کلاه سیاه آسیا – سنگاپور – یک مشکل شناخته شده مرتبط با فرآیند تبدیل مسیر DOS به NT در ویندوز، با اجازه دادن به مهاجمان برای به دست آوردن قابلیت‌های پس از بهره‌برداری روت‌کیت برای مخفی کردن و جعل هویت فایل‌ها، دایرکتوری‌ها و فرآیندها، ریسک قابل توجهی را برای کسب‌وکارها ایجاد می‌کند.

به گفته Or Yair، محقق امنیتی SafeBreach، که این موضوع را طی جلسه ای در اینجا این هفته بیان کرد. او همچنین چهار آسیب پذیری مختلف مرتبط با این موضوع را به تفصیل شرح داد با نام MagicDot” – شامل یک اشکال خطرناک اجرای کد از راه دور که می تواند به سادگی با استخراج یک بایگانی فعال شود.

نقاط و فضاها در تبدیل مسیر DOS به NT

گروه مشکلات MagicDot به لطف روشی که ویندوز مسیرهای DOS را به مسیرهای NT تغییر می دهد وجود دارد.

هنگامی که کاربران فایل ها یا پوشه ها را در رایانه شخصی خود باز می کنند، ویندوز این کار را با ارجاع به مسیری که فایل وجود دارد انجام می دهد. به طور معمول، این یک مسیر DOS است که از فرمت "C:UsersUserDocumentsexample.txt" پیروی می کند. با این حال، یک تابع زیربنایی متفاوت به نام NtCreateFile برای انجام عمل باز کردن فایل استفاده می شود و NtCreateFile یک مسیر NT و نه مسیر DOS را می خواهد. بنابراین، ویندوز قبل از فراخوانی NtCreateFile برای فعال کردن عملیات، مسیر آشنای DOS را که برای کاربران قابل مشاهده است، به یک مسیر NT تبدیل می‌کند.

مشکل قابل بهره‌برداری به این دلیل وجود دارد که در طول فرآیند تبدیل، ویندوز به‌طور خودکار هر نقطه‌ای را از مسیر DOS به همراه هر فضای اضافی در پایان حذف می‌کند. بنابراین، مسیرهای DOS مانند زیر:

همه به عنوان یک مسیر NT به "??C:exampleexample" تبدیل می شوند.

Yair کشف کرد که این حذف خودکار از نویسه‌های اشتباه می‌تواند به مهاجمان اجازه دهد تا مسیرهای DOS ساخته‌شده‌ای را ایجاد کنند که به مسیرهای NT انتخابی تبدیل می‌شوند، که سپس می‌تواند برای غیرقابل استفاده کردن فایل‌ها یا برای پنهان کردن محتوا و فعالیت‌های مخرب استفاده شود.

شبیه سازی یک روت کیت غیرمجاز

مسائل MagicDot قبل از هر چیز فرصتی را برای تعدادی از تکنیک‌های پس از بهره‌برداری ایجاد می‌کنند که به مهاجمان در یک ماشین کمک می‌کند تا مخفی کاری را حفظ کنند.

برای مثال، می‌توان محتوای مخرب را قفل کرد و از بررسی آن توسط کاربران، حتی مدیران، جلوگیری کرد. "با قرار دادن یک نقطه انتهایی ساده در انتهای نام فایل مخرب یا با نامگذاری یک فایل یا دایرکتوری فقط با نقطه و/یا فاصله، می‌توانم تمام برنامه‌های فضای کاربر را که از API معمولی استفاده می‌کنند برای آنها غیرقابل دسترس کنم… یایر در جلسه توضیح داد که قادر به خواندن، نوشتن، حذف یا انجام هر کار دیگری با آنها نباشید.

سپس، در یک حمله مرتبط، Yair دریافت که این تکنیک می تواند برای مخفی کردن فایل ها یا دایرکتوری ها در فایل های آرشیو استفاده شود.

