ब्लैक हैट एशिया - सिंगापुर - विंडोज़ में डॉस-टू-एनटी पथ रूपांतरण प्रक्रिया से जुड़ी एक ज्ञात समस्या हमलावरों को फ़ाइलों, निर्देशिकाओं और प्रक्रियाओं को छिपाने और उनका प्रतिरूपण करने के लिए रूटकिट-जैसी पोस्ट-शोषण क्षमताओं को प्राप्त करने की अनुमति देकर व्यवसायों के लिए महत्वपूर्ण जोखिम खोलती है।
यह बात सेफब्रीच के सुरक्षा शोधकर्ता ऑर यायर के अनुसार है, जिन्होंने इस सप्ताह यहां एक सत्र के दौरान इस मुद्दे को रेखांकित किया। उन्होंने इस मुद्दे से संबंधित चार अलग-अलग कमजोरियों के बारे में भी विस्तार से बताया "मैजिकडॉट" करार दिया गया”- इसमें एक खतरनाक रिमोट कोड-निष्पादन बग भी शामिल है जिसे केवल एक संग्रह को निकालकर ट्रिगर किया जा सकता है।
डॉस-टू-एनटी पथ रूपांतरण में बिंदु और स्थान
समस्याओं का मैजिकडॉट समूह उस तरीके के कारण मौजूद है जिसके कारण विंडोज़ डॉस पथों को एनटी पथों में बदलता है।
जब उपयोगकर्ता अपने पीसी पर फ़ाइलें या फ़ोल्डर खोलते हैं, तो विंडोज़ उस पथ को संदर्भित करके इसे पूरा करता है जहां फ़ाइल मौजूद है; आम तौर पर, यह एक DOS पथ है जो "C:UsersUserDocumentsexample.txt" प्रारूप का अनुसरण करता है। हालाँकि, NtCreateFile नामक एक अलग अंतर्निहित फ़ंक्शन का उपयोग वास्तव में फ़ाइल को खोलने का कार्य करने के लिए किया जाता है, और NtCreateFile एक NT पथ मांगता है न कि DOS पथ। इस प्रकार, ऑपरेशन को सक्षम करने के लिए NtCreateFile को कॉल करने से पहले, विंडोज़ उपयोगकर्ताओं को दिखाई देने वाले परिचित DOS पथ को NT पथ में परिवर्तित कर देता है।
शोषण योग्य समस्या मौजूद है, क्योंकि रूपांतरण प्रक्रिया के दौरान, विंडोज़ अंत में किसी भी अतिरिक्त स्थान के साथ-साथ DOS पथ से किसी भी अवधि को स्वचालित रूप से हटा देता है। इस प्रकार, DOS पथ इस प्रकार हैं:
-
सी: उदाहरण उदाहरण।
-
सी: उदाहरण उदाहरण…
-
सी: उदाहरण उदाहरण
सभी को एनटी पथ के रूप में "??C:exampleexample" में परिवर्तित कर दिया गया है।
यायर ने पाया कि ग़लत वर्णों को स्वचालित रूप से हटाने से हमलावरों को विशेष रूप से तैयार किए गए DOS पथ बनाने की अनुमति मिल सकती है जिन्हें उनकी पसंद के NT पथों में परिवर्तित किया जाएगा, जिसका उपयोग या तो फ़ाइलों को अनुपयोगी बनाने या दुर्भावनापूर्ण सामग्री और गतिविधियों को छिपाने के लिए किया जा सकता है।
एक विशेषाधिकार प्राप्त रूटकिट का अनुकरण
मैजिकडॉट मुद्दे सबसे पहले और सबसे महत्वपूर्ण कई पोस्ट-शोषण तकनीकों के लिए अवसर पैदा करते हैं जो मशीन पर हमलावरों को छिपकर रहने में मदद करते हैं।
उदाहरण के लिए, दुर्भावनापूर्ण सामग्री को लॉक करना और उपयोगकर्ताओं, यहां तक कि व्यवस्थापकों को भी इसकी जांच करने से रोकना संभव है। “किसी दुर्भावनापूर्ण फ़ाइल नाम के अंत में एक सरल अनुगामी बिंदु रखकर या किसी फ़ाइल या निर्देशिका को केवल बिंदुओं और/या रिक्त स्थान के साथ नाम देकर, मैं सामान्य एपीआई का उपयोग करने वाले सभी उपयोगकर्ता-स्पेस प्रोग्रामों को उनके लिए पहुंच से बाहर कर सकता हूं... उपयोगकर्ता करेंगे याइर ने सत्र में बताया, ''मैं उनके साथ पढ़ने, लिखने, हटाने या कुछ और करने में सक्षम नहीं हूं।''
फिर, संबंधित हमले में, यायर ने पाया कि तकनीक का उपयोग संग्रह फ़ाइलों के भीतर फ़ाइलों या निर्देशिकाओं को छिपाने के लिए किया जा सकता है।
