เมื่อก่อนเรา เกี่ยวกับช่องโหว่แบบ Zero-day ที่ค้นพบใน Internet Explorer ซึ่งอนุญาตให้ใช้ไฟล์ MHT ที่เตรียมไว้เป็นพิเศษเพื่อดาวน์โหลดข้อมูลจากคอมพิวเตอร์ของผู้ใช้ไปยังเซิร์ฟเวอร์ระยะไกล เมื่อเร็วๆ นี้ ช่องโหว่นี้ถูกค้นพบโดยผู้เชี่ยวชาญด้านความปลอดภัย John Page ได้ตัดสินใจตรวจสอบและศึกษาผู้เชี่ยวชาญที่มีชื่อเสียงอีกคนในสาขานี้ นั่นคือ Mitya Kolsek ผู้อำนวยการของ ACROS Security บริษัทตรวจสอบความปลอดภัย และผู้ร่วมก่อตั้งบริการ micropatch 0patch เขา ประวัติการสอบสวนฉบับเต็ม ซึ่งบ่งชี้ว่า Microsoft ประเมินความรุนแรงของปัญหาต่ำเกินไปอย่างมาก
น่าแปลกที่ Kolsek ไม่สามารถจำลองการโจมตีที่อธิบายและสาธิตโดย John ได้ในตอนแรก โดยเขาใช้ Internet Explorer ที่ทำงานบน Windows 7 เพื่อดาวน์โหลดแล้วเปิดไฟล์ MHT ที่เป็นอันตราย แม้ว่าผู้จัดการกระบวนการของเขาจะแสดงให้เห็นว่า system.ini ซึ่งวางแผนที่จะขโมยไปจากตัวเขาเอง ถูกอ่านโดยสคริปต์ที่ซ่อนอยู่ในไฟล์ MHT แต่ไม่ได้ถูกส่งไปยังเซิร์ฟเวอร์ระยะไกล
“นี่ดูเหมือนเป็นสถานการณ์บนเว็บแบบคลาสสิก” Kolsek เขียน “เมื่อได้รับไฟล์จากอินเทอร์เน็ต การใช้งานแอพพลิเคชั่น Windows อย่างเหมาะสม เช่น เว็บเบราว์เซอร์และไคลเอนต์อีเมล จะเพิ่มป้ายกำกับให้กับไฟล์ดังกล่าวในแบบฟอร์ม ด้วยชื่อ Zone.Identifier ที่มีสตริง ZoneId = 3 ซึ่งช่วยให้แอปพลิเคชันอื่นทราบว่าไฟล์มาจากแหล่งที่ไม่น่าเชื่อถือ ดังนั้นควรเปิดในแซนด์บ็อกซ์หรือสภาพแวดล้อมที่ถูกจำกัดอื่นๆ"
ผู้วิจัยยืนยันว่า IE ได้ตั้งค่าป้ายกำกับดังกล่าวสำหรับไฟล์ MHT ที่ดาวน์โหลดมาจริงๆ จากนั้น Kolsek พยายามดาวน์โหลดไฟล์เดียวกันโดยใช้ Edge และเปิดใน IE ซึ่งยังคงเป็นแอปพลิเคชันเริ่มต้นสำหรับไฟล์ MHT การใช้ประโยชน์ได้ผลโดยไม่คาดคิด
ขั้นแรก ผู้วิจัยได้ตรวจสอบ "เครื่องหมายของเว็บ" ปรากฎว่า Edge ยังเก็บแหล่งที่มาของไฟล์ไว้ในสตรีมข้อมูลอื่น นอกเหนือจากตัวระบุความปลอดภัย ซึ่งอาจก่อให้เกิดคำถามบางประการเกี่ยวกับความเป็นส่วนตัวของข้อมูลนี้ วิธี. Kolsek คาดการณ์ว่าบรรทัดเพิ่มเติมอาจทำให้ IE สับสนและทำให้ไม่สามารถอ่าน SID ได้ แต่ปรากฎว่าปัญหาอยู่ที่อื่น หลังจากการวิเคราะห์อย่างยาวนาน ผู้เชี่ยวชาญด้านความปลอดภัยพบสาเหตุในสองรายการในรายการควบคุมการเข้าถึงที่เพิ่มสิทธิ์ในการอ่านไฟล์ MHT ไปยังบริการระบบบางอย่าง ซึ่ง Edge ได้เพิ่มไว้ที่นั่นหลังจากโหลดแล้ว
