کلاه سیاه آسیا – سنگاپور – یک مشکل شناخته شده مرتبط با فرآیند تبدیل مسیر DOS به NT در ویندوز، با اجازه دادن به مهاجمان برای به دست آوردن قابلیتهای پس از بهرهبرداری روتکیت برای مخفی کردن و جعل هویت فایلها، دایرکتوریها و فرآیندها، ریسک قابل توجهی را برای کسبوکارها ایجاد میکند.
به گفته Or Yair، محقق امنیتی SafeBreach، که این موضوع را طی جلسه ای در اینجا این هفته بیان کرد. او همچنین چهار آسیب پذیری مختلف مرتبط با این موضوع را به تفصیل شرح داد با نام MagicDot” – شامل یک اشکال خطرناک اجرای کد از راه دور که می تواند به سادگی با استخراج یک بایگانی فعال شود.
نقاط و فضاها در تبدیل مسیر DOS به NT
گروه مشکلات MagicDot به لطف روشی که ویندوز مسیرهای DOS را به مسیرهای NT تغییر می دهد وجود دارد.
هنگامی که کاربران فایل ها یا پوشه ها را در رایانه شخصی خود باز می کنند، ویندوز این کار را با ارجاع به مسیری که فایل وجود دارد انجام می دهد. به طور معمول، این یک مسیر DOS است که از فرمت "C:UsersUserDocumentsexample.txt" پیروی می کند. با این حال، یک تابع زیربنایی متفاوت به نام NtCreateFile برای انجام عمل باز کردن فایل استفاده می شود و NtCreateFile یک مسیر NT و نه مسیر DOS را می خواهد. بنابراین، ویندوز قبل از فراخوانی NtCreateFile برای فعال کردن عملیات، مسیر آشنای DOS را که برای کاربران قابل مشاهده است، به یک مسیر NT تبدیل میکند.
مشکل قابل بهرهبرداری به این دلیل وجود دارد که در طول فرآیند تبدیل، ویندوز بهطور خودکار هر نقطهای را از مسیر DOS به همراه هر فضای اضافی در پایان حذف میکند. بنابراین، مسیرهای DOS مانند زیر:
-
ج: مثال.
-
ج: مثال…
-
ج: مثال
همه به عنوان یک مسیر NT به "??C:exampleexample" تبدیل می شوند.
Yair کشف کرد که این حذف خودکار از نویسههای اشتباه میتواند به مهاجمان اجازه دهد تا مسیرهای DOS ساختهشدهای را ایجاد کنند که به مسیرهای NT انتخابی تبدیل میشوند، که سپس میتواند برای غیرقابل استفاده کردن فایلها یا برای پنهان کردن محتوا و فعالیتهای مخرب استفاده شود.
شبیه سازی یک روت کیت غیرمجاز
مسائل MagicDot قبل از هر چیز فرصتی را برای تعدادی از تکنیکهای پس از بهرهبرداری ایجاد میکنند که به مهاجمان در یک ماشین کمک میکند تا مخفی کاری را حفظ کنند.
برای مثال، میتوان محتوای مخرب را قفل کرد و از بررسی آن توسط کاربران، حتی مدیران، جلوگیری کرد. "با قرار دادن یک نقطه انتهایی ساده در انتهای نام فایل مخرب یا با نامگذاری یک فایل یا دایرکتوری فقط با نقطه و/یا فاصله، میتوانم تمام برنامههای فضای کاربر را که از API معمولی استفاده میکنند برای آنها غیرقابل دسترس کنم… یایر در جلسه توضیح داد که قادر به خواندن، نوشتن، حذف یا انجام هر کار دیگری با آنها نباشید.
سپس، در یک حمله مرتبط، Yair دریافت که این تکنیک می تواند برای مخفی کردن فایل ها یا دایرکتوری ها در فایل های آرشیو استفاده شود.
