BLACK HAT ÁZSIA – Szingapúr – A Windows DOS-NT elérési út-konverziós folyamatával kapcsolatos ismert probléma jelentős kockázatot jelent a vállalkozások számára, mivel lehetővé teszi a támadók számára, hogy rootkit-szerű utólagos kihasználási képességeket szerezzenek a fájlok, könyvtárak és folyamatok elrejtésére és megszemélyesítésére.

Ez Or Yair, a SafeBreach biztonsági kutatója szerint, aki egy e heti ülésen ismertette a problémát. A kérdéssel kapcsolatos négy különböző sebezhetőséget is részletezett, amelyeket ő a „MagicDot” – beleértve egy veszélyes távoli kódvégrehajtási hibát, amely egyszerűen egy archívum kibontásával váltható ki.

Pontok és szóközök a DOS-NT útvonalkonverzióban

A MagicDot problémák csoportja annak köszönhető, hogy a Windows a DOS elérési útjait NT útvonalakra változtatja.

Amikor a felhasználók fájlokat vagy mappákat nyitnak meg a számítógépükön, a Windows ezt úgy éri el, hogy hivatkozik a fájl elérési útjára; általában ez egy DOS elérési út, amely a „C:UsersUserDocumentsexample.txt” formátumot követi. Azonban egy másik, az NtCreateFile nevű mögöttes függvényt használják a fájl megnyitásának tényleges végrehajtására, és az NtCreateFile NT elérési utat kér, nem DOS elérési utat. Így a Windows az NtCreateFile meghívása előtt a felhasználók számára látható ismerős DOS elérési utat NT elérési úttá alakítja át.

A kihasználható probléma azért áll fenn, mert az átalakítási folyamat során a Windows automatikusan eltávolítja a DOS-útvonal minden pontját, valamint a végén lévő felesleges szóközöket. Így a DOS elérési utak, mint a következők:

mindegyik „??C:exampleexample”-re konvertálódik NT elérési útként.

Yair felfedezte, hogy a hibás karakterek automatikus eltávolítása lehetővé teheti a támadók számára, hogy speciálisan kialakított DOS-útvonalakat hozzanak létre, amelyeket az általuk választott NT-útvonalakra alakítanak át, amelyeket aztán a fájlok használhatatlanná tételére vagy a rosszindulatú tartalom és tevékenységek elrejtésére használhatnak.

Privileged Rootkit szimulálása

A MagicDot-problémák mindenekelőtt lehetőséget teremtenek számos olyan utólagos kizsákmányolási technikára, amelyek segítenek a támadóknak megőrizni a lopakodást.

Lehetőség van például a rosszindulatú tartalom zárolására, és megakadályozni, hogy a felhasználók, még az adminisztrátorok is megvizsgálják azt. „Ha egy rosszindulatú fájlnév végén egy egyszerű pontot helyezünk el, vagy egy fájlt vagy könyvtárat csak pontokkal és/vagy szóközökkel nevezünk el, elérhetetlenné tehetem számukra a normál API-t használó felhasználói terület programokat… nem tud olvasni, írni, törölni vagy bármi mást csinálni velük” – magyarázta Yair az ülésen.

Aztán egy kapcsolódó támadás során a Yair úgy találta, hogy ez a technika használható fájlok vagy könyvtárak elrejtésére az archív fájlokon belül.

„Egyszerûen ponttal zártam le egy fájlnevet az archívumban, nehogy az Explorer listázza vagy kibontsa” – mondta Yair. "Ennek eredményeként sikerült egy ártatlan zip-be helyeznem egy rosszindulatú fájlt – aki az Intézőt használta az archívum tartalmának megtekintésére és kibontására, az nem látta, hogy a fájl létezik benne."

A harmadik támadási módszer magában foglalja a rosszindulatú tartalom elfedését legitim fájlútvonalak megszemélyesítésével.

"Ha létezett egy ártalmatlan "jóindulatú" fájl, akkor [DOS-NT útvonal-konverziót használva] tudtam rosszindulatú fájlt létrehozni ugyanabban a könyvtárban [más néven] jóindulatú" - magyarázta, hozzátéve, hogy ugyanez a megközelítés. mappák és még szélesebb körű Windows-folyamatok megszemélyesítésére is használható. „Ennek eredményeként, amikor a felhasználó elolvassa a rosszindulatú fájlt, az eredeti, ártalmatlan fájl tartalma kerül visszaadásra”, így az áldozat nem lesz bölcsebb, hogy valóban rosszindulatú tartalmat nyit meg.

Összességében a MagicDot útvonalak manipulálása rootkit-szerű képességeket biztosíthat az ellenfeleknek rendszergazdai jogosultságok nélkül, magyarázta Yair, aki közzétette. részletes műszaki megjegyzések a támadási módszerekről a munkamenettel párhuzamosan.

„Úgy tapasztaltam, hogy elrejthetem a fájlokat és folyamatokat, elrejthetem a fájlokat az archívumban, befolyásolhatom az előzetes letöltési fájlelemzést, a Feladatkezelő és a Process Explorer felhasználókat arra késztethetem, hogy a rosszindulatú fájlokat a Microsoft által közzétett, ellenőrzött futtatható fájlnak tekintsem, és szolgáltatásmegtagadási szolgáltatással (DoS) letilthatom a Process Explorert. sebezhetőség, és még sok más” – mondta – mindezt adminisztrátori jogosultságok vagy kód futtatásának képessége nélkül a kernelben, és anélkül, hogy beavatkoznának az információkat lekérő API-hívások láncába.

