В Windows 10 обнаружено странное поведение, благодаря которому злоумышленники могут удаленно украсть хранящиеся на жестких дисках файлы
В Windows 10 обнаружено странное поведение, благодаря которому злоумышленники могут удаленно украсть хранящиеся на жестких дисках файлы
В Windows 10 обнаружено странное поведение, благодаря которому злоумышленники могут удаленно украсть хранящиеся на жестких дисках файлы, когда пользователь открывает вредоносный файл в браузере Microsoft Edge.
Впервые о проблеме стало известно неделю назад, когда исследователь безопасности обнародовал информацию об уязвимости в браузере Microsoft Internet Explorer 11, позволяющей получить доступ к файлам на системах под управлением ОС Windows. Также был опубликован PoC-код для данного бага после того, как Microsoft отказалась выпускать соответствующий патч.
По словам специалиста компании ACROS Security, техногигант недооценил опасность уязвимости, поскольку она проявляется не только в устаревшем IE, но и в более современном Edge. Более того, опубликованный Пэйджем эксплоит может быть доработан таким образом, чтобы вредоносный файл открывался в Edge.
Как ни странно, вначале исследователь не смог воспроизвести описанную Пэйджем атаку при использовании IE, работающем в Windows 7, для загрузки вредоносного MHT-файл. Хотя менеджер процессов показывал, что файл system.ini, который планировалось похитить, был прочитан скриптом в MHT-файле, он так и не был отправлен на удаленный сервер.
«Это выглядело как классическая ситуация работы так называемой "метки для файла, полученного из сети (mark-of-the-Web)". Когда файл получен из Интернета, приложения Windows, например, браузеры и почтовые клиенты, добавляют метку к такому файлу в виде альтернативного потока данных с именем Zone.Identifier, содержащего строку ZoneId = 3. Таким образом другие приложения узнают, что файл получен из ненадежного источника и, следовательно, должен быть открыт в песочнице или в другой ограниченной среде», - пояснил Колсек.
По его словам, IE действительно поставил такую метку на загруженный MHT-файл. Когда исследователь попытался загрузить тот же файл с помощью Edge и открыть его в IE, эксплоит сработал. После длительного анализа эксперт выяснил причину: как оказалось, Edge добавил две записи в список контроля доступа, добавляющие некой системной службе право на чтение MHT-файла.
Как подсказал специалист команды Google Project Zero, добавленные Edge записи относятся к групповым идентификаторам безопасности для пакета Microsoft.MicrosoftEdge_8wekyb3d8bbwe. После удаления второй строчки SID S-1-15-2 - * из списка контроля доступа вредоносного файла эксплойт больше не работал. Каким-то образом, добавленное Edge разрешение позволяло файлу обойти песочницу IE.
Более глубокий анализ показал, что установленное Edge разрешение не позволило функции Win Api GetZoneFromAlternateDataStreamEx прочитать поток файла Zone.Identifier и вернуло ошибку. В итоге IE счел, что файл не имеет метки mark-of-the-Web и отправил его на удаленный сервер.
Несмотря на дополнительные подробности об уязвимости, непохоже, что Microsoft намерена исправить проблему в скором времени. В этой связи ACROS Security выпустила устраняющий уязвимость микропатч, доступный через платформу 0Patch.