یایر گفت: «من به سادگی نام یک فایل را در بایگانی با یک نقطه پایان دادم تا از فهرست کردن یا استخراج اکسپلورر جلوگیری کنم. در نتیجه، من توانستم یک فایل مخرب را در یک فایل فشرده بیگناه قرار دهم – هرکسی که از Explorer برای مشاهده و استخراج محتوای آرشیو استفاده میکرد، قادر به دیدن آن فایل در داخل نبود.»
روش سوم حمله شامل پنهان کردن محتوای مخرب با جعل هویت مسیرهای فایل قانونی است.
او توضیح داد: «اگر یک فایل بیضرر به نام «خوشخیم» وجود داشت، میتوانم از [استفاده از تبدیل مسیر DOS به NT] برای ایجاد یک فایل مخرب در همان دایرکتوری [همچنین با نام] خوشخیم استفاده کنم. می تواند برای جعل هویت پوشه ها و حتی فرآیندهای گسترده تر ویندوز استفاده شود. "در نتیجه، هنگامی که کاربر فایل مخرب را می خواند، محتوای فایل بی ضرر اصلی به جای آن بازگردانده می شود."
Yair که منتشر کرد، توضیح داد که در مجموع، دستکاری مسیرهای MagicDot میتواند به دشمنان تواناییهای روتکیتمانند بدون امتیازات مدیریتی بدهد. نکات فنی دقیق در مورد روش های حمله همزمان با جلسه.
دریافتم که میتوانم فایلها و فرآیندها را مخفی کنم، فایلها را در بایگانیها پنهان کنم، بر تجزیه و تحلیل فایلهای واکشی اولیه تأثیر بگذارم، کاربران Task Manager و Process Explorer فکر کنند که یک فایل بدافزار یک فایل اجرایی تأیید شده است که توسط مایکروسافت منتشر شده است، Process Explorer را با انکار سرویس (DoS) غیرفعال کنم. آسیبپذیری، و بیشتر،” او گفت – همه بدون امتیازات ادمین یا توانایی اجرای کد در هسته، و بدون دخالت در زنجیره فراخوانهای API که اطلاعات را بازیابی میکنند.
او هشدار داد: «مهم است که جامعه امنیت سایبری این خطر را بشناسد و در حال توسعه تکنیکها و قوانین شناسایی روتکیت غیرمجاز باشد».
مجموعه ای از آسیب پذیری های "MagicDot".
یایر در طول تحقیقات خود در مورد مسیرهای MagicDot، چهار آسیبپذیری مختلف مرتبط با مشکل اساسی را کشف کرد که سه مورد از آنها پس از اصلاح توسط مایکروسافت انجام شد.
یک آسیبپذیری اجرای کد از راه دور (RCE)CVE-2023-36396, CVSS 7.8) در منطق استخراج جدید ویندوز برای همه انواع بایگانی که به تازگی پشتیبانی شده اند به مهاجمان اجازه می دهد تا یک بایگانی مخرب ایجاد کنند که پس از استخراج در هر جایی که انتخاب می کنند بر روی یک کامپیوتر راه دور می نویسند و منجر به اجرای کد می شود.
اساساً، فرض کنید یک بایگانی را در خود آپلود می کنید مخزن GitHub یایر به Dark Reading می گوید که آن را به عنوان یک ابزار جالب در دسترس برای دانلود تبلیغ می کند. "و زمانی که کاربر آن را دانلود می کند، یک فایل اجرایی نیست، شما فقط آرشیو را استخراج می کنید، که یک اقدام کاملا ایمن و بدون خطرات امنیتی در نظر گرفته می شود. اما اکنون، استخراج خود قادر به اجرای کد بر روی رایانه شما است، و این کاملاً اشتباه و بسیار خطرناک است.
دومین باگ آسیب پذیری افزایش امتیاز (EoP) است (CVE-2023-32054، CVSS 7.3) که به مهاجمان اجازه می دهد تا با دستکاری فرآیند بازیابی نسخه قبلی از یک کپی سایه، بدون امتیاز در فایل ها بنویسند.
