Dati kami tungkol sa isang natuklasang zero-day na kahinaan sa Internet Explorer, na nagbibigay-daan sa paggamit ng isang espesyal na inihandang MHT file upang mag-download ng impormasyon mula sa computer ng user patungo sa isang malayuang server. Kamakailan, ang kahinaang ito, na natuklasan ng espesyalista sa seguridad na si John Page, ay nagpasya na suriin at pag-aralan ang isa pang kilalang espesyalista sa larangang ito - si Mitya Kolsek, direktor ng ACROS Security, isang kumpanya ng pag-audit ng seguridad, at co-founder ng serbisyo ng micropatch na 0patch. Siya buong salaysay ng pagsisiyasat nito, na nagpapahiwatig na ang Microsoft ay lubos na minamaliit ang kalubhaan ng problema.
Kakatwa, hindi nagawang kopyahin ni Kolsek ang pag-atake na inilarawan at ipinakita ni John, kung saan ginamit niya ang Internet Explorer na tumatakbo sa Windows 7 upang mag-download at pagkatapos ay magbukas ng malisyosong MHT file. Bagaman ipinakita ng kanyang tagapamahala ng proseso na ang system.ini, na binalak na ninakaw mula sa kanyang sarili, ay binasa ng isang script na nakatago sa MHT file, ngunit hindi ipinadala sa malayong server.
"Mukhang ito ay isang klasikong mark-of-the-Web na sitwasyon," isinulat ni Kolsek. βKapag ang isang file ay natanggap mula sa Internet, ang wastong pagpapatakbo ng mga Windows application tulad ng mga web browser at email client ay nagdaragdag ng label sa naturang file sa form na may pangalang Zone.Identifier na naglalaman ng string na ZoneId = 3. Ito ay nagpapaalam sa iba pang mga application na ang file ay nagmula sa isang hindi pinagkakatiwalaang pinagmulan at samakatuwid ay dapat na buksan sa isang sandbox o iba pang pinaghihigpitang kapaligiran."
Na-verify ng mananaliksik na ang IE ay talagang nagtakda ng naturang label para sa na-download na MHT file. Sinubukan ni Kolsek na i-download ang parehong file gamit ang Edge at buksan ito sa IE, na nananatiling default na application para sa mga MHT file. Sa hindi inaasahang pagkakataon, gumana ang pagsasamantala.
Una, sinuri ng mananaliksik ang "mark-of-the-Web", lumabas na iniimbak din ng Edge ang pinagmulan ng pinagmulan ng file sa isang alternatibong stream ng data bilang karagdagan sa identifier ng seguridad, na maaaring magtaas ng ilang mga katanungan tungkol sa privacy nito. paraan. Ipinagpalagay ni Kolsek na ang mga dagdag na linya ay maaaring nalito ang IE at napigilan itong basahin ang SID, ngunit sa paglabas nito, ang problema ay nasa ibang lugar. Pagkatapos ng mahabang pagsusuri, natagpuan ng espesyalista sa seguridad ang dahilan sa dalawang entry sa listahan ng access control na nagdagdag ng karapatang basahin ang MHT file sa isang partikular na serbisyo ng system, na idinagdag ni Edge doon pagkatapos itong i-load.
James Foreshaw mula sa nakatalagang zero-day vulnerability team - Google Project Zero - nag-tweet na ang mga entry na idinagdag ni Edge ay tumutukoy sa mga pangkat ng seguridad identifier para sa package na Microsoft.MicrosoftEdge_8wekyb3d8bbwe. Matapos tanggalin ang pangalawang linya ng SID S-1-15-2 - * mula sa listahan ng access control ng malisyosong file, hindi na gumana ang pagsasamantala. Bilang resulta, kahit papaano ay pinahintulutan ng pahintulot na idinagdag ni Edge ang file na i-bypass ang sandbox sa IE. Gaya ng iminungkahi ni Kolsek at ng kanyang mga kasamahan, ginagamit ng Edge ang mga pahintulot na ito upang protektahan ang mga na-download na file mula sa pag-access ng mga prosesong mababa ang tiwala sa pamamagitan ng pagpapatakbo ng file sa isang bahagyang nakahiwalay na kapaligiran.
Susunod, nais ng mananaliksik na mas maunawaan kung ano ang nagiging sanhi ng pagkabigo ng sistema ng seguridad ng IE. Ang isang malalim na pagsusuri gamit ang Process Monitor utility at ang IDA disassembler sa huli ay nagsiwalat na ang nakatakdang resolution ng Edge ay humadlang sa Win Api function na GetZoneFromAlternateDataStreamEx mula sa pagbabasa ng Zone.Identifier file stream at nagbalik ng isang error. Para sa Internet Explorer, ang ganitong error kapag humihiling ng label ng seguridad ng file ay ganap na hindi inaasahan, at, tila, isinasaalang-alang ng browser na ang error ay katumbas ng katotohanan na ang file ay walang markang "mark-of-the-Web", na awtomatikong ginagawa itong mapagkakatiwalaan, pagkatapos kung bakit pinahintulutan ng IE ang script na nakatago sa MHT file na isagawa at ipadala ang target na lokal na file sa malayong server.
"Nakikita mo ba ang kabalintunaan dito?" tanong ni Kolsek. "Ang isang hindi dokumentadong tampok na panseguridad na ginamit ng Edge ay nag-neutralize sa isang umiiral na, walang alinlangan na mas mahalaga (mark-of-the-Web) na tampok sa Internet Explorer."
Sa kabila ng tumaas na kahalagahan ng kahinaan, na nagbibigay-daan sa isang nakakahamak na script na patakbuhin bilang isang pinagkakatiwalaang script, walang indikasyon na nilayon ng Microsoft na ayusin ang bug anumang oras sa lalong madaling panahon, kung sakaling maayos ito. Samakatuwid, inirerekomenda pa rin namin na, tulad ng sa nakaraang artikulo, baguhin mo ang default na programa para sa pagbubukas ng mga MHT file sa anumang modernong browser.
Siyempre, ang pananaliksik ni Kolsek ay hindi napunta nang walang kaunting self-PR. Sa dulo ng artikulo, ipinakita niya ang isang maliit na patch na nakasulat sa wika ng pagpupulong na maaaring gumamit ng serbisyo ng 0patch na binuo ng kanyang kumpanya. Awtomatikong nakikita ng 0patch ang mahinang software sa computer ng user at literal na mabilis na naglalapat ng maliliit na patch dito. Halimbawa, sa kasong inilarawan namin, papalitan ng 0patch ang mensahe ng error sa GetZoneFromAlternateDataStreamEx function na may halaga na tumutugma sa isang hindi pinagkakatiwalaang file na natanggap mula sa network, upang hindi papayagan ng IE ang anumang mga nakatagong script na maisagawa alinsunod sa built- sa patakaran sa seguridad.
Pinagmulan: 3dnews.ru