Forskere bemærkede mærkelig opførsel i Windows 10 der kan tillade indtrængende fjern stjæle filer, der er gemt på harddiske, efter at brugeren har åbnet malware-fil i Microsoft Edge.
Feller der blev rapporteret om første gang problem, da cybersecurity-forsker John Page offentliggjorte oplysninger om sårbarhed i Microsoft Internet Explorer 11 der tillader åbning af adgang til filer på Microsoft OS. Page offentliggjorde også PoC-kode for denne fejl, efter at Microsoft nægtede at udvikle en patch.imidlertid, Ifølge Mitja Kolsek, ACROS Security specialist, den teknologiske gigant undervurderede truslen om denne sårbarhed, da den ikke kun manifesterer sig med forældet IE, men også i moderne Edge. i øvrigt, udgivet af Page exploit kan behandles til en version, der åbnes med Edge.
Det kan være underligt, men for det første kunne specialist ikke gentage et angreb med brug af IE i Windows 7 og kunne ikke uploade malware MHT-fil, som Page beskrev den. Selvom procesmanager viste, at system.ini-filen, der kunne stjæles, blev læst af script i MHT-fil, det blev ikke sendt til ekstern server.
”Dette lignede en klassiker “mark-of-the-web” situation. Når en fil hentes fra Internettet, velopdragne Windows-applikationer som webbrowsere og e-mail-klienter tilføjer et mærke til sådan [EN] fil i [Det] form af en alternativ datastrøm med navnet Zone.Identifier, der indeholder en linje ZoneId = 3. Dette gør det muligt for andre applikationer at vide, at filen kommer fra en ikke-betroet kilde - og bør derfor åbnes i en sandkasse eller et ellers begrænset miljø. ”, – Kolsek skrev.
Ifølge Kolsek, IE satte virkelig et mærke på den uploadede MHT-fil. Da efterforsker prøvede at uploade samme fil med Edge og åbne i IE, udnytte arbejdet. Efter en nøjagtig analyse ekspert konstaterede, at Edge tilføjede to noter i adgangskontrollisten, der tilføjer ret til at læse en fil til nogle systemtjenester.
som rådgivet Google Project Zero specialist James Foreshaw, tilføjet af Edge-identifikatorer er gruppesikkerhedsidentifikatorer til Microsoft.MicrosoftEdge_8wekyb3d8bbwe PACKET. Efter fjernelse af anden linje SID S-1-15-2 -* fra listen over adgangskontroludnyttelse fungerede ikke igen. På denne måde, tilladelse, der tilføjede Edge, tillod manglende IE-sandkasse.
James Forshaw tweet
Mere detaljeret analyse demonstrerede, at etableret med Edge-tilladelse ikke tillader, at Win Api GetZoneFromAlternateDataStreamEx-funktionen læste Zone.Indetifier-flow og returnerede en fejl. Langt om længe, IE mente, at filen ikke har mark-of-the-web-mærket og sendte den til fjernserver.
På trods af yderligere detaljer om sårbarhed, det er usandsynligt, at Microsoft vil løse det snart.
“Vi har bestemt, at en løsning til dette problem vil blive overvejet i en fremtidig version af dette produkt eller denne tjeneste. På dette tidspunkt, vi leverer ikke løbende opdateringer af status for rettelsen til dette problem, og vi har afsluttet denne sag.”, - angivet i Microsoft .
I denne forbindelse, ACROS Security har frigivet en sårbarhedspatch, tilgængelig på 0Lappe platform.
