پہلے ہم انٹرنیٹ ایکسپلورر میں دریافت شدہ صفر دن کے خطرے کے بارے میں، جو صارف کے کمپیوٹر سے ریموٹ سرور پر معلومات ڈاؤن لوڈ کرنے کے لیے خصوصی طور پر تیار کردہ MHT فائل کو استعمال کرنے کی اجازت دیتا ہے۔ حال ہی میں، سیکورٹی کے ماہر جان پیج کی طرف سے دریافت ہونے والی اس کمزوری نے اس شعبے کے ایک اور معروف ماہر کو چیک کرنے اور اس کا مطالعہ کرنے کا فیصلہ کیا - Mitya Kolsek، ACROS Security کے ڈائریکٹر، ایک سیکورٹی آڈٹ کمپنی، اور micropatch سروس 0patch کے شریک بانی۔ وہ اس کی تحقیقات کا مکمل کرانیکل، یہ بتاتا ہے کہ مائیکروسافٹ نے مسئلہ کی شدت کو نمایاں طور پر کم کیا ہے۔
عجیب بات یہ ہے کہ، کولسیک ابتدائی طور پر جان کے بیان کردہ اور ظاہر کیے گئے حملے کو دوبارہ پیش کرنے سے قاصر تھا، جہاں اس نے ونڈوز 7 پر چلنے والے انٹرنیٹ ایکسپلورر کو ڈاؤن لوڈ کرنے اور پھر ایک نقصان دہ MHT فائل کھولنے کے لیے استعمال کیا۔ اگرچہ اس کے پروسیس مینیجر نے دکھایا کہ system.ini، جسے خود سے چوری کرنے کا منصوبہ بنایا گیا تھا، MHT فائل میں چھپے اسکرپٹ کے ذریعے پڑھا گیا، لیکن اسے ریموٹ سرور پر نہیں بھیجا گیا۔
"یہ ایک کلاسک مارک-آف-دی-ویب صورتحال کی طرح لگتا تھا،" کولسیک لکھتے ہیں۔ "جب کوئی فائل انٹرنیٹ سے موصول ہوتی ہے تو، ونڈوز ایپلی کیشنز کو صحیح طریقے سے چلانے والے جیسے ویب براؤزر اور ای میل کلائنٹس فارم میں اس فائل پر ایک لیبل شامل کرتے ہیں۔ Zone.Identifier کے نام کے ساتھ ZoneId = 3 پر مشتمل سٹرنگ۔ اس سے دیگر ایپلیکیشنز کو معلوم ہوتا ہے کہ فائل ایک غیر بھروسہ مند ذریعہ سے آئی ہے اور اس لیے اسے سینڈ باکس یا دوسرے محدود ماحول میں کھولا جانا چاہیے۔"
محقق نے تصدیق کی کہ IE نے درحقیقت ڈاؤن لوڈ کردہ MHT فائل کے لیے ایسا لیبل سیٹ کیا ہے۔ کولسیک نے پھر ایج کا استعمال کرتے ہوئے اسی فائل کو ڈاؤن لوڈ کرنے اور اسے IE میں کھولنے کی کوشش کی، جو MHT فائلوں کے لیے پہلے سے طے شدہ ایپلی کیشن بنی ہوئی ہے۔ غیر متوقع طور پر، استحصال نے کام کیا۔
سب سے پہلے، محقق نے "مارک آف دی-ویب" کو چیک کیا، تو پتہ چلا کہ Edge سیکیورٹی شناخت کنندہ کے علاوہ فائل کی اصلیت کے ماخذ کو بھی ایک متبادل ڈیٹا اسٹریم میں اسٹور کرتا ہے، جو اس کی رازداری کے حوالے سے کچھ سوالات اٹھا سکتا ہے۔ طریقہ کولسیک نے قیاس کیا کہ اضافی لائنوں نے IE کو الجھا دیا ہو گا اور اسے SID پڑھنے سے روکا ہو گا، لیکن جیسا کہ پتہ چلا، مسئلہ کہیں اور تھا۔ ایک طویل تجزیہ کے بعد، سیکورٹی ماہر نے رسائی کنٹرول لسٹ میں دو اندراجات میں وجہ تلاش کی جس میں MHT فائل کو ایک مخصوص سسٹم سروس میں پڑھنے کا حق شامل کیا گیا، جسے Edge نے لوڈ کرنے کے بعد وہاں شامل کیا۔
