У Windows 10 виявлено дивну поведінку, завдяки якій зловмисники можуть віддалено вкрасти файли, що зберігаються на жорстких дисках.
У Windows 10 виявлено дивну поведінку, завдяки якій зловмисники можуть віддалено вкрасти файли, що зберігаються на жорстких дисках
У Windows 10 виявлено дивну поведінку, завдяки якій зловмисники можуть віддалено вкрасти файли, що зберігаються на жорстких дисках, коли користувач відкриває шкідливий файл у браузері Microsoft Edge.
Вперше про проблему стало відомо тиждень тому, коли дослідник безпеки оприлюднив інформацію про вразливість у браузері Microsoft Internet Explorer 11, що дозволяє отримати доступ до файлів на системах під керуванням ОС Windows. Також був опублікований PoC-код для цього бага після того, як Microsoft відмовилася випускати відповідний патч.
За словами спеціаліста компанії ACROS Security, техногігант недооцінив небезпеку вразливості, оскільки вона проявляється не тільки в застарілому IE, але і у більш сучасному Edge. Більш того, опублікований Пейджем експлоїт може бути доопрацьований таким чином, щоб шкідливий файл відкривався в Edge.
Як не дивно, спочатку дослідник не зміг відтворити описану Пейджем атаку при використанні IE, що працює в Windows 7, для завантаження шкідливого MHT-файл. Хоча менеджер процесів показував, що файл system.ini, який планувалося викрасти, прочитали скрипт в MHT-файлі, він так і не був відправлений на віддалений сервер.
«Це виглядало як класична ситуація роботи так званої "мітки для файлу, отриманого з мережі (mark-of-the-Web)". Коли файл отримано з Інтернету, програми Windows, наприклад, браузери та поштові клієнти, додають мітку до такого файлу у вигляді альтернативного потоку даних з ім'ям Zone.Identifier, що містить рядок ZoneId = 3. Таким чином, інші програми дізнаються, що файл отримано з ненадійного джерела і, отже, має бути відкрито у пісочниці або в іншому обмеженому середовищі», - пояснив Колсек.
За його словами, IE справді поставив таку мітку на завантажений MHT-файл. Коли дослідник спробував завантажити той самий файл за допомогою Edge та відкрити його в IE, експлоїт спрацював. Після тривалого аналізу експерт з'ясував причину: як виявилося, Edge додав два записи до списку контролю доступу, які додають системній службі право на читання MHT-файлу.
Як підказав спеціаліст команди Google Project Zero, додані Edge записи відносяться до групових ідентифікаторів безпеки для пакета Microsoft.MicrosoftEdge_8wekyb3d8bbwe. Після видалення другого рядка SID S-1-15-2 - зі списку контролю доступу шкідливого файлу експлойт більше не працював. Якимось чином, додана Edge роздільна здатність дозволяла файлу обійти пісочницю IE.
Глибокий аналіз показав, що встановлений Edge дозвіл не дозволив функції Win Api GetZoneFromAlternateDataStreamEx прочитати потік файлу Zone.Identifier і повернув помилку. В результаті IE вважав, що файл не має мітки mark-of-the-Web і відправив його на віддалений сервер.
Незважаючи на додаткові подробиці про вразливість, Microsoft не має наміру виправити проблему незабаром. У зв'язку з цим ACROS Security випустила мікропатч, що усуває вразливість, доступний через платформу 0Patch.
