BLACK HAT ASIA – Singapur – Známý problém spojený s procesem převodu cest z DOS na NT v systému Windows otevírá firmám značné riziko, protože umožňuje útočníkům získat schopnosti po zneužití podobné rootkitům, aby mohli skrývat a vydávat se za soubory, adresáře a procesy.

To je podle Or Yaira, bezpečnostního výzkumníka v SafeBreach, který tento problém nastínil během zasedání zde tento týden. Také podrobně popsal čtyři různé zranitelnosti související s problémem, které uvedl s názvem „MagicDot” – včetně nebezpečné chyby vzdáleného spouštění kódu, kterou lze spustit jednoduše rozbalením archivu.

Tečky a mezery v převodu cesty DOS-NT

Skupina problémů MagicDot existuje díky způsobu, jakým Windows mění cesty DOSu na cesty NT.

Když uživatelé otevřou soubory nebo složky na svých počítačích, systém Windows to provede odkazem na cestu, kde soubor existuje; normálně je to cesta DOS, která následuje ve formátu „C:UsersUserDocumentsexample.txt“. Ke skutečnému provedení operace otevření souboru se však používá jiná základní funkce nazvaná NtCreateFile a NtCreateFile požaduje cestu NT a nikoli cestu DOS. Systém Windows tedy před voláním NtCreateFile pro povolení operace převede známou cestu DOS viditelnou uživatelům na cestu NT.

Problém, který lze zneužít, existuje, protože během procesu převodu systém Windows automaticky odstraní všechny tečky z cesty DOS spolu se všemi mezerami navíc na konci. Takže cesty DOSu jako tyto:

jsou všechny převedeny na „??C:exampleexample“ jako cesta NT.

Yair zjistil, že toto automatické odstraňování chybných znaků by mohlo útočníkům umožnit vytvářet speciálně vytvořené cesty DOS, které by byly převedeny na cesty NT podle jejich výběru, které by pak mohly být použity buď k tomu, aby byly soubory nepoužitelné, nebo ke skrytí škodlivého obsahu a aktivit.

Simulace neprivilegovaného rootkitu

Problémy MagicDot v první řadě vytvářejí příležitost pro řadu technik po zneužití, které pomáhají útočníkům na stroji udržet utajení.

Je například možné uzamknout škodlivý obsah a zabránit uživatelům, dokonce i správcům, aby jej prozkoumali. „Umístěním jednoduché koncové tečky na konec názvu škodlivého souboru nebo pojmenováním souboru nebo adresáře pouze tečkami a/nebo mezerami bych mohl znepřístupnit všechny programy v uživatelském prostoru, které používají normální API… uživatelé by nebudou moci číst, psát, mazat nebo s nimi dělat cokoli jiného,“ vysvětlil Yair v relaci.

Poté v souvisejícím útoku Yair zjistil, že tuto techniku ​​lze použít ke skrytí souborů nebo adresářů v archivních souborech.

"Jednoduše jsem ukončil název souboru v archivu tečkou, abych zabránil Průzkumníkovi v jeho výpisu nebo extrahování," řekl Yair. "V důsledku toho jsem byl schopen umístit škodlivý soubor do nevinného zipu - kdokoli použil Průzkumníka k zobrazení a extrahování obsahu archivu, nemohl vidět, že soubor uvnitř existuje."

Třetí metoda útoku zahrnuje maskování škodlivého obsahu vydáváním se za legitimní cesty k souborům.

„Pokud existoval neškodný soubor nazvaný ‚benigní‘, byl jsem schopen [použít převod cesty DOS-na-NT] k vytvoření škodlivého souboru ve stejném adresáři [také nazývaném] benigní,“ vysvětlil a dodal, že stejný přístup lze použít k zosobnění složek a ještě širších procesů Windows. „V důsledku toho, když si uživatel přečte škodlivý soubor, bude místo toho vrácen obsah původního neškodného souboru,“ takže oběť není o nic moudřejší, že ve skutečnosti škodlivý obsah otevírá.

Celkově vzato může manipulace s cestami MagicDot poskytnout protivníkům schopnosti podobné rootkitům bez oprávnění správce, vysvětlil Yair, který publikoval podrobné technické poznámky o metodách útoku v tandemu s relací.

„Zjistil jsem, že mohu skrýt soubory a procesy, skrýt soubory v archivech, ovlivnit analýzu souborů s předběžným načtením, přimět uživatele Správce úloh a Process Explorer, aby si mysleli, že soubor malwaru je ověřený spustitelný soubor publikovaný společností Microsoft, deaktivovat Process Explorer s odmítnutím služby (DoS) zranitelnost a další,“ řekl – to vše bez administrátorských práv nebo možnosti spouštět kód v jádře a bez zásahu do řetězce volání API, která získávají informace.

