Skôr my o objavenej zero-day zraniteľnosti v Internet Exploreri, ktorá umožňuje pomocou špeciálne pripraveného súboru MHT sťahovať informácie z počítača používateľa na vzdialený server. Nedávno sa túto zraniteľnosť, ktorú objavil bezpečnostný špecialista John Page, rozhodol preveriť a preštudovať ďalšieho známeho špecialistu v tejto oblasti – Mitya Kolseka, riaditeľa spoločnosti ACROS Security, spoločnosti zaoberajúcej sa bezpečnostným auditom, a spoluzakladateľa mikropatchovej služby 0patch. On celú kroniku svojho vyšetrovania, čo naznačuje, že Microsoft výrazne podcenil závažnosť problému.
Napodiv, Kolsek nebol spočiatku schopný reprodukovať útok opísaný a demonštrovaný Johnom, kde použil Internet Explorer bežiaci na Windows 7 na stiahnutie a následné otvorenie škodlivého súboru MHT. Hoci jeho manažér procesov ukázal, že system.ini, ktorý mal byť odcudzený jemu samému, bol prečítaný skriptom skrytým v súbore MHT, ale nebol odoslaný na vzdialený server.
„Vyzeralo to ako klasická situácia typu Mark-of-the-Web,“ píše Kolsek. „Keď je súbor prijatý z internetu, správne spustené aplikácie Windows, ako sú webové prehliadače a e-mailové klienty, pridajú k takémuto súboru štítok vo forme s názvom Zone.Identifier obsahujúci reťazec ZoneId = 3. Toto dáva ostatným aplikáciám vedieť, že súbor pochádza z nedôveryhodného zdroja, a preto by sa mal otvoriť v karanténe alebo inom obmedzenom prostredí.“
Výskumník overil, že IE skutočne nastavil takéto označenie pre stiahnutý súbor MHT. Kolsek sa potom pokúsil stiahnuť rovnaký súbor pomocou Edge a otvoriť ho v IE, ktorý zostáva predvolenou aplikáciou pre súbory MHT. Nečakane, exploit fungoval.
Najprv výskumník skontroloval „mark-of-the-Web“, ukázalo sa, že Edge okrem bezpečnostného identifikátora ukladá aj zdroj pôvodu súboru v alternatívnom dátovom toku, čo môže vyvolať určité otázky týkajúce sa súkromia tohto súboru. metóda. Kolsek špekuloval, že ďalšie riadky mohli zmiasť IE a zabrániť mu v čítaní SID, ale ako sa ukázalo, problém bol inde. Po zdĺhavej analýze bezpečnostný špecialista našiel príčinu v dvoch záznamoch v zozname prístupových práv, ktoré pridali právo čítať súbor MHT určitej systémovej službe, ktorú tam Edge pridal po načítaní.
James Foreshaw zo špecializovaného tímu zero-day zraniteľnosti – Google Project Zero – tweetoval, že položky pridané Edge odkazujú na identifikátory zabezpečenia skupiny pre balík Microsoft.MicrosoftEdge_8wekyb3d8bbwe. Po odstránení druhého riadku SID S-1-15-2 - * zo zoznamu riadenia prístupu škodlivého súboru už exploit nefungoval. Výsledkom bolo, že povolenie pridané Edge umožnilo súboru obísť karanténu v IE. Ako Kolsek a jeho kolegovia navrhli, Edge používa tieto povolenia na ochranu stiahnutých súborov pred prístupom nízko dôveryhodných procesov spustením súboru v čiastočne izolovanom prostredí.
Ďalej chcel výskumník lepšie pochopiť, čo spôsobuje zlyhanie bezpečnostného systému IE. Hĺbková analýza pomocou nástroja Process Monitor a disassembler IDA nakoniec odhalila, že nastavené rozlíšenie Edge bránilo funkcii Win Api GetZoneFromAlternateDataStreamEx čítať stream súboru Zone.Identifier a vrátilo chybu. V prípade prehliadača Internet Explorer bola takáto chyba pri vyžiadaní bezpečnostného označenia súboru úplne neočakávaná a prehliadač zjavne považoval chybu za ekvivalentnú skutočnosti, že súbor nemal značku „mark-of-the-Web“, čo ho automaticky robí dôveryhodným, potom, čo IE povolil skriptu skrytému v súbore MHT spustiť a odoslať cieľový lokálny súbor na vzdialený server.
"Vidíš tu iróniu?" pýta sa Kolsek. "Nezdokumentovaná bezpečnostná funkcia používaná Edge neutralizovala existujúcu, nepochybne oveľa dôležitejšiu (mark-of-the-Web) funkciu v Internet Exploreri."
Napriek zvýšenému významu tejto chyby zabezpečenia, ktorá umožňuje spúšťať škodlivý skript ako dôveryhodný skript, nič nenasvedčuje tomu, že spoločnosť Microsoft má v úmysle chybu v dohľadnej dobe opraviť, ak sa niekedy opraví. Preto stále odporúčame, ako v predchádzajúcom článku, zmeniť predvolený program na otváranie súborov MHT na akýkoľvek moderný prehliadač.
Samozrejme, Kolsekov výskum sa nezaobišiel bez malého sebaPR. Na konci článku predviedol malý patch napísaný v assembleri, ktorý môže využívať službu 0patch vyvinutú jeho spoločnosťou. 0patch automaticky deteguje zraniteľný softvér v počítači používateľa a aplikuje naň malé opravy doslova za chodu. Napríklad v prípade, ktorý sme opísali, 0patch nahradí chybové hlásenie vo funkcii GetZoneFromAlternateDataStreamEx hodnotou zodpovedajúcou nedôveryhodnému súboru prijatému zo siete, takže IE nedovolí spustiť žiadne skryté skripty v súlade so vstavaným v bezpečnostnej politike.
Zdroj: 3dnews.ru