James Foreshaw จากทีมช่องโหว่แบบ Zero-day โดยเฉพาะ - Google Project Zero - ทวีตว่ารายการที่เพิ่มโดย Edge อ้างถึงตัวระบุความปลอดภัยกลุ่มสำหรับแพ็คเกจ Microsoft.MicrosoftEdge_8wekyb3d8bbwe หลังจากลบบรรทัดที่สองของ SID S-1-15-2 - * ออกจากรายการควบคุมการเข้าถึงของไฟล์ที่เป็นอันตราย การใช้ประโยชน์จะไม่ทำงานอีกต่อไป ด้วยเหตุนี้การอนุญาตที่เพิ่มโดย Edge ทำให้ไฟล์สามารถข้ามแซนด์บ็อกซ์ใน IE ได้ ตามที่ Kolsek และเพื่อนร่วมงานแนะนำ Edge ใช้สิทธิ์เหล่านี้เพื่อปกป้องไฟล์ที่ดาวน์โหลดไม่ให้เข้าถึงโดยกระบวนการที่เชื่อถือได้ต่ำ โดยการเรียกใช้ไฟล์ในสภาพแวดล้อมที่แยกออกมาบางส่วน
ต่อไป ผู้วิจัยต้องการทำความเข้าใจให้ดีขึ้นว่าอะไรทำให้ระบบความปลอดภัยของ IE ล้มเหลว การวิเคราะห์เชิงลึกโดยใช้ยูทิลิตี้ Process Monitor และตัวแยกชิ้นส่วน IDA เผยให้เห็นในที่สุดว่าความละเอียดที่ตั้งไว้ของ Edge ทำให้ฟังก์ชัน Win Api GetZoneFromAlternateDataStreamEx อ่านสตรีมไฟล์ Zone.Identifier และส่งคืนข้อผิดพลาด สำหรับ Internet Explorer ข้อผิดพลาดดังกล่าวเมื่อขอป้ายกำกับความปลอดภัยของไฟล์นั้นเป็นสิ่งที่ไม่คาดคิดโดยสิ้นเชิง และเห็นได้ชัดว่าเบราว์เซอร์พิจารณาว่าข้อผิดพลาดนั้นเทียบเท่ากับการที่ไฟล์นั้นไม่มีเครื่องหมาย "เครื่องหมายของเว็บ" ซึ่งทำให้เชื่อถือได้โดยอัตโนมัติ หลังจากที่เหตุใด IE จึงอนุญาตให้สคริปต์ที่ซ่อนอยู่ในไฟล์ MHT ดำเนินการและส่งไฟล์ในเครื่องเป้าหมายไปยังเซิร์ฟเวอร์ระยะไกล
“คุณเห็นประชดที่นี่ไหม” ถามโคลเซค "คุณลักษณะความปลอดภัยที่ไม่มีเอกสารซึ่งใช้โดย Edge จะทำให้คุณลักษณะ (เครื่องหมายของเว็บ) ที่มีอยู่ใน Internet Explorer เป็นกลางและไม่ต้องสงสัยเลย"
แม้ว่าช่องโหว่นี้จะมีนัยสำคัญเพิ่มขึ้น ซึ่งทำให้สคริปต์ที่เป็นอันตรายสามารถเรียกใช้เป็นสคริปต์ที่เชื่อถือได้ แต่ไม่มีข้อบ่งชี้ว่า Microsoft ตั้งใจที่จะแก้ไขจุดบกพร่องในเร็วๆ นี้ หากได้รับการแก้ไขแล้ว ดังนั้นเราจึงขอแนะนำให้คุณเปลี่ยนโปรแกรมเริ่มต้นสำหรับการเปิดไฟล์ MHT เป็นเบราว์เซอร์สมัยใหม่เช่นเดียวกับในบทความก่อนหน้านี้
แน่นอนว่างานวิจัยของ Kolsek ไม่ได้ดำเนินไปโดยปราศจากการประชาสัมพันธ์ตนเองเลยแม้แต่น้อย ในตอนท้ายของบทความ เขาได้สาธิตแพตช์เล็กๆ ที่เขียนด้วยภาษาแอสเซมบลีซึ่งสามารถใช้บริการ 0patch ที่พัฒนาโดยบริษัทของเขาได้ 0patch จะตรวจจับซอฟต์แวร์ที่มีช่องโหว่บนคอมพิวเตอร์ของผู้ใช้โดยอัตโนมัติ และใช้แพตช์ขนาดเล็กกับซอฟต์แวร์ได้ทันที ตัวอย่างเช่น ในกรณีที่เราอธิบายไว้ 0patch จะแทนที่ข้อความแสดงข้อผิดพลาดในฟังก์ชัน GetZoneFromAlternateDataStreamEx ด้วยค่าที่สอดคล้องกับไฟล์ที่ไม่น่าเชื่อถือที่ได้รับจากเครือข่าย ดังนั้น IE จะไม่อนุญาตให้เรียกใช้สคริปต์ที่ซ่อนอยู่ใด ๆ ตามที่สร้างขึ้น ในนโยบายความปลอดภัย
ที่มา: 3dnews.ru