Strona główna > Newsy > Jak uciec z piaskownicy Microsoftu? Protected Mode Internet Explorera pokonany

"Jak uciec z piaskownicy Microsoftu? Protected Mode Internet Explorera pokonany".

2010-12-05

Do tej pory użytkownicy Internet Explorera 8 w nowoczesnych systemach Microsoftu byli całkiem dobrze chronieni przed exploitami umieszczonymi na stronach internetowych z malware. Mechanizm Protected Mode, działający niczym sandbox uniemożliwiający zaatakowanie poprzez lukę w przeglądarce systemu operacyjnego zapewniał im spokojny sen. Z tym jednak koniec ? badacze z Verizon Business znaleźli sposób na poradzenie sobie z Protected Mode.

Tryb IE Protected Mode chroni użytkowników przez wyexploitowaniem błędów w przeglądarce poprzez uruchamianie większości procesów z bardzo małymi uprawnieniami. Chodzi o to, by napastnik, który skutecznie uruchomi wrogi kod poprzez podatność na maszynie ofiary, nie mógł praktycznie niczego ważnego zrobić.

Tymczasem badania ekspertów z Verizon Business Team zaowocowały stworzeniem metody, która w połączeniu z podatnością w przeglądarce pozwala napastnikowi obejść tryb Protected Mode i wynieść jego uprawnienia do poziomu, który umożliwia na uruchomienie dowolnego kodu z uprawnieniami takimi, jakie ma zalogowany użytkownik.

?Wiele sub-procesów Internet Explorera działa bez żadnych modyfikacji w trybie niskiego zaufania, podpinając się do interfejsu Protected Moder wyjawionego przez proces brokerski Internet Explorera. Jedna inne bardzie skomplikowane dodatki i aplikacje wymagają modyfikacji. W rezultacie tej niekompatybilności i nacisku Microsoftu na wsteczną kompatybilność, nie wszystkie strefy Internet Explorera renderują swoje witryny w Protected Mode. Każda strefa IE określa zbiór polityk bezpieczeństwa renderowanych w tej strefie, a włączenie trybu Protected należy do jednego z dostępnych ustawień? ? wyjaśniają badacze z Verizon Business Team.

Jeśli jednak uda się znaleźć exploit związany z zepsuciem (corruption) pamięci w Internet Explorerze lub jakimś jego rozszerzeniu, to sytuacja robi się bardzo groźna. ?Po tym jak pierwotny exploit zostanie wykorzystany do wykonania kodu o niskim poziomie zaufania na kliencie, ładunek może stworzyć serwer webowy nasłuchujący na dowolnym porcie interfejsu pseudosieci (loopback). Taki serwer webowy może ponownie wysłać tego samego exploita, który umożliwił zdalne włamanie. Jako że jest on uruchamiany z tej samej maszyny, będzie znacznie skuteczniejszy, ponieważ mechanizm ASLR już nie działa, a inne techniki exploitowania mogą zostać użyte z wyższym prawdopodobieństwem sukcesu? ? czytamy w artykule badaczy.

Jak jednak zmusić przeglądarkę do ponownego wczytania exploita? I na to jest sposób ? w ramach Protected Mode dostępna jest funkcja IELaunchUrl(), pozwalająca na otworzenie nowej karty, w której otworzy się strona z adresem w stylu http://localhost/malware.html. ?Nowa strona będzie wyrenderowana w strefie Local Intranet, ze średnim poziomem zaufania (?). Daje to pełen dostęp do konta użytkownika i pozwala na umieszczenie na jego komputerze szkodliwego kodu ? coś, co nie było możliwe w trybie niskiego zaufania?.

Odkrycie badaczy jest pierwszym znanym sposobem ucieczki z sandboksa. Ta technologia ochronna, wprowadzona właśnie przez Microsoft w systemie Windows Vista i przeglądarce IE7, została chętnie zaadoptowana przez innych producentów. Swoją wersję sandboksu ma Google w przeglądarce Chrome, mechanizm taki wbudowało też Adobe w swój czytnik PDF-ów, Reader X.

Więcej informacji na ten temat w dokumencie ?Escaping From Microsoft's Protected Mode Internet Explorer?.

źródło: threatpost.com