یایر گفت: «من به سادگی نام یک فایل را در بایگانی با یک نقطه پایان دادم تا از فهرست کردن یا استخراج اکسپلورر جلوگیری کنم. در نتیجه، من توانستم یک فایل مخرب را در یک فایل فشرده بی‌گناه قرار دهم – هرکسی که از Explorer برای مشاهده و استخراج محتوای آرشیو استفاده می‌کرد، قادر به دیدن آن فایل در داخل نبود.»

روش سوم حمله شامل پنهان کردن محتوای مخرب با جعل هویت مسیرهای فایل قانونی است.

او توضیح داد: «اگر یک فایل بی‌ضرر به نام «خوش‌خیم» وجود داشت، می‌توانم از [استفاده از تبدیل مسیر DOS به NT] برای ایجاد یک فایل مخرب در همان دایرکتوری [همچنین با نام] خوش‌خیم استفاده کنم. می تواند برای جعل هویت پوشه ها و حتی فرآیندهای گسترده تر ویندوز استفاده شود. "در نتیجه، هنگامی که کاربر فایل مخرب را می خواند، محتوای فایل بی ضرر اصلی به جای آن بازگردانده می شود."

Yair که منتشر کرد، توضیح داد که در مجموع، دستکاری مسیرهای MagicDot می‌تواند به دشمنان توانایی‌های روت‌کیت‌مانند بدون امتیازات مدیریتی بدهد. نکات فنی دقیق در مورد روش های حمله همزمان با جلسه.

دریافتم که می‌توانم فایل‌ها و فرآیندها را مخفی کنم، فایل‌ها را در بایگانی‌ها پنهان کنم، بر تجزیه و تحلیل فایل‌های واکشی اولیه تأثیر بگذارم، کاربران Task Manager و Process Explorer فکر کنند که یک فایل بدافزار یک فایل اجرایی تأیید شده است که توسط مایکروسافت منتشر شده است، Process Explorer را با انکار سرویس (DoS) غیرفعال کنم. آسیب‌پذیری، و بیشتر،” او گفت – همه بدون امتیازات ادمین یا توانایی اجرای کد در هسته، و بدون دخالت در زنجیره فراخوان‌های API که اطلاعات را بازیابی می‌کنند.

او هشدار داد: «مهم است که جامعه امنیت سایبری این خطر را بشناسد و در حال توسعه تکنیک‌ها و قوانین شناسایی روت‌کیت غیرمجاز باشد».

مجموعه ای از آسیب پذیری های "MagicDot".

یایر در طول تحقیقات خود در مورد مسیرهای MagicDot، چهار آسیب‌پذیری مختلف مرتبط با مشکل اساسی را کشف کرد که سه مورد از آن‌ها پس از اصلاح توسط مایکروسافت انجام شد.

یک آسیب‌پذیری اجرای کد از راه دور (RCE)CVE-2023-36396, CVSS 7.8) در منطق استخراج جدید ویندوز برای همه انواع بایگانی که به تازگی پشتیبانی شده اند به مهاجمان اجازه می دهد تا یک بایگانی مخرب ایجاد کنند که پس از استخراج در هر جایی که انتخاب می کنند بر روی یک کامپیوتر راه دور می نویسند و منجر به اجرای کد می شود.

اساساً، فرض کنید یک بایگانی را در خود آپلود می کنید مخزن GitHub یایر به Dark Reading می گوید که آن را به عنوان یک ابزار جالب در دسترس برای دانلود تبلیغ می کند. "و زمانی که کاربر آن را دانلود می کند، یک فایل اجرایی نیست، شما فقط آرشیو را استخراج می کنید، که یک اقدام کاملا ایمن و بدون خطرات امنیتی در نظر گرفته می شود. اما اکنون، استخراج خود قادر به اجرای کد بر روی رایانه شما است، و این کاملاً اشتباه و بسیار خطرناک است.

دومین باگ آسیب پذیری افزایش امتیاز (EoP) است (CVE-2023-32054، CVSS 7.3) که به مهاجمان اجازه می دهد تا با دستکاری فرآیند بازیابی نسخه قبلی از یک کپی سایه، بدون امتیاز در فایل ها بنویسند.

