Prej smo o odkriti zero-day ranljivosti v Internet Explorerju, ki omogoča uporabo posebej pripravljene datoteke MHT za prenos informacij iz uporabnikovega računalnika na oddaljeni strežnik. Pred kratkim se je to ranljivost, ki jo je odkril strokovnjak za varnost John Page, odločil preveriti in preučiti še en znani specialist na tem področju - Mitya Kolsek, direktor varnostnega revizijskega podjetja ACROS Security in soustanovitelj storitve micropatch 0patch. On celotno kroniko svoje preiskave, ki kaže, da je Microsoft močno podcenjeval resnost težave.
Nenavadno je, da Kolsek sprva ni mogel ponoviti napada, ki ga je opisal in demonstriral John, pri čemer je uporabil Internet Explorer, ki deluje v sistemu Windows 7, da prenese in nato odpre zlonamerno datoteko MHT. Čeprav je njegov upravitelj procesov pokazal, da je system.ini, ki naj bi mu ga ukradli, prebral skript, skrit v datoteki MHT, vendar ni bil poslan na oddaljeni strežnik.
"To je bilo videti kot klasična situacija označevanja spleta," piše Kolsek. »Ko je datoteka prejeta iz interneta, pravilno delujoče aplikacije Windows, kot so spletni brskalniki in e-poštni odjemalci, dodajo oznako tej datoteki v obliki z imenom Zone.Identifier, ki vsebuje niz ZoneId = 3. To drugim aplikacijam sporoči, da je datoteka prišla iz nezaupljivega vira in jo je zato treba odpreti v peskovniku ali drugem omejenem okolju."
Raziskovalec je preveril, da je IE dejansko nastavil takšno oznako za preneseno datoteko MHT. Kolsek je nato poskusil prenesti isto datoteko z Edgeom in jo odpreti v IE, ki ostaja privzeta aplikacija za datoteke MHT. Nepričakovano je izkoriščanje delovalo.
Najprej je raziskovalec preveril »mark-of-the-Web«, izkazalo se je, da Edge poleg varnostnega identifikatorja shrani tudi izvor izvora datoteke v alternativnem toku podatkov, kar lahko sproži nekaj vprašanj glede zasebnosti tega metoda. Kolsek je špekuliral, da so dodatne vrstice morda zmotile IE in mu preprečile branje SID, a kot se je izkazalo, je bila težava drugje. Po dolgotrajni analizi je varnostni specialist našel vzrok v dveh vnosih v seznamu za nadzor dostopa, ki sta določeni sistemski storitvi dodala pravico do branja datoteke MHT, ki jo je Edge dodal tja po nalaganju.
James Foreshaw iz namenske ekipe za ranljivost zero-day - Google Project Zero - je tvitnil, da se vnosi, ki jih je dodal Edge, nanašajo na varnostne identifikatorje skupine za paket Microsoft.MicrosoftEdge_8wekyb3d8bbwe. Po odstranitvi druge vrstice SID S-1-15-2 - * s seznama za nadzor dostopa zlonamerne datoteke izkoriščanje ni več delovalo. Posledično je nekako dovoljenje, ki ga je dodal Edge, datoteki omogočilo, da obide peskovnik v IE. Kot so predlagali Kolsek in njegovi kolegi, Edge ta dovoljenja uporablja za zaščito prenesenih datotek pred dostopom procesov z nizkim zaupanjem, tako da datoteko izvaja v delno izoliranem okolju.
Nato je raziskovalec želel bolje razumeti, kaj povzroča odpoved varnostnega sistema IE. Poglobljena analiza z uporabo pripomočka Process Monitor in disassemblerja IDA je na koncu razkrila, da je nastavljena ločljivost Edge preprečila funkciji Win Api GetZoneFromAlternateDataStreamEx branje toka datoteke Zone.Identifier in vrnila napako. Za Internet Explorer je bila takšna napaka pri zahtevi po varnostni oznaki datoteke popolnoma nepričakovana in očitno je brskalnik menil, da je napaka enakovredna dejstvu, da datoteka nima oznake »mark-of-the-Web«, zaradi česar je samodejno zaupanja vreden, potem ko je IE dovolil, da se skript, skrit v datoteki MHT, izvede in pošlje ciljno lokalno datoteko oddaljenemu strežniku.
"Vidiš ironijo tukaj?" se sprašuje Kolšek. "Nedokumentirana varnostna funkcija, ki jo je uporabil Edge, je nevtralizirala obstoječo, nedvomno veliko pomembnejšo (mark-of-the-Web) funkcijo v Internet Explorerju."
Kljub povečanemu pomenu ranljivosti, ki omogoča zagon zlonamernega skripta kot zaupanja vrednega skripta, nič ne kaže, da namerava Microsoft kmalu odpraviti napako, če bo sploh odpravljena. Zato še vedno priporočamo, da kot v prejšnjem članku spremenite privzeti program za odpiranje datotek MHT v katerem koli sodobnem brskalniku.
Seveda pri Kolškovem raziskovanju ni šlo brez malce samo-PR-a. Na koncu članka je prikazal majhen popravek, napisan v zbirnem jeziku, ki lahko uporablja storitev 0patch, ki jo je razvilo njegovo podjetje. 0patch samodejno zazna ranljivo programsko opremo na uporabnikovem računalniku in nanjo namesti majhne popravke dobesedno sproti. Na primer, v primeru, ki smo ga opisali, bo 0patch nadomestil sporočilo o napaki v funkciji GetZoneFromAlternateDataStreamEx z vrednostjo, ki ustreza nezaupljivi datoteki, prejeti iz omrežja, tako da IE ne bo dovolil izvajanja skritih skriptov v skladu z vgrajeno v varnostni politiki.
Vir: 3dnews.ru