เมื่อก่อนเรา
น่าแปลกที่ Kolsek ไม่สามารถจำลองการโจมตีที่อธิบายและสาธิตโดย John ได้ในตอนแรก โดยเขาใช้ Internet Explorer ที่ทำงานบน Windows 7 เพื่อดาวน์โหลดแล้วเปิดไฟล์ MHT ที่เป็นอันตราย แม้ว่าผู้จัดการกระบวนการของเขาจะแสดงให้เห็นว่า system.ini ซึ่งวางแผนที่จะขโมยไปจากตัวเขาเอง ถูกอ่านโดยสคริปต์ที่ซ่อนอยู่ในไฟล์ MHT แต่ไม่ได้ถูกส่งไปยังเซิร์ฟเวอร์ระยะไกล
“นี่ดูเหมือนเป็นสถานการณ์บนเว็บแบบคลาสสิก” Kolsek เขียน “เมื่อได้รับไฟล์จากอินเทอร์เน็ต การใช้งานแอพพลิเคชั่น Windows อย่างเหมาะสม เช่น เว็บเบราว์เซอร์และไคลเอนต์อีเมล จะเพิ่มป้ายกำกับให้กับไฟล์ดังกล่าวในแบบฟอร์ม
ผู้วิจัยยืนยันว่า IE ได้ตั้งค่าป้ายกำกับดังกล่าวสำหรับไฟล์ MHT ที่ดาวน์โหลดมาจริงๆ จากนั้น Kolsek พยายามดาวน์โหลดไฟล์เดียวกันโดยใช้ Edge และเปิดใน IE ซึ่งยังคงเป็นแอปพลิเคชันเริ่มต้นสำหรับไฟล์ MHT การใช้ประโยชน์ได้ผลโดยไม่คาดคิด
ขั้นแรก ผู้วิจัยได้ตรวจสอบ "เครื่องหมายของเว็บ" ปรากฎว่า Edge ยังเก็บแหล่งที่มาของไฟล์ไว้ในสตรีมข้อมูลอื่น นอกเหนือจากตัวระบุความปลอดภัย ซึ่งอาจก่อให้เกิดคำถามบางประการเกี่ยวกับความเป็นส่วนตัวของข้อมูลนี้ วิธี. Kolsek คาดการณ์ว่าบรรทัดเพิ่มเติมอาจทำให้ IE สับสนและทำให้ไม่สามารถอ่าน SID ได้ แต่ปรากฎว่าปัญหาอยู่ที่อื่น หลังจากการวิเคราะห์อย่างยาวนาน ผู้เชี่ยวชาญด้านความปลอดภัยพบสาเหตุในสองรายการในรายการควบคุมการเข้าถึงที่เพิ่มสิทธิ์ในการอ่านไฟล์ MHT ไปยังบริการระบบบางอย่าง ซึ่ง Edge ได้เพิ่มไว้ที่นั่นหลังจากโหลดแล้ว
James Foreshaw จากทีมช่องโหว่แบบ Zero-day โดยเฉพาะ - Google Project Zero -
ต่อไป ผู้วิจัยต้องการทำความเข้าใจให้ดีขึ้นว่าอะไรทำให้ระบบความปลอดภัยของ IE ล้มเหลว การวิเคราะห์เชิงลึกโดยใช้ยูทิลิตี้ Process Monitor และตัวแยกชิ้นส่วน IDA เผยให้เห็นในที่สุดว่าความละเอียดที่ตั้งไว้ของ Edge ทำให้ฟังก์ชัน Win Api GetZoneFromAlternateDataStreamEx อ่านสตรีมไฟล์ Zone.Identifier และส่งคืนข้อผิดพลาด สำหรับ Internet Explorer ข้อผิดพลาดดังกล่าวเมื่อขอป้ายกำกับความปลอดภัยของไฟล์นั้นเป็นสิ่งที่ไม่คาดคิดโดยสิ้นเชิง และเห็นได้ชัดว่าเบราว์เซอร์พิจารณาว่าข้อผิดพลาดนั้นเทียบเท่ากับการที่ไฟล์นั้นไม่มีเครื่องหมาย "เครื่องหมายของเว็บ" ซึ่งทำให้เชื่อถือได้โดยอัตโนมัติ หลังจากที่เหตุใด IE จึงอนุญาตให้สคริปต์ที่ซ่อนอยู่ในไฟล์ MHT ดำเนินการและส่งไฟล์ในเครื่องเป้าหมายไปยังเซิร์ฟเวอร์ระยะไกล
“คุณเห็นประชดที่นี่ไหม” ถามโคลเซค "คุณลักษณะความปลอดภัยที่ไม่มีเอกสารซึ่งใช้โดย Edge จะทำให้คุณลักษณะ (เครื่องหมายของเว็บ) ที่มีอยู่ใน Internet Explorer เป็นกลางและไม่ต้องสงสัยเลย"
แม้ว่าช่องโหว่นี้จะมีนัยสำคัญเพิ่มขึ้น ซึ่งทำให้สคริปต์ที่เป็นอันตรายสามารถเรียกใช้เป็นสคริปต์ที่เชื่อถือได้ แต่ไม่มีข้อบ่งชี้ว่า Microsoft ตั้งใจที่จะแก้ไขจุดบกพร่องในเร็วๆ นี้ หากได้รับการแก้ไขแล้ว ดังนั้นเราจึงขอแนะนำให้คุณเปลี่ยนโปรแกรมเริ่มต้นสำหรับการเปิดไฟล์ MHT เป็นเบราว์เซอร์สมัยใหม่เช่นเดียวกับในบทความก่อนหน้านี้
แน่นอนว่างานวิจัยของ Kolsek ไม่ได้ดำเนินไปโดยปราศจากการประชาสัมพันธ์ตนเองเลยแม้แต่น้อย ในตอนท้ายของบทความ เขาได้สาธิตแพตช์เล็กๆ ที่เขียนด้วยภาษาแอสเซมบลีซึ่งสามารถใช้บริการ 0patch ที่พัฒนาโดยบริษัทของเขาได้ 0patch จะตรวจจับซอฟต์แวร์ที่มีช่องโหว่บนคอมพิวเตอร์ของผู้ใช้โดยอัตโนมัติ และใช้แพตช์ขนาดเล็กกับซอฟต์แวร์ได้ทันที ตัวอย่างเช่น ในกรณีที่เราอธิบายไว้ 0patch จะแทนที่ข้อความแสดงข้อผิดพลาดในฟังก์ชัน GetZoneFromAlternateDataStreamEx ด้วยค่าที่สอดคล้องกับไฟล์ที่ไม่น่าเชื่อถือที่ได้รับจากเครือข่าย ดังนั้น IE จะไม่อนุญาตให้เรียกใช้สคริปต์ที่ซ่อนอยู่ใด ๆ ตามที่สร้างขึ้น ในนโยบายความปลอดภัย
ที่มา: 3dnews.ru