سومین باگ، DOS غیرمجاز Process Explorer برای اشکال ضد تجزیه و تحلیل است که CVE-2023-42757 برای آن رزرو شده است و جزئیات آن باید دنبال شود. و چهارمین باگ، همچنین یک مشکل EoP، به مهاجمان غیرمجاز اجازه می دهد تا فایل ها را حذف کنند. مایکروسافت تأیید کرد که این نقص منجر به "رفتار غیرمنتظره" شده است اما هنوز CVE یا اصلاحی برای آن صادر نکرده است.

من یک پوشه در داخل پوشه دمو ایجاد می کنم به نام … یایر توضیح داد که در داخل فایلی به نام c.txt می نویسم. «سپس وقتی یک مدیر تلاش می‌کند تا … پوشه، کل پوشه دمو به جای آن حذف می شود.

پیامدهای بالقوه گسترده تر "MagicDot".

در حالی که مایکروسافت به آسیب‌پذیری‌های خاص Yair پرداخته است، حذف خودکار نقطه‌ها و فضاهای تبدیل مسیر DOS به NT همچنان ادامه دارد، حتی اگر علت اصلی آسیب‌پذیری‌ها همین باشد.

این محقق به Dark Reading می‌گوید: «این بدان معناست که ممکن است آسیب‌پذیری‌های بالقوه و تکنیک‌های پس از بهره‌برداری با استفاده از این موضوع بسیار بیشتر باشد». این مسئله هنوز وجود دارد و می‌تواند منجر به مسائل و آسیب‌پذیری‌های بسیار بیشتری شود که می‌تواند بسیار خطرناک‌تر از مواردی باشد که ما درباره آن‌ها می‌دانیم.»

او می افزاید که این مشکل پیامدهایی فراتر از مایکروسافت دارد.

او هشدار داد: «ما معتقدیم پیامدها نه تنها به مایکروسافت ویندوز، که پرکاربردترین سیستم‌عامل دسکتاپ در جهان است، مربوط می‌شود، بلکه به همه فروشندگان نرم‌افزار نیز مربوط می‌شود، که اکثر آنها همچنین اجازه می‌دهند مشکلات شناخته‌شده از نسخه‌ای به نسخه نرم‌افزارشان باقی بماند». در ارائه خود

در همین حال، توسعه دهندگان نرم افزار می توانند با استفاده از مسیرهای NT به جای مسیرهای DOS، کد خود را در برابر این نوع آسیب پذیری ها ایمن تر کنند.

Yair در ارائه خود گفت: "بیشتر تماس های API سطح بالا در ویندوز از مسیرهای NT پشتیبانی می کنند." "استفاده از مسیرهای NT از فرآیند تبدیل جلوگیری می کند و اطمینان حاصل می کند که مسیر ارائه شده همان مسیری است که در واقع روی آن عمل می شود."

برای کسب‌وکارها، تیم‌های امنیتی باید شناسایی‌هایی ایجاد کنند که به دنبال دوره‌ها و فضاهای سرکش در مسیرهای فایل باشند.

تشخیص‌های بسیار آسانی وجود دارد که می‌توانید برای آن‌ها ایجاد کنید، برای جستجوی فایل‌ها یا دایرکتوری‌هایی که دارای نقطه‌ها یا فاصله‌های دنباله‌ای در آن‌ها هستند، زیرا اگر آن‌ها را در رایانه‌تان پیدا کنید، به این معنی است که شخصی این کار را عمدا انجام داده است، زیرا اینطور نیست. یایر به دارک ریدینگ می گوید. «کاربران عادی نمی توانند فقط یک فایل با انتهای نقطه یا فاصله ایجاد کنند، مایکروسافت از آن جلوگیری می کند. مهاجمان باید از a استفاده کنند API پایین تر که به هسته نزدیکتر است و برای انجام این کار به تخصص نیاز دارد.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/vulnerabilities-threats/magicdot-windows-weakness-unprivileged-rootkit