„Fontos, hogy a kiberbiztonsági közösség felismerje ezt a kockázatot, és fontolóra vegye a kiváltságtalan rootkit-észlelési technikák és szabályok kidolgozását” – figyelmeztetett.

A „MagicDot” sebezhetőségek sorozata

A MagicDot-útvonalak kutatása során Yairnek négy különböző sebezhetőséget is sikerült feltárnia a mögöttes problémával kapcsolatban, amelyek közül hármat azóta a Microsoft javított.

Egy távoli kódvégrehajtás (RCE) biztonsági rése (CVE-2023 36396-, CVSS 7.8) a Windows új kibontási logikájában az összes újonnan támogatott archívumtípushoz lehetővé teszi a támadók számára, hogy rosszindulatú archívumot hozzanak létre, amely a kibontás után bárhová írhat egy távoli számítógépen, ami kódfuttatáshoz vezet.

„Alapvetően tegyük fel, hogy feltölt egy archívumot a sajátjába GitHub tárház egy remek letölthető eszközként hirdeti” – mondja Yair a Dark Readingnek. „És amikor a felhasználó letölti, az nem egy végrehajtható fájl, csak ki kell bontani az archívumot, ami teljesen biztonságos, biztonsági kockázatok nélküli műveletnek tekinthető. De most már maga a kicsomagolás képes kódot futtatni a számítógépén, és ez súlyosan helytelen és nagyon veszélyes."

A második hiba a jogosultság-emelés (EoP) sebezhetősége (CVE-2023 32054-, CVSS 7.3), amely lehetővé teszi a támadók számára, hogy jogosultságok nélkül írjanak fájlba egy korábbi verzió árnyékmásolatból történő visszaállítási folyamatának manipulálásával.

A harmadik hiba a Process Explorer privilegizált DOS az elemzési hibákhoz, amelyre a CVE-2023-42757 van fenntartva, a részletekkel később. A negyedik hiba pedig, amely szintén egy EoP-probléma, lehetővé teszi a nem jogosult támadók számára a fájlok törlését. A Microsoft megerősítette, hogy a hiba „váratlan viselkedéshez” vezetett, de még nem adott ki CVE-t vagy javítást.

„Létrehozok egy mappát a demómappán belül… belül pedig írok egy c.txt nevű fájlt – magyarázta Yair. "Majd amikor egy rendszergazda megpróbálja törölni a… mappát, a teljes demómappa törlődik.

Potenciálisan szélesebb „MagicDot” következmények

Míg a Microsoft foglalkozott a Yair sajátos sebezhetőségeivel, a DOS-NT útvonal konverziós szakaszok és szóközök automatikus levágása továbbra is fennáll, bár ez a sebezhetőség kiváltó oka.

„Ez azt jelenti, hogy sokkal több potenciális sebezhetőséget és kizsákmányolás utáni technikát találhatunk ennek a problémának a használatával” – mondja a kutató a Dark Readingnek. "Ez a probléma továbbra is fennáll, és sokkal több problémához és sebezhetőséghez vezethet, amelyek sokkal veszélyesebbek lehetnek, mint azok, amelyekről tudunk."

Hozzáteszi, hogy a problémának a Microsofton túlmutató következményei is vannak.

"Úgy gondoljuk, hogy a következmények nemcsak a Microsoft Windowsra, amely a világ legszélesebb körben használt asztali operációs rendszere, hanem az összes szoftvergyártóra is vonatkoznak, amelyek többsége azt is lehetővé teszi, hogy az ismert problémák változatról verzióra fennmaradjanak" - figyelmeztetett. előadásában.

Eközben a szoftverfejlesztők biztonságosabbá tehetik kódjukat az ilyen típusú sebezhetőségekkel szemben, ha DOS-elérési út helyett NT-útvonalakat használnak.

"A legtöbb magas szintű API-hívás a Windowsban támogatja az NT-útvonalakat" - mondta Yair előadásában. "Az NT útvonalak használata elkerüli az átalakítási folyamatot, és biztosítja, hogy a megadott elérési út ugyanaz legyen, amelyen ténylegesen működik."

Vállalkozások számára a biztonsági csapatoknak olyan észleléseket kell létrehozniuk, amelyek csalárd pontokat és szóközöket keresnek a fájl elérési útjain belül.

"Vannak elég egyszerű észlelések, amelyeket ezekre kifejleszthetsz, hogy olyan fájlokat vagy könyvtárakat keress, amelyekben pontok vagy szóközök vannak, mert ha ezeket megtalálod a számítógépeden, az azt jelenti, hogy valaki szándékosan csinálta, mert nem ezt könnyű megtenni – mondja Yair a Dark Readingnek. „A normál felhasználók nem tudnak egyszerűen ponttal vagy szóközzel végződő fájlokat létrehozni, a Microsoft ezt megakadályozza. A támadóknak a alacsonyabb API amely közelebb van a kernelhez, és ehhez némi szakértelemre lesz szükség.”

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/vulnerabilities-threats/magicdot-windows-weakness-unprivileged-rootkit