В Windows 10 обнаружено странное поведение, благодаря которому злоумышленники могут удаленно украсть хранящиеся на жестких дисках файлы, когда пользователь открывает вредоносный файл в браузере Microsoft Edge.

Впервые о проблеме стало известно неделю назад, когда исследователь безопасности Джон Пэйдж (John Page) обнародовал информацию об уязвимости в браузере Microsoft Internet Explorer 11, позволяющей получить доступ к файлам на системах под управлением ОС Windows. Также был опубликован PoC-код для данного бага после того, как Microsoft отказалась выпускать соответствующий патч.

По словам специалиста компании ACROS Security Мити Колсека (Mitja Kolsek), техногигант недооценил опасность уязвимости, поскольку она проявляется не только в устаревшем IE, но и в более современном Edge. Более того, опубликованный Пэйджем эксплоит может быть доработан таким образом, чтобы вредоносный файл открывался в Edge.

Как ни странно, вначале исследователь не смог воспроизвести описанную Пэйджем атаку при использовании IE, работающем в Windows 7, для загрузки вредоносного MHT-файл. Хотя менеджер процессов показывал, что файл system.ini, который планировалось похитить, был прочитан скриптом в MHT-файле, он так и не был отправлен на удаленный сервер.

«Это выглядело как классическая ситуация работы так называемой "метки для файла, полученного из сети (mark-of-the-Web)". Когда файл получен из Интернета, приложения Windows, например, браузеры и почтовые клиенты, добавляют метку к такому файлу в виде альтернативного потока данных с именем Zone.Identifier, содержащего строку ZoneId = 3. Таким образом другие приложения узнают, что файл получен из ненадежного источника и, следовательно, должен быть открыт в песочнице или в другой ограниченной среде», — пояснил Колсек.

По его словам, IE действительно поставил такую метку на загруженный MHT-файл. Когда исследователь попытался загрузить тот же файл с помощью Edge и открыть его в IE, эксплоит сработал. После длительного анализа эксперт выяснил причину: как оказалось, Edge добавил две записи в список контроля доступа, добавляющие некой системной службе право на чтение MHT-файла.

Как подсказал специалист команды Google Project Zero Джеймс Форшо (James Foreshaw), добавленные Edge записи относятся к групповым идентификаторам безопасности для пакета Microsoft.MicrosoftEdge_8wekyb3d8bbwe. После удаления второй строчки SID S-1-15-2 — * из списка контроля доступа вредоносного файла эксплойт больше не работал. Каким-то образом, добавленное Edge разрешение позволяло файлу обойти песочницу IE.

Более глубокий анализ показал, что установленное Edge разрешение не позволило функции Win Api GetZoneFromAlternateDataStreamEx прочитать поток файла Zone.Identifier и вернуло ошибку. В итоге IE счел, что файл не имеет метки mark-of-the-Web и отправил его на удаленный сервер.

Несмотря на дополнительные подробности об уязвимости, непохоже, что Microsoft намерена исправить проблему в скором времени. В этой связи ACROS Security выпустила устраняющий уязвимость микропатч, доступный через платформу 0Patch.

Источник: securitylab.ru