BLACK HAT ASIA – Singapur – Teadaolev probleem, mis on seotud Windowsi DOS-NT tee teisendamise protsessiga, avab ettevõtetele märkimisväärse riski, võimaldades ründajatel omandada juurkomplekti sarnased kasutusjärgsed võimalused failide, kataloogide ja protsesside varjamiseks ja kehastamiseks.

Nii ütles SafeBreachi turbeteadlane Or Yair, kes kirjeldas probleemi sel nädalal toimunud istungil. Ta kirjeldas ka nelja erinevat probleemiga seotud haavatavust, mida ta nimega "MagicDot” – sealhulgas ohtlik kaugkäivitusviga, mille saab käivitada lihtsalt arhiivi ekstraktimisega.

Punktid ja tühikud DOS-NT tee teisendamisel

MagicDoti probleemide rühm eksisteerib tänu sellele, kuidas Windows muudab DOS-i teed NT-teedeks.

Kui kasutajad avavad oma arvutis faile või kaustu, saavutab Windows selle, viidates faili asukohale; tavaliselt on see DOS-i tee, mis järgib vormingut „C:UsersUserDocumentsexample.txt”. Kuid faili avamise toimingu tegemiseks kasutatakse teistsugust alusfunktsiooni nimega NtCreateFile ja NtCreateFile küsib NT-teed, mitte DOS-i teed. Seega teisendab Windows kasutajatele nähtava tuttava DOS-i tee NT-teeks enne NtCreateFile'i kutsumist toimingu lubamiseks.

Kasutatav probleem ilmneb seetõttu, et Windows eemaldab teisendusprotsessi käigus automaatselt kõik punktid DOS-i teelt koos lisatühikutega lõpus. Seega on DOS-i teed sellised:

on kõik teisendatud NT teeks "??C:exampleexample".

Yair avastas, et selline vigaste märkide automaatne eemaldamine võib võimaldada ründajatel luua spetsiaalselt loodud DOS-i teid, mis teisendatakse nende valitud NT-teedeks, mida saab seejärel kasutada failide kasutuskõlbmatuks muutmiseks või pahatahtliku sisu ja tegevuste varjamiseks.

Privilegeeritud juurkomplekti simuleerimine

MagicDoti probleemid loovad ennekõike võimaluse mitmeteks ekspluateerimisjärgseteks tehnikateks, mis aitavad masinas ründajatel end vargsi hoida.

Näiteks on võimalik pahatahtlikku sisu lukustada ja takistada kasutajatel, isegi administraatoritel, seda uurimast. "Asetades pahatahtliku failinime lõppu lihtsa lõpupunkti või nimetades faili või kataloogi ainult punktide ja/või tühikutega, saaksin kõik tavalist API-d kasutavad kasutajaruumi programmid neile kättesaamatuks muuta… ei saa nendega lugeda, kirjutada, kustutada ega midagi muud teha," selgitas Yair istungil.

Seejärel leidis Yair seotud rünnaku käigus, et seda tehnikat saab kasutada failide või kataloogide peitmiseks arhiivifailides.

"Lõpetasin arhiivis failinime lihtsalt punktiga, et takistada Exploreril seda loetlemast või ekstraktimast," ütles Yair. "Selle tulemusel sain paigutada pahatahtliku faili süütu zipi sisse – kes iganes arhiivi sisu vaatamiseks ja ekstraktimiseks Explorerit kasutas, ei näinud selle faili olemasolu sees."

Kolmas ründemeetod hõlmab pahatahtliku sisu maskeerimist seaduslike failiteedena.

"Kui oli kahjutu fail nimega "healoomuline", sain [kasutada DOS-NT tee teisendamist], et luua samas kataloogis pahatahtlik fail [nimetatakse ka] healoomuliseks," selgitas ta ja lisas, et sama lähenemisviisi. saab kasutada kaustade ja isegi laiemate Windowsi protsesside kehastamiseks. "Selle tulemusel tagastatakse kasutaja pahatahtliku faili lugemisel selle asemel algse kahjutu faili sisu," jättes ohvrile targemaks, et ta tegelikult pahatahtlikku sisu avas.

Kokkuvõttes võib MagicDoti teede manipuleerimine anda vastastele juurkomplekti sarnased võimed ilma administraatoriõigusteta, selgitas Yair, kes avaldas üksikasjalikud tehnilised märkused rünnakumeetodite kohta koos seansiga.

"Leidsin, et suudan peita faile ja protsesse, peita faile arhiivides, mõjutada failide eellaadimise analüüsi, panna tegumihalduri ja Process Exploreri kasutajad arvama, et pahavarafail on Microsofti avaldatud kontrollitud käivitatav fail, keelata protsessi Explorer teenuse keelamisega (DoS). haavatavus ja palju muud, ”ütles ta – seda kõike ilma administraatoriõigusteta või tuumas koodi käivitamise võimaluseta ja ilma sekkumiseta teavet hankivate API-kutsete ahelasse.