यायर ने कहा, "एक्स्प्लोरर को सूचीबद्ध करने या उसे निकालने से रोकने के लिए मैंने बस एक संग्रह में एक फ़ाइल नाम को एक बिंदु के साथ समाप्त कर दिया।" "परिणामस्वरूप, मैं एक दुर्भावनापूर्ण फ़ाइल को एक निर्दोष ज़िप के अंदर रखने में सक्षम था - जिसने भी संग्रह सामग्री को देखने और निकालने के लिए एक्सप्लोरर का उपयोग किया वह यह देखने में असमर्थ था कि फ़ाइल अंदर मौजूद थी।"
तीसरी आक्रमण विधि में वैध फ़ाइल पथों का प्रतिरूपण करके दुर्भावनापूर्ण सामग्री को छिपाना शामिल है।
"यदि 'सौम्य' नामक कोई हानिरहित फ़ाइल थी, तो मैं उसी निर्देशिका में एक दुर्भावनापूर्ण फ़ाइल बनाने के लिए [डॉस-टू-एनटी पथ रूपांतरण का उपयोग] करने में सक्षम था [जिसे सौम्य भी नाम दिया गया है]," उन्होंने समझाया, उसी दृष्टिकोण को जोड़ते हुए इसका उपयोग फ़ोल्डर्स और यहां तक कि व्यापक विंडोज़ प्रक्रियाओं का प्रतिरूपण करने के लिए किया जा सकता है। "परिणामस्वरूप, जब कोई उपयोगकर्ता दुर्भावनापूर्ण फ़ाइल पढ़ता है, तो मूल हानिरहित फ़ाइल की सामग्री वापस कर दी जाएगी," पीड़ित को यह समझ में नहीं आता कि वे वास्तव में दुर्भावनापूर्ण सामग्री खोल रहे थे।
कुल मिलाकर, मैजिकडॉट पथों में हेरफेर करने से विरोधियों को व्यवस्थापकीय विशेषाधिकारों के बिना रूटकिट जैसी क्षमताएं मिल सकती हैं, येयर ने समझाया, जिन्होंने प्रकाशित किया विस्तृत तकनीकी नोट्स सत्र के साथ मिलकर हमले के तरीकों पर।
"मैंने पाया कि मैं फ़ाइलों और प्रक्रियाओं को छुपा सकता हूँ, फ़ाइलों को अभिलेखागार में छिपा सकता हूँ, प्रीफ़ैच फ़ाइल विश्लेषण को प्रभावित कर सकता हूँ, टास्क मैनेजर और प्रोसेस एक्सप्लोरर उपयोगकर्ताओं को यह सोचने पर मजबूर कर सकता हूँ कि मैलवेयर फ़ाइल Microsoft द्वारा प्रकाशित एक सत्यापित निष्पादन योग्य थी, सेवा से इनकार (DoS) के साथ प्रोसेस एक्सप्लोरर को अक्षम कर सकता हूँ" भेद्यता, और भी बहुत कुछ,'' उन्होंने कहा - सब कुछ व्यवस्थापक विशेषाधिकारों या कर्नेल में कोड चलाने की क्षमता के बिना, और जानकारी पुनर्प्राप्त करने वाली एपीआई कॉल की श्रृंखला में हस्तक्षेप के बिना।
उन्होंने चेतावनी दी, "यह महत्वपूर्ण है कि साइबर सुरक्षा समुदाय इस जोखिम को पहचाने और विशेषाधिकार रहित रूटकिट पहचान तकनीकों और नियमों को विकसित करने पर विचार करे।"
"मैजिकडॉट" कमजोरियों की एक श्रृंखला
मैजिकडॉट पथों पर अपने शोध के दौरान, येयर अंतर्निहित समस्या से संबंधित चार अलग-अलग कमजोरियों को उजागर करने में भी कामयाब रहा, उनमें से तीन को माइक्रोसॉफ्ट द्वारा पैच किया गया था।
एक रिमोट कोड निष्पादन (आरसीई) भेद्यता (CVE-2023-36396, सीवीएसएस 7.8) सभी नए समर्थित संग्रह प्रकारों के लिए विंडोज के नए निष्कर्षण तर्क में हमलावरों को एक दुर्भावनापूर्ण संग्रह तैयार करने की अनुमति मिलती है जो एक बार निकाले जाने के बाद दूरस्थ कंप्यूटर पर कहीं भी लिख देगा, जिससे कोड निष्पादन हो जाएगा।
“मूलतः, मान लीजिए कि आप अपने यहां एक संग्रह अपलोड करते हैं गिटहब भंडार इसे डाउनलोड के लिए उपलब्ध एक बेहतरीन टूल के रूप में विज्ञापित करें,'' यायर ने डार्क रीडिंग को बताया। “और जब उपयोगकर्ता इसे डाउनलोड करता है, तो यह निष्पादन योग्य नहीं होता है, आप बस संग्रह निकालते हैं, जिसे बिना किसी सुरक्षा जोखिम के पूरी तरह से सुरक्षित कार्रवाई माना जाता है। लेकिन अब, निष्कर्षण स्वयं आपके कंप्यूटर पर कोड चलाने में सक्षम है, और यह गंभीर रूप से गलत और बहुत खतरनाक है।
