүний процессын менежер өөрөөс нь хулгайлахаар төлөвлөж байсан system.ini-г MHT файлд нуугдсан скриптээр уншсан боловч алсын сервер рүү илгээгээгүй гэдгийг харуулсан.
"Энэ бол вэбийн сонгодог нөхцөл байдал шиг харагдаж байсан" гэж Колсек бичжээ. "Интернэтээс файл хүлээн авах үед вэб хөтчүүд болон имэйл клиент зэрэг Windows програмуудыг зөв ажиллуулж байгаа нь ийм файлд шошгыг маягт дээр нэмдэг. ZoneId = 3 мөрийг агуулсан Zone.Identifier нэртэй. Энэ нь бусад програмуудад файл нь итгэмжгүй эх сурвалжаас ирсэн гэдгийг мэдэх боломжийг олгодог тул хамгаалагдсан хязгаарлагдмал орчинд эсвэл бусад хязгаарлагдмал орчинд нээх хэрэгтэй."
Судлаач IE үнэхээр татаж авсан MHT файлд ийм шошго тавьсан болохыг баталжээ. Дараа нь Kolsek Edge ашиглан ижил файлыг татаж аваад IE дээр нээхийг оролдсон бөгөөд энэ нь MHT файлуудын анхдагч програм хэвээр байна. Гэнэтийн мөлжлөг амжилттай болсон.
Эхлээд судлаач "Вэбийн тэмдэглэгээ"-г шалгасан бөгөөд Edge нь файлын гарал үүслийн эх сурвалжийг аюулгүй байдлын танигчаас гадна өөр мэдээллийн урсгалд хадгалдаг болох нь тогтоогдсон бөгөөд энэ нь нууцлалын талаарх зарим асуултыг үүсгэж болзошгүй юм. арга. Нэмэлт мөрүүд нь IE-г төөрөлдүүлж, SID уншихаас сэргийлсэн байж магадгүй гэж Колсек таамаглаж байсан ч асуудал өөр газар байсан нь тодорхой болсон. Удаан хугацааны туршид дүн шинжилгээ хийсний дараа аюулгүй байдлын мэргэжилтэн MHT файлыг тодорхой системийн үйлчилгээнд унших эрхийг нэмсэн хандалтын хяналтын жагсаалтын хоёр оруулгаас шалтгааныг олж илрүүлсэн бөгөөд Edge үүнийг ачаалсны дараа нэмсэн.
Жеймс Форешоу, тусгай зориулалтын XNUMX өдрийн эмзэг байдлын багийнхан - Google Project Zero - Edge-ийн нэмсэн оруулгууд нь Microsoft.MicrosoftEdge_8wekyb3d8bbwe багцын аюулгүй байдлын бүлгийн таниулбаруудад хамааралтай гэж жиргэжээ. Хортой файлын хандалтын хяналтын жагсаалтаас SID S-1-15-2 - * хоёр дахь мөрийг устгасны дараа эксплойт ажиллахаа больсон. Үүний үр дүнд Edge-ийн нэмсэн зөвшөөрөл нь файлыг IE дэх хамгаалагдсан хязгаарлагдмал орчинг тойрч гарах боломжийг олгосон. Колсек болон түүний хамтран ажиллагсдын санал болгосноор Edge нь эдгээр зөвшөөрлүүдийг ашиглан татаж авсан файлуудыг найдвартай бус процессоор нэвтрэхээс хамгаалж, файлыг хэсэгчлэн тусгаарлагдсан орчинд ажиллуулдаг.
Дараа нь судлаач IE-ийн хамгаалалтын систем яагаад бүтэлгүйтдэгийг илүү сайн ойлгохыг хүссэн. Process Monitor хэрэгсэл болон IDA дизассемблер ашиглан хийсэн нарийвчилсан дүн шинжилгээ нь эцэст нь Edge-ийн тогтоосон нарийвчлал нь Win Api функц GetZoneFromAlternateDataStreamEx-д Zone.Identifier файлын урсгалыг уншихаас сэргийлж, алдаа гаргасныг илрүүлсэн. Internet Explorer-ийн хувьд файлын аюулгүй байдлын шошго хүсэх үед ийм алдаа гарсан нь огт санаанд оромгүй байсан бөгөөд хөтөч нь уг алдаа нь файлд "Вэбийн тэмдэг" тэмдэггүй байсантай дүйцэхүйц гэж үзсэн бололтой. IE яагаад MHT файлд нуугдсан скриптийг ажиллуулж, зорилтот локал файлыг алсын сервер рүү илгээхийг зөвшөөрсний дараа энэ нь автоматаар үүнийг найдвартай болгодог.
"Чи эндээс инээдэмтэй байгааг харж байна уу?" гэж Колсек асуув. "Edge-ийн ашигладаг баримтжуулаагүй хамгаалалтын функц нь Internet Explorer дээр байгаа, илүү чухал (вэб-ийн тэмдэглэгээ) функцийг саармагжуулсан."
Хортой скриптийг итгэмжлэгдсэн скрипт болгон ажиллуулах боломжийг олгодог эмзэг байдлын ач холбогдол нэмэгдэж байгаа хэдий ч Microsoft энэ алдааг засах юм бол удахгүй засах бодолтой байгаа гэсэн мэдээлэл алга байна. Тиймээс бид өмнөх нийтлэлийн адил MHT файлуудыг нээх үндсэн програмыг орчин үеийн ямар ч хөтөч рүү өөрчлөхийг зөвлөж байна.
Мэдээжийн хэрэг, Кольсекийн судалгаа бага зэрэг өөрийгөө PRгүйгээр өнгөрөөгүй. Өгүүллийн төгсгөлд тэрээр өөрийн компанийн боловсруулсан 0patch үйлчилгээг ашиглах боломжтой ассемблер хэлээр бичсэн жижиг нөхөөсийг үзүүлэв. 0patch нь хэрэглэгчийн компьютер дээрх эмзэг программ хангамжийг автоматаар илрүүлж, жижиг засваруудыг шууд утгаараа хийдэг. Жишээлбэл, бидний тайлбарласан тохиолдолд 0patch нь GetZoneFromAlternateDataStreamEx функцийн алдааны мэдэгдлийг сүлжээнээс хүлээн авсан итгэмжгүй файлд тохирох утгаараа орлуулах бөгөөд ингэснээр IE нь далд скриптүүдийг суулгасан програмын дагуу гүйцэтгэхийг зөвшөөрөхгүй. аюулгүй байдлын бодлогод.
Эх сурвалж: 3dnews.ru