eerder wij over een ontdekte zero-day kwetsbaarheid in Internet Explorer, waardoor een speciaal geprepareerd MHT-bestand kan worden gebruikt om informatie van de computer van de gebruiker naar een externe server te downloaden. Onlangs besloot deze kwetsbaarheid, ontdekt door beveiligingsspecialist John Page, een andere bekende specialist op dit gebied te controleren en te bestuderen: Mitya Kolsek, directeur van ACROS Security, een beveiligingsauditbedrijf, en mede-oprichter van de micropatch-service 0patch. Hij volledige kroniek van zijn onderzoek, waaruit blijkt dat Microsoft de ernst van het probleem aanzienlijk heeft onderschat.
Vreemd genoeg was Kolsek aanvankelijk niet in staat de door John beschreven en gedemonstreerde aanval te reproduceren, waarbij hij Internet Explorer op Windows 7 gebruikte om een kwaadaardig MHT-bestand te downloaden en vervolgens te openen. Hoewel zijn procesmanager liet zien dat system.ini, dat van hemzelf zou worden gestolen, werd gelezen door een script dat verborgen was in het MHT-bestand, maar niet naar de externe server werd gestuurd.
“Dit leek op een klassieke mark-of-the-web-situatie”, schrijft Kolsek. “Wanneer een bestand van internet wordt ontvangen, voegen correct werkende Windows-applicaties zoals webbrowsers en e-mailclients een label toe aan zo’n bestand in de vorm met de naam Zone.Identifier met de tekenreeks ZoneId = 3. Hierdoor weten andere toepassingen dat het bestand afkomstig is van een niet-vertrouwde bron en daarom moet worden geopend in een sandbox of een andere beperkte omgeving.'
De onderzoeker verifieerde dat IE daadwerkelijk een dergelijk label voor het gedownloade MHT-bestand had ingesteld. Kolsek probeerde vervolgens hetzelfde bestand te downloaden met Edge en het te openen in IE, wat de standaardapplicatie voor MHT-bestanden blijft. Onverwachts werkte de exploit.
Eerst controleerde de onderzoeker “mark-of-the-Web”. Het bleek dat Edge naast de beveiligingsidentificatie ook de bron van de oorsprong van het bestand opslaat in een alternatieve gegevensstroom, wat enkele vragen kan oproepen over de privacy van dit bestand. methode. Kolsek speculeerde dat de extra regels IE misschien in verwarring hadden gebracht en verhinderden dat het de SID kon lezen, maar het bleek dat het probleem ergens anders lag. Na een langdurige analyse vond de beveiligingsspecialist de oorzaak in twee vermeldingen in de toegangscontrolelijst die het recht om het MHT-bestand te lezen toevoegden aan een bepaalde systeemdienst, die Edge daar toevoegde na het laden ervan.
James Foreshaw van het toegewijde zero-day kwetsbaarheidsteam - Google Project Zero - tweette dat de door Edge toegevoegde vermeldingen verwijzen naar groepsbeveiligings-ID's voor het pakket Microsoft.MicrosoftEdge_8wekyb3d8bbwe. Nadat de tweede regel van SID S-1-15-2 - * uit de toegangscontrolelijst van het kwaadaardige bestand was verwijderd, werkte de exploit niet meer. Als gevolg hiervan zorgde de door Edge toegevoegde toestemming er op de een of andere manier voor dat het bestand de sandbox in IE kon omzeilen. Zoals Kolsek en zijn collega's suggereerden, gebruikt Edge deze machtigingen om gedownloade bestanden te beschermen tegen toegang door processen met weinig vertrouwen, door het bestand in een gedeeltelijk geïsoleerde omgeving uit te voeren.
Vervolgens wilde de onderzoeker beter begrijpen waardoor het beveiligingssysteem van IE faalt. Een diepgaande analyse met behulp van het hulpprogramma Process Monitor en de IDA-disassembler bracht uiteindelijk aan het licht dat de ingestelde resolutie van de Edge verhinderde dat de Win Api-functie GetZoneFromAlternateDataStreamEx de Zone.Identifier-bestandsstream las en een fout retourneerde. Voor Internet Explorer was een dergelijke fout bij het opvragen van het beveiligingslabel van een bestand volkomen onverwacht, en blijkbaar was de browser van mening dat de fout gelijk stond aan het feit dat het bestand geen 'mark-of-the-web'-markering had. waardoor het automatisch vertrouwd wordt, nadat IE toestond dat het script dat verborgen was in het MHT-bestand werd uitgevoerd en het lokale doelbestand naar de externe server werd verzonden.
“Zie je hier de ironie van?” vraagt Kolsek. "Een ongedocumenteerde beveiligingsfunctie die door Edge werd gebruikt, neutraliseerde een bestaande, ongetwijfeld veel belangrijkere (mark-of-the-Web) functie in Internet Explorer."
Ondanks het toegenomen belang van de kwetsbaarheid, waardoor een kwaadaardig script kan worden uitgevoerd als een vertrouwd script, zijn er geen aanwijzingen dat Microsoft van plan is de bug binnenkort te repareren, als deze ooit wordt opgelost. Daarom raden we nog steeds aan dat u, net als in het vorige artikel, het standaardprogramma voor het openen van MHT-bestanden in elke moderne browser wijzigt.
Natuurlijk ging Kolseks onderzoek niet zonder een beetje zelf-PR. Aan het einde van het artikel demonstreerde hij een kleine patch geschreven in assembleertaal die gebruik kan maken van de 0patch-service die door zijn bedrijf is ontwikkeld. 0patch detecteert automatisch kwetsbare software op de computer van de gebruiker en past er letterlijk on-the-fly kleine patches op toe. In het door ons beschreven geval zal 0patch bijvoorbeeld de foutmelding in de GetZoneFromAlternateDataStreamEx-functie vervangen door een waarde die overeenkomt met een niet-vertrouwd bestand dat is ontvangen van het netwerk, zodat IE niet zal toestaan dat verborgen scripts worden uitgevoerd in overeenstemming met de ingebouwde op het gebied van het veiligheidsbeleid.
Bron: 3dnews.ru