سومین باگ، DOS غیرمجاز Process Explorer برای اشکال ضد تجزیه و تحلیل است که CVE-2023-42757 برای آن رزرو شده است و جزئیات آن باید دنبال شود. و چهارمین باگ، همچنین یک مشکل EoP، به مهاجمان غیرمجاز اجازه می دهد تا فایل ها را حذف کنند. مایکروسافت تأیید کرد که این نقص منجر به "رفتار غیرمنتظره" شده است اما هنوز CVE یا اصلاحی برای آن صادر نکرده است.
من یک پوشه در داخل پوشه دمو ایجاد می کنم به نام … یایر توضیح داد که در داخل فایلی به نام c.txt می نویسم. «سپس وقتی یک مدیر تلاش میکند تا … پوشه، کل پوشه دمو به جای آن حذف می شود.
پیامدهای بالقوه گسترده تر "MagicDot".
در حالی که مایکروسافت به آسیبپذیریهای خاص Yair پرداخته است، حذف خودکار نقطهها و فضاهای تبدیل مسیر DOS به NT همچنان ادامه دارد، حتی اگر علت اصلی آسیبپذیریها همین باشد.
این محقق به Dark Reading میگوید: «این بدان معناست که ممکن است آسیبپذیریهای بالقوه و تکنیکهای پس از بهرهبرداری با استفاده از این موضوع بسیار بیشتر باشد». این مسئله هنوز وجود دارد و میتواند منجر به مسائل و آسیبپذیریهای بسیار بیشتری شود که میتواند بسیار خطرناکتر از مواردی باشد که ما درباره آنها میدانیم.»
او می افزاید که این مشکل پیامدهایی فراتر از مایکروسافت دارد.
او هشدار داد: «ما معتقدیم پیامدها نه تنها به مایکروسافت ویندوز، که پرکاربردترین سیستمعامل دسکتاپ در جهان است، مربوط میشود، بلکه به همه فروشندگان نرمافزار نیز مربوط میشود، که اکثر آنها همچنین اجازه میدهند مشکلات شناختهشده از نسخهای به نسخه نرمافزارشان باقی بماند». در ارائه خود
در همین حال، توسعه دهندگان نرم افزار می توانند با استفاده از مسیرهای NT به جای مسیرهای DOS، کد خود را در برابر این نوع آسیب پذیری ها ایمن تر کنند.
Yair در ارائه خود گفت: "بیشتر تماس های API سطح بالا در ویندوز از مسیرهای NT پشتیبانی می کنند." "استفاده از مسیرهای NT از فرآیند تبدیل جلوگیری می کند و اطمینان حاصل می کند که مسیر ارائه شده همان مسیری است که در واقع روی آن عمل می شود."
برای کسبوکارها، تیمهای امنیتی باید شناساییهایی ایجاد کنند که به دنبال دورهها و فضاهای سرکش در مسیرهای فایل باشند.
تشخیصهای بسیار آسانی وجود دارد که میتوانید برای آنها ایجاد کنید، برای جستجوی فایلها یا دایرکتوریهایی که دارای نقطهها یا فاصلههای دنبالهای در آنها هستند، زیرا اگر آنها را در رایانهتان پیدا کنید، به این معنی است که شخصی این کار را عمدا انجام داده است، زیرا اینطور نیست. یایر به دارک ریدینگ می گوید. «کاربران عادی نمی توانند فقط یک فایل با انتهای نقطه یا فاصله ایجاد کنند، مایکروسافت از آن جلوگیری می کند. مهاجمان باید از a استفاده کنند API پایین تر که به هسته نزدیکتر است و برای انجام این کار به تخصص نیاز دارد.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/vulnerabilities-threats/magicdot-windows-weakness-unprivileged-rootkit