Раније смо о откривеној рањивости нултог дана у Интернет Екплорер-у, која омогућава коришћење посебно припремљене МХТ датотеке за преузимање информација са рачунара корисника на удаљени сервер. Недавно је ову рањивост, коју је открио стручњак за безбедност Џон Пејџ, одлучио да провери и проучи још једног познатог специјалисте у овој области – Митију Колсека, директора АЦРОС Сецурити-а, компаније за ревизију безбедности, и суоснивача микропатцх сервиса 0патцх. Он пуну хронику његове истраге, што указује да је Мицрософт значајно потценио озбиљност проблема.
Зачудо, Колсек у почетку није могао да репродукује напад који је описао и демонстрирао Џон, где је користио Интернет Екплорер који ради на Виндовс 7 да преузме и затим отвори злонамерну МХТ датотеку. Иако је његов менаџер процеса показао да је систем.ини, који је планирано да буде украден од њега, прочитан скриптом скривеном у МХТ датотеци, али није послат на удаљени сервер.
„Ово је изгледало као класична ситуација са ознаком веба“, пише Колсек. „Када се датотека прими са Интернета, правилно покренуте Виндовс апликације као што су веб претраживачи и клијенти е-поште додају ознаку таквој датотеци у облику под називом Зоне.Идентифиер који садржи стринг ЗонеИд = 3. Ово омогућава другим апликацијама да знају да је датотека дошла из непоузданог извора и да би стога требало да се отвори у сандбок-у или другом ограниченом окружењу.“
Истраживач је потврдио да је ИЕ заправо поставио такву ознаку за преузету МХТ датотеку. Колсек је затим покушао да преузме исту датотеку користећи Едге и отвори је у ИЕ, који остаје подразумевана апликација за МХТ датотеке. Неочекивано, експлоатација је успела.
Прво, истраживач је проверио „марк-оф-тхе-веб”, испоставило се да Едге такође чува извор порекла датотеке у алтернативном току података поред безбедносног идентификатора, што може покренути нека питања у вези са приватношћу овог методом. Колсек је спекулисао да су додатни редови можда збунили ИЕ и спречили га да чита СИД, али како се испоставило, проблем је био негде другде. Након дуге анализе, стручњак за безбедност је пронашао узрок у два уноса на листи контроле приступа који су додали право читања МХТ датотеке одређеној системској услузи, коју је Едге додао тамо након учитавања.
Џејмс Форшо из наменског тима за рањивост нултог дана – Гоогле Пројецт Зеро – је твитовао да се уноси које је додао Едге односе на групне безбедносне идентификаторе за пакет Мицрософт.МицрософтЕдге_8векиб3д8ббве. Након уклањања другог реда СИД-а С-1-15-2 - * са листе контроле приступа злонамерне датотеке, експлоатација више није функционисала. Као резултат тога, дозвола коју је додао Едге омогућила је да датотека заобиђе сандбок у ИЕ. Као што су Колсек и његове колеге предложили, Едге користи ове дозволе да заштити преузете датотеке од приступа процеса са ниским нивоом поверења тако што покреће датотеку у делимично изолованом окружењу.
Затим, истраживач је желео да боље разуме шта узрокује квар ИЕ-овог безбедносног система. Детаљна анализа помоћу услужног програма Процесс Монитор и ИДА дисамблера је на крају открила да је Едге-ова постављена резолуција спречила Вин Апи функцију ГетЗонеФромАлтернатеДатаСтреамЕк да чита ток датотеке Зоне.Идентифиер и вратила грешку. За Интернет Екплорер, таква грешка приликом захтевања безбедносне ознаке датотеке била је потпуно неочекивана и, очигледно, прегледач је сматрао да је грешка еквивалентна чињеници да датотека нема ознаку „марк оф тхе-Веб“, што га аутоматски чини поузданим, након чега је ИЕ дозволио да се скрипта скривена у МХТ датотеци изврши и пошаље циљну локалну датотеку на удаљени сервер.
„Да ли видите иронију овде?“ пита Колсек. „Недокументована безбедносна функција коју користи Едге неутралисала је постојећу, несумњиво много важнију функцију (марк оф тхе-Веб) у Интернет Екплорер-у.
Упркос повећаном значају рањивости, која омогућава да се злонамерна скрипта покрене као поуздана скрипта, нема назнака да Мицрософт намерава да поправи грешку у скорије време, ако икада буде исправљена. Због тога и даље препоручујемо да, као у претходном чланку, промените подразумевани програм за отварање МХТ датотека на било који савремени претраживач.
Наравно, Колсеково истраживање није прошло без мало само-ПР-а. На крају чланка је демонстрирао малу закрпу написану на асемблерском језику која може да користи услугу 0патцх коју је развила његова компанија. 0патцх аутоматски открива рањиви софтвер на рачунару корисника и примењује мале закрпе на њега буквално у ходу. На пример, у случају који смо описали, 0патцх ће заменити поруку о грешци у функцији ГетЗонеФромАлтернатеДатаСтреамЕк вредношћу која одговара непоузданој датотеци примљеној са мреже, тако да ИЕ неће дозволити да се било које скривене скрипте извршавају у складу са уграђеним у безбедносној политици.
Извор: 3дневс.ру