جیمز فورشا کی طرف سے وقف صفر دن کی کمزوری ٹیم - گوگل پروجیکٹ زیرو - ٹویٹ کیا کہ ایج کے ذریعے شامل کردہ اندراجات Microsoft.MicrosoftEdge_8wekyb3d8bbwe پیکیج کے لیے گروپ سیکیورٹی شناخت کاروں کا حوالہ دیتے ہیں۔ نقصان دہ فائل کی رسائی کنٹرول فہرست سے SID S-1-15-2 - * کی دوسری لائن کو ہٹانے کے بعد، استحصال نے مزید کام نہیں کیا۔ نتیجے کے طور پر، کسی نہ کسی طرح Edge کے ذریعے شامل کردہ اجازت نے فائل کو IE میں سینڈ باکس کو نظرانداز کرنے کی اجازت دی۔ جیسا کہ کولسیک اور اس کے ساتھیوں نے تجویز کیا، ایج ان اجازتوں کا استعمال ڈاؤن لوڈ کی گئی فائلوں کو کم اعتماد کے عمل کے ذریعے فائل کو جزوی طور پر الگ تھلگ ماحول میں چلا کر رسائی سے بچانے کے لیے کرتا ہے۔
اگلا، محقق بہتر طور پر سمجھنا چاہتا تھا کہ IE کے سیکیورٹی سسٹم کے ناکام ہونے کی کیا وجہ ہے۔ Process Monitor یوٹیلیٹی اور IDA disassembler کا استعمال کرتے ہوئے ایک گہرائی سے تجزیہ نے بالآخر انکشاف کیا کہ Edge کی سیٹ ریزولوشن نے Win Api فنکشن GetZoneFromAlternateDataStreamEx کو Zone.Identifier فائل اسٹریم کو پڑھنے سے روکا اور ایک غلطی واپس کردی۔ انٹرنیٹ ایکسپلورر کے لیے، فائل کے سیکیورٹی لیبل کی درخواست کرتے وقت اس طرح کی خرابی مکمل طور پر غیر متوقع تھی، اور، بظاہر، براؤزر نے سمجھا کہ غلطی اس حقیقت کے مترادف تھی کہ فائل میں "مارک آف دی ویب" کا نشان نہیں تھا، جو خود بخود اسے قابل اعتماد بناتا ہے، اس کے بعد کیوں IE نے MHT فائل میں چھپی ہوئی اسکرپٹ کو ریموٹ سرور کو ہدف کی مقامی فائل پر عمل کرنے اور بھیجنے کی اجازت دی۔
"کیا تم یہاں کی ستم ظریفی دیکھ رہے ہو؟" Kolsek پوچھتا ہے. "ایج کے ذریعہ استعمال ہونے والی ایک غیر دستاویزی حفاظتی خصوصیت نے انٹرنیٹ ایکسپلورر میں موجود، بلاشبہ بہت زیادہ اہم (مارک آف دی ویب) خصوصیت کو بے اثر کر دیا۔"
کمزوری کی بڑھتی ہوئی اہمیت کے باوجود، جو ایک نقصان دہ اسکرپٹ کو ایک قابل اعتماد اسکرپٹ کے طور پر چلانے کی اجازت دیتا ہے، اس بات کا کوئی اشارہ نہیں ہے کہ مائیکروسافٹ کسی بھی وقت جلد ہی بگ کو ٹھیک کرنے کا ارادہ رکھتا ہے، اگر یہ کبھی ٹھیک ہوجاتا ہے۔ لہذا، ہم اب بھی تجویز کرتے ہیں کہ، جیسا کہ پچھلے مضمون میں، آپ MHT فائلوں کو کسی بھی جدید براؤزر میں کھولنے کے لیے پہلے سے طے شدہ پروگرام کو تبدیل کریں۔
بلاشبہ، کولسیک کی تحقیق تھوڑی سی خود PR کے بغیر نہیں گئی۔ مضمون کے آخر میں، اس نے اسمبلی کی زبان میں لکھا ہوا ایک چھوٹا سا پیچ دکھایا جو اس کی کمپنی کی تیار کردہ 0patch سروس کو استعمال کر سکتا ہے۔ 0پیچ صارف کے کمپیوٹر پر خود بخود کمزور سافٹ ویئر کا پتہ لگاتا ہے اور اُڑتے ہی اس پر چھوٹے پیچ لگا دیتا ہے۔ مثال کے طور پر، اس صورت میں جو ہم نے بیان کیا ہے، 0patch GetZoneFromAlternateDataStreamEx فنکشن میں خرابی کے پیغام کو نیٹ ورک سے موصول ہونے والی غیر بھروسہ مند فائل کے مطابق ایک قدر سے بدل دے گا، تاکہ IE کسی بھی پوشیدہ اسکرپٹ کو بلٹ کے مطابق عمل میں لانے کی اجازت نہیں دے گا۔ سیکورٹی پالیسی میں.
ماخذ: 3dnews.ru