"On oluline, et küberjulgeoleku kogukond tunnistaks seda riski ja kaaluks ebasoodsate juurkomplektide tuvastamise tehnikate ja reeglite väljatöötamist," hoiatas ta.

"MagicDoti" haavatavuste seeria

MagicDoti radade uurimisel õnnestus Yairil avastada ka neli erinevat haavatavust, mis on seotud selle aluseks oleva probleemiga, millest kolm on pärast seda, kui Microsoft on lappinud.

Ühe koodi kaugkäitamise (RCE) haavatavus (CVE-2023-36396, CVSS 7.8) võimaldab ründajatel luua kõigi äsja toetatud arhiivitüüpide jaoks mõeldud Windowsi uues väljavõtmisloogikas pahatahtliku arhiivi, mis kirjutaks pärast ekstraktimist kaugarvutis kuhu iganes nad valivad, mis viib koodi täitmiseni.

"Põhimõtteliselt oletame, et laadite arhiivi üles GitHubi hoidla reklaamides seda laheda tööriistana, mis on allalaadimiseks saadaval," räägib Yair Dark Readingile. "Ja kui kasutaja selle alla laadib, ei ole see käivitatav fail, te lihtsalt eraldate arhiivi, mida peetakse täiesti ohutuks toiminguks ilma turvariskideta. Kuid nüüd suudab ekstraktimine ise teie arvutis koodi käivitada ja see on tõsiselt vale ja väga ohtlik.

Teine viga on privileegide tõstmise (EoP) haavatavus (CVE-2023-32054, CVSS 7.3), mis võimaldab ründajatel kirjutada failidesse ilma õigusteta, manipuleerides varasema versiooni taastamisprotsessi varikoopiast.

Kolmas viga on Protsess Exploreri privilegeerimata DOS analüüsivastase vea jaoks, mille jaoks on reserveeritud CVE-2023-42757, mille üksikasjad on järgmised. Ja neljas viga, samuti EoP probleem, võimaldab privilegeerimata ründajatel faile kustutada. Microsoft kinnitas, et viga põhjustas "ootamatu käitumise", kuid pole veel CVE-d ega selle parandamist väljastanud.

"Ma loon demokausta sisse kausta nimega ... ja sees kirjutan faili nimega c.txt,” selgitas Yair. "Siis kui administraator proovib kustutada ... kaust, kustutatakse selle asemel kogu demokaust.

Võimalikud laiemad "MagicDoti" tagajärjed

Kuigi Microsoft tegeles Yairi konkreetsete haavatavustega, jätkub DOS-NT tee teisendamise automaatne perioodide ja tühikute eemaldamine, kuigi see on haavatavuste algpõhjus.

"See tähendab, et selle probleemi abil võib leida palju rohkem potentsiaalseid haavatavusi ja kasutusjärgseid tehnikaid," räägib teadlane Dark Readingile. "See probleem on endiselt olemas ja võib põhjustada palju rohkem probleeme ja haavatavusi, mis võivad olla palju ohtlikumad kui need, millest me teame."

Ta lisab, et probleemil on Microsofti tagamaid.

"Usume, et need tagajärjed on olulised mitte ainult Microsoft Windowsi jaoks, mis on maailmas enimkasutatav lauaarvuti OS, vaid ka kõikidele tarkvaramüüjatele, kellest enamik lubab ka teadaolevatel probleemidel oma tarkvara versioonist versioonini püsida," hoiatas ta. tema ettekandes.

Samal ajal saavad tarkvaraarendajad muuta oma koodi seda tüüpi haavatavuste vastu turvalisemaks, kasutades DOS-i radade asemel NT-teid, märkis ta.

"Enamik Windowsi kõrgetasemelisi API-kõnesid toetab NT-teid," ütles Yair oma ettekandes. "NT-teede kasutamine väldib teisendusprotsessi ja tagab, et pakutav tee on sama, mida tegelikult kasutatakse."

Ettevõtete jaoks peaksid turvameeskonnad looma tuvastusi, mis otsivad failiteedel valesid perioode ja tühikuid.

"Nende jaoks on võimalik välja töötada üsna lihtsad tuvastamised, et otsida faile või katalooge, mille lõpus on punkte või tühikuid, sest kui leiate need oma arvutist, tähendab see, et keegi tegi seda meelega, sest see pole nii. seda on lihtne teha,” räägib Yair Dark Readingile. "Tavakasutajad ei saa lihtsalt luua faili, mille otsad on punkti või tühikuga, Microsoft hoiab seda ära. Ründajad peavad kasutama a madalam API mis on tuumale lähemal ja vajab selle saavutamiseks mõningaid teadmisi.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/vulnerabilities-threats/magicdot-windows-weakness-unprivileged-rootkit