Skôr my
Napodiv, Kolsek nebol spočiatku schopný reprodukovať útok opísaný a demonštrovaný Johnom, kde použil Internet Explorer bežiaci na Windows 7 na stiahnutie a následné otvorenie škodlivého súboru MHT. Hoci jeho manažér procesov ukázal, že system.ini, ktorý mal byť odcudzený jemu samému, bol prečítaný skriptom skrytým v súbore MHT, ale nebol odoslaný na vzdialený server.
„Vyzeralo to ako klasická situácia typu Mark-of-the-Web,“ píše Kolsek. „Keď je súbor prijatý z internetu, správne spustené aplikácie Windows, ako sú webové prehliadače a e-mailové klienty, pridajú k takémuto súboru štítok vo forme
Výskumník overil, že IE skutočne nastavil takéto označenie pre stiahnutý súbor MHT. Kolsek sa potom pokúsil stiahnuť rovnaký súbor pomocou Edge a otvoriť ho v IE, ktorý zostáva predvolenou aplikáciou pre súbory MHT. Nečakane, exploit fungoval.
Najprv výskumník skontroloval „mark-of-the-Web“, ukázalo sa, že Edge okrem bezpečnostného identifikátora ukladá aj zdroj pôvodu súboru v alternatívnom dátovom toku, čo môže vyvolať určité otázky týkajúce sa súkromia tohto súboru. metóda. Kolsek špekuloval, že ďalšie riadky mohli zmiasť IE a zabrániť mu v čítaní SID, ale ako sa ukázalo, problém bol inde. Po zdĺhavej analýze bezpečnostný špecialista našiel príčinu v dvoch záznamoch v zozname prístupových práv, ktoré pridali právo čítať súbor MHT určitej systémovej službe, ktorú tam Edge pridal po načítaní.
James Foreshaw zo špecializovaného tímu zero-day zraniteľnosti – Google Project Zero –
Ďalej chcel výskumník lepšie pochopiť, čo spôsobuje zlyhanie bezpečnostného systému IE. Hĺbková analýza pomocou nástroja Process Monitor a disassembler IDA nakoniec odhalila, že nastavené rozlíšenie Edge bránilo funkcii Win Api GetZoneFromAlternateDataStreamEx čítať stream súboru Zone.Identifier a vrátilo chybu. V prípade prehliadača Internet Explorer bola takáto chyba pri vyžiadaní bezpečnostného označenia súboru úplne neočakávaná a prehliadač zjavne považoval chybu za ekvivalentnú skutočnosti, že súbor nemal značku „mark-of-the-Web“, čo ho automaticky robí dôveryhodným, potom, čo IE povolil skriptu skrytému v súbore MHT spustiť a odoslať cieľový lokálny súbor na vzdialený server.
"Vidíš tu iróniu?" pýta sa Kolsek. "Nezdokumentovaná bezpečnostná funkcia používaná Edge neutralizovala existujúcu, nepochybne oveľa dôležitejšiu (mark-of-the-Web) funkciu v Internet Exploreri."
Napriek zvýšenému významu tejto chyby zabezpečenia, ktorá umožňuje spúšťať škodlivý skript ako dôveryhodný skript, nič nenasvedčuje tomu, že spoločnosť Microsoft má v úmysle chybu v dohľadnej dobe opraviť, ak sa niekedy opraví. Preto stále odporúčame, ako v predchádzajúcom článku, zmeniť predvolený program na otváranie súborov MHT na akýkoľvek moderný prehliadač.
Samozrejme, Kolsekov výskum sa nezaobišiel bez malého sebaPR. Na konci článku predviedol malý patch napísaný v assembleri, ktorý môže využívať službu 0patch vyvinutú jeho spoločnosťou. 0patch automaticky deteguje zraniteľný softvér v počítači používateľa a aplikuje naň malé opravy doslova za chodu. Napríklad v prípade, ktorý sme opísali, 0patch nahradí chybové hlásenie vo funkcii GetZoneFromAlternateDataStreamEx hodnotou zodpovedajúcou nedôveryhodnému súboru prijatému zo siete, takže IE nedovolí spustiť žiadne skryté skripty v súlade so vstavaným v bezpečnostnej politike.
Zdroj: 3dnews.ru