„Je důležité, aby si komunita kybernetické bezpečnosti toto riziko uvědomila a zvážila vývoj neprivilegovaných technik a pravidel pro detekci rootkitů,“ varoval.

Řada zranitelností „MagicDot“.

Během svého výzkumu cest MagicDot se Yairovi také podařilo odhalit čtyři různé zranitelnosti související se základním problémem, tři z nich od doby, kdy byl opraven Microsoftem.

Jedna chyba zabezpečení vzdáleného spuštění kódu (RCE) (CVE-2023-36396, CVSS 7.8) v nové logice extrakce systému Windows pro všechny nově podporované typy archivů umožňuje útočníkům vytvořit škodlivý archiv, který by po extrahování zapisoval kamkoli na vzdáleném počítači, což by vedlo ke spuštění kódu.

„V podstatě řekněme, že nahrajete archiv do svého Úložiště GitHub propagovat to jako skvělý nástroj dostupný ke stažení,“ říká Yair pro Dark Reading. „A když si jej uživatel stáhne, není to spustitelný soubor, pouze rozbalíte archiv, což je považováno za zcela bezpečnou akci bez bezpečnostních rizik. Ale nyní je samotná extrakce schopna spustit kód na vašem počítači, a to je vážně špatné a velmi nebezpečné.“

Druhou chybou je zranitelnost týkající se zvýšení oprávnění (EoP) (CVE-2023-32054, CVSS 7.3), který umožňuje útočníkům zapisovat do souborů bez oprávnění manipulací procesu obnovy předchozí verze ze stínové kopie.

Třetí chybou je chyba Process Explorer neprivilegovaného DOSu pro antianalýzu, pro kterou bylo vyhrazeno CVE-2023-42757, podrobnosti budou následovat. A čtvrtá chyba, také problém EoP, umožňuje neprivilegovaným útočníkům mazat soubory. Microsoft potvrdil, že chyba vedla k „neočekávanému chování“, ale dosud nevydal CVE ani opravu.

„Vytvářím složku v demo složce s názvem… a uvnitř napíšu soubor s názvem c.txt,“ vysvětlil Yair. „Když se pak správce pokusí smazat… složka, místo toho se smaže celá ukázková složka."

Potenciálně širší důsledky „MagicDot“.

Zatímco Microsoft řešil konkrétní zranitelnosti Yairu, automatické odstraňování teček a mezer při převodu cesty DOS-NT přetrvává, i když to je hlavní příčina zranitelnosti.

"To znamená, že může existovat mnohem více potenciálních zranitelností a technik po vykořisťování, které lze pomocí tohoto problému najít," říká výzkumník Dark Reading. "Tento problém stále existuje a může vést k mnoha dalším problémům a zranitelnostem, které mohou být mnohem nebezpečnější než ty, o kterých víme."

Dodává, že problém má důsledky i mimo Microsoft.

"Věříme, že důsledky jsou relevantní nejen pro Microsoft Windows, což je celosvětově nejrozšířenější desktopový OS, ale také pro všechny dodavatele softwaru, z nichž většina také umožňuje, aby známé problémy přetrvávaly z verze na verzi jejich softwaru," varoval. v jeho prezentaci.

Mezitím mohou vývojáři softwaru učinit svůj kód bezpečnější proti těmto typům zranitelnosti tím, že použijí cesty NT spíše než cesty DOS, poznamenal.

"Většina volání API na vysoké úrovni ve Windows podporuje cesty NT," řekl Yair ve své prezentaci. "Použití cest NT se vyhne procesu převodu a zajistí, že poskytnutá cesta bude stejná, na které je skutečně provozováno."

Pro podniky by bezpečnostní týmy měly vytvářet detekce, které vyhledávají nepoctivá období a mezery v cestách k souborům.

„Existují docela snadné detekce, které pro tyto účely můžete vyvinout, hledat soubory nebo adresáře, které mají na konci tečky nebo mezery, protože pokud je najdete ve svém počítači, znamená to, že to někdo udělal schválně, protože to není tak snadné,“ říká Yair Dark Reading. „Běžní uživatelé nemohou pouze vytvořit soubor s konci tečkou nebo mezerou, Microsoft tomu zabrání. Útočníci budou muset použít a nižší API která je blíže jádru a bude k tomu potřebovat určité odborné znalosti.“

• SEO Powered Content & PR distribuce. Získejte posílení ještě dnes.
• PlatoData.Network Vertikální generativní Ai. Zmocnit se. Přístup zde.
• PlatoAiStream. Inteligence Web3. Znalosti rozšířené. Přístup zde.
• PlatoESG. Uhlík, CleanTech, Energie, Životní prostředí, Sluneční, Nakládání s odpady. Přístup zde.
• PlatoHealth. Inteligence biotechnologií a klinických studií. Přístup zde.
• Zdroj: https://www.darkreading.com/vulnerabilities-threats/magicdot-windows-weakness-unprivileged-rootkit