दूसरा बग विशेषाधिकार उन्नयन (ईओपी) भेद्यता है (CVE-2023-32054, सीवीएसएस 7.3) जो हमलावरों को छाया प्रति से पिछले संस्करण की पुनर्स्थापना प्रक्रिया में हेरफेर करके बिना विशेषाधिकार के फाइलों में लिखने की अनुमति देता है।
तीसरा बग एंटी-एनालिसिस बग के लिए प्रोसेस एक्सप्लोरर अनप्रिविलेज्ड DOS है, जिसके लिए CVE-2023-42757 आरक्षित किया गया है, जिसके विवरण का पालन करना होगा। और चौथा बग, एक ईओपी मुद्दा भी है, जो विशेषाधिकार प्राप्त हमलावरों को फ़ाइलें हटाने की अनुमति देता है। Microsoft ने पुष्टि की कि दोष के कारण "अप्रत्याशित व्यवहार" हुआ, लेकिन अभी तक इसके लिए कोई CVE या समाधान जारी नहीं किया है।
"मैं डेमो फ़ोल्डर के अंदर एक फ़ोल्डर बनाता हूं जिसे कहा जाता है... और अंदर, मैं c.txt नाम की एक फ़ाइल लिखता हूं," यायर ने समझाया। "फिर जब कोई व्यवस्थापक हटाने का प्रयास करता है... फ़ोल्डर, इसके बजाय संपूर्ण डेमो फ़ोल्डर हटा दिया जाता है।"
संभावित रूप से व्यापक "मैजिकडॉट" प्रभाव
जबकि माइक्रोसॉफ्ट ने यायर की विशिष्ट कमजोरियों को संबोधित किया है, डॉस-टू-एनटी पथ रूपांतरण अवधि और रिक्त स्थान की ऑटो-स्ट्रिपिंग बनी रहती है, भले ही यह कमजोरियों का मूल कारण है।
शोधकर्ता ने डार्क रीडिंग को बताया, "इसका मतलब है कि इस मुद्दे का उपयोग करके खोजने के लिए कई और संभावित कमजोरियां और शोषण के बाद की तकनीकें हो सकती हैं।" "यह समस्या अभी भी मौजूद है और कई अन्य समस्याओं और कमजोरियों को जन्म दे सकती है, जो उन समस्याओं से कहीं अधिक खतरनाक हो सकती हैं जिनके बारे में हम जानते हैं।"
उन्होंने आगे कहा कि समस्या का असर माइक्रोसॉफ्ट से परे भी है।
उन्होंने चेतावनी देते हुए कहा, "हमारा मानना है कि निहितार्थ न केवल माइक्रोसॉफ्ट विंडोज के लिए प्रासंगिक हैं, जो दुनिया का सबसे व्यापक रूप से इस्तेमाल किया जाने वाला डेस्कटॉप ओएस है, बल्कि सभी सॉफ्टवेयर विक्रेताओं के लिए भी प्रासंगिक है, जिनमें से अधिकांश ज्ञात समस्याओं को अपने सॉफ़्टवेयर के संस्करण से संस्करण तक जारी रहने देते हैं।" उनकी प्रस्तुति में.
इस बीच, सॉफ्टवेयर डेवलपर्स डॉस पथों के बजाय एनटी पथों का उपयोग करके इस प्रकार की कमजोरियों के खिलाफ अपने कोड को सुरक्षित बना सकते हैं, उन्होंने कहा।
यायर ने अपनी प्रस्तुति में कहा, "विंडोज़ में अधिकांश उच्च-स्तरीय एपीआई कॉल एनटी पथों का समर्थन करते हैं।" "एनटी पथों का उपयोग रूपांतरण प्रक्रिया से बचता है और यह सुनिश्चित करता है कि प्रदान किया गया पथ वही पथ है जिस पर वास्तव में संचालित किया जा रहा है।"
व्यवसायों के लिए, सुरक्षा टीमों को ऐसी पहचान बनानी चाहिए जो फ़ाइल पथों के भीतर दुष्ट अवधियों और स्थानों की तलाश करें।
“इनके लिए आप काफी आसान पहचान विकसित कर सकते हैं, उन फ़ाइलों या निर्देशिकाओं की तलाश करने के लिए, जिनमें अनुगामी बिंदु या रिक्त स्थान हैं, क्योंकि यदि आप उन्हें अपने कंप्यूटर पर पाते हैं, तो इसका मतलब है कि किसी ने जानबूझकर ऐसा किया है क्योंकि ऐसा नहीं है यह करना आसान है,'' यायर डार्क रीडिंग को बताता है। “सामान्य उपयोगकर्ता केवल बिंदु या स्थान वाले सिरे वाली फ़ाइल नहीं बना सकते, Microsoft इसे रोकेगा। हमलावरों को a का उपयोग करना होगा निचला एपीआई यह कर्नेल के करीब है, और इसे पूरा करने के लिए कुछ विशेषज्ञता की आवश्यकता होगी।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/vulnerabilities-threats/magicdot-windows-weakness-unprivileged-rootkit
