Prej smo
Nenavadno je, da Kolsek sprva ni mogel ponoviti napada, ki ga je opisal in demonstriral John, pri čemer je uporabil Internet Explorer, ki deluje v sistemu Windows 7, da prenese in nato odpre zlonamerno datoteko MHT. Čeprav je njegov upravitelj procesov pokazal, da je system.ini, ki naj bi mu ga ukradli, prebral skript, skrit v datoteki MHT, vendar ni bil poslan na oddaljeni strežnik.
"To je bilo videti kot klasična situacija označevanja spleta," piše Kolsek. »Ko je datoteka prejeta iz interneta, pravilno delujoče aplikacije Windows, kot so spletni brskalniki in e-poštni odjemalci, dodajo oznako tej datoteki v obliki
Raziskovalec je preveril, da je IE dejansko nastavil takšno oznako za preneseno datoteko MHT. Kolsek je nato poskusil prenesti isto datoteko z Edgeom in jo odpreti v IE, ki ostaja privzeta aplikacija za datoteke MHT. Nepričakovano je izkoriščanje delovalo.
Najprej je raziskovalec preveril »mark-of-the-Web«, izkazalo se je, da Edge poleg varnostnega identifikatorja shrani tudi izvor izvora datoteke v alternativnem toku podatkov, kar lahko sproži nekaj vprašanj glede zasebnosti tega metoda. Kolsek je špekuliral, da so dodatne vrstice morda zmotile IE in mu preprečile branje SID, a kot se je izkazalo, je bila težava drugje. Po dolgotrajni analizi je varnostni specialist našel vzrok v dveh vnosih v seznamu za nadzor dostopa, ki sta določeni sistemski storitvi dodala pravico do branja datoteke MHT, ki jo je Edge dodal tja po nalaganju.
James Foreshaw iz namenske ekipe za ranljivost zero-day - Google Project Zero -
Nato je raziskovalec želel bolje razumeti, kaj povzroča odpoved varnostnega sistema IE. Poglobljena analiza z uporabo pripomočka Process Monitor in disassemblerja IDA je na koncu razkrila, da je nastavljena ločljivost Edge preprečila funkciji Win Api GetZoneFromAlternateDataStreamEx branje toka datoteke Zone.Identifier in vrnila napako. Za Internet Explorer je bila takšna napaka pri zahtevi po varnostni oznaki datoteke popolnoma nepričakovana in očitno je brskalnik menil, da je napaka enakovredna dejstvu, da datoteka nima oznake »mark-of-the-Web«, zaradi česar je samodejno zaupanja vreden, potem ko je IE dovolil, da se skript, skrit v datoteki MHT, izvede in pošlje ciljno lokalno datoteko oddaljenemu strežniku.
"Vidiš ironijo tukaj?" se sprašuje Kolšek. "Nedokumentirana varnostna funkcija, ki jo je uporabil Edge, je nevtralizirala obstoječo, nedvomno veliko pomembnejšo (mark-of-the-Web) funkcijo v Internet Explorerju."
Kljub povečanemu pomenu ranljivosti, ki omogoča zagon zlonamernega skripta kot zaupanja vrednega skripta, nič ne kaže, da namerava Microsoft kmalu odpraviti napako, če bo sploh odpravljena. Zato še vedno priporočamo, da kot v prejšnjem članku spremenite privzeti program za odpiranje datotek MHT v katerem koli sodobnem brskalniku.
Seveda pri Kolškovem raziskovanju ni šlo brez malce samo-PR-a. Na koncu članka je prikazal majhen popravek, napisan v zbirnem jeziku, ki lahko uporablja storitev 0patch, ki jo je razvilo njegovo podjetje. 0patch samodejno zazna ranljivo programsko opremo na uporabnikovem računalniku in nanjo namesti majhne popravke dobesedno sproti. Na primer, v primeru, ki smo ga opisali, bo 0patch nadomestil sporočilo o napaki v funkciji GetZoneFromAlternateDataStreamEx z vrednostjo, ki ustreza nezaupljivi datoteki, prejeti iz omrežja, tako da IE ne bo dovolil izvajanja skritih skriptov v skladu z vgrajeno v varnostni politiki.
Vir: 3dnews.ru