ブラックハットアジア – シンガポール – Windows の DOS から NT へのパス変換プロセスに関連する既知の問題により、攻撃者がファイル、ディレクトリ、およびプロセスを隠蔽し、なりすますためのルートキットのようなエクスプロイト後の機能を獲得できるため、企業に重大なリスクが生じます。

これは、SafeBreach のセキュリティ研究者である Or Yair 氏によるもので、彼は今週ここで開催されたセッションでこの問題の概要を説明しました。同氏は、この問題に関連する 4 つの異なる脆弱性についても詳しく説明しました。 通称「マジックドット」」 – アーカイブを抽出するだけで引き起こされる危険なリモート コード実行バグが含まれます。

DOS から NT へのパス変換におけるドットとスペース

MagicDot グループの問題は、Windows が DOS パスを NT パスに変更する方法に起因して存在します。

ユーザーが PC 上でファイルまたはフォルダーを開くと、Windows はファイルが存在するパスを参照することによってこれを実行します。通常、これは「C:UsersUserDocumentsexample.txt」形式に従った DOS パスです。ただし、実際にファイルを開く操作を実行するには、NtCreateFile と呼ばれる別の基本関数が使用され、NtCreateFile は DOS パスではなく NT パスを要求します。したがって、Windows は、NtCreateFile を呼び出して操作を有効にする前に、ユーザーに表示される使い慣れた DOS パスを NT パスに変換します。

この悪用可能な問題は、変換プロセス中に Windows が DOS パスからピリオドや末尾の余分なスペースを自動的に削除するために存在します。したがって、DOS パスは次のようになります。

すべてNTパスとして「??C:exampleexample」に変換されます。

Yair 氏は、この誤った文字の自動除去により、攻撃者が任意の NT パスに変換する特別に細工された DOS パスを作成できる可能性があることを発見しました。この DOS パスは、ファイルを使用不能にしたり、悪意のあるコンテンツやアクティビティを隠蔽したりするために使用される可能性があります。

非特権ルートキットのシミュレーション

MagicDot の問題は、何よりもまず、マシン上の攻撃者がステルスを維持するのに役立つ、エクスプロイト後のさまざまなテクニックの機会を生み出します。

たとえば、悪意のあるコンテンツをロックして、ユーザー (管理者であっても) がそれを調べられないようにすることができます。 「悪意のあるファイル名の末尾に単純なドットを付けるか、ファイルまたはディレクトリにドットやスペースのみを使用して名前を付けることによって、通常の API を使用するすべてのユーザー空間プログラムにアクセスできなくすることができます…ユーザーは読み取り、書き込み、削除、またはその他の操作を行うことはできません」とヤイール氏はセッションで説明しました。

その後、Yair は、関連する攻撃で、この技術がアーカイブ ファイル内のファイルやディレクトリを隠すために使用できることを発見しました。

「エクスプローラーがファイルをリストしたり抽出したりしないように、アーカイブ内のファイル名をドットで終わらせただけです」とヤイール氏は語った。 「その結果、悪意のない zip 内に悪意のあるファイルを配置することができました。エクスプローラーを使用してアーカイブの内容を表示および抽出した人は、そのファイルが内部に存在することを確認できませんでした。」

3 番目の攻撃方法には、正規のファイル パスになりすまして悪意のあるコンテンツをマスクすることが含まれます。

「『良性』という無害なファイルがあった場合、[DOS から NT へのパス変換を使用して] 同じディレクトリに [良性] という名前の悪意のあるファイルを作成することができました」と同氏は説明し、同じアプローチだと付け加えたフォルダーやさらに広範な Windows プロセスを偽装するために使用される可能性があります。 「その結果、ユーザーが悪意のあるファイルを読み取ると、代わりに元の無害なファイルのコンテンツが返されることになり、被害者は、自分が実際に悪意のあるコンテンツを開いていることに気付かないままになります。

まとめると、MagicDot パスを操作すると、管理者権限なしで敵対者にルートキットのような能力を与えることができると、Yair 氏は説明しました。 詳細な技術ノート セッションと並行して攻撃方法について説明します。

「ファイルとプロセスを隠したり、アーカイブ内のファイルを隠したり、プリフェッチ ファイルの分析に影響を与えたり、タスク マネージャーやプロセス エクスプローラーのユーザーにマルウェア ファイルが Microsoft によって公開された検証済みの実行可能ファイルであると思わせたり、サービス拒否 (DoS) でプロセス エクスプローラーを無効にしたりできることがわかりました。すべて管理者権限やカーネル内でコードを実行する機能がなく、情報を取得する API 呼び出しのチェーンに介入することもありません」と彼は言いました。

「サイバーセキュリティコミュニティがこのリスクを認識し、特権のないルートキット検出技術とルールの開発を検討することが重要です」と同氏は警告した。

一連の「MagicDot」脆弱性

Yair 氏は、MagicDot パスの調査中に、根本的な問題に関連する 4 つの異なる脆弱性を発見することにも成功しました。そのうちの 3 つは Microsoft によってパッチが適用されました。

1 つのリモートコード実行 (RCE) 脆弱性 (CVE-2023-36396、CVSS 7.8) の Windows の新しい抽出ロジックで、新しくサポートされるすべてのアーカイブ タイプを使用すると、攻撃者は抽出後にリモート コンピューター上の任意の場所に書き込み、コードの実行につながる悪意のあるアーカイブを作成できます。

「基本的に、アーカイブを GitHubリポジトリ ダウンロードできるクールなツールとして宣伝しています」とヤイール氏は Dark Reading に語ります。 「ユーザーがダウンロードする場合、それは実行可能ファイルではなく、アーカイブを抽出するだけであり、これはセキュリティ リスクのない完全に安全な操作であると考えられています。しかし現在では、抽出自体がコンピュータ上でコードを実行する可能性があり、これは重大な間違いであり、非常に危険です。」

2 番目のバグは、特権昇格 (EoP) の脆弱性です (CVE-2023-32054、CVSS 7.3) を使用すると、攻撃者はシャドウ コピーから以前のバージョンの復元プロセスを操作することで、特権なしでファイルに書き込むことができます。

2023 番目のバグは、Process Explorer の非特権 DOS による分析対策のバグで、CVE-42757-XNUMX が予約されており、詳細は後述します。 XNUMX 番目のバグは、これも EoP の問題であり、権限のない攻撃者がファイルを削除できるようになります。 Microsoft は、この欠陥が「予期しない動作」を引き起こしたことを認めていますが、CVE や修正プログラムはまだ発行していません。

「デモフォルダー内に…というフォルダーを作成します。」そしてその中に c.txt という名前のファイルを書きます」と Yair 氏は説明しました。 「その後、管理者がファイルを削除しようとすると…フォルダーを削除すると、代わりにデモ フォルダー全体が削除されます。」

「MagicDot」のより広範囲にわたる潜在的な影響

Microsoft は Yair 固有の脆弱性に対処しましたが、DOS から NT へのパス変換でピリオドとスペースが自動的に削除される問題は、それが脆弱性の根本原因であるにもかかわらず、依然として残っています。

「つまり、この問題を利用して、さらに多くの潜在的な脆弱性やエクスプロイト後のテクニックが発見される可能性があることを意味します」と研究者は Dark Reading に語った。 「この問題はまだ存在しており、さらに多くの問題や脆弱性を引き起こす可能性があり、それらは私たちが知っているものよりもはるかに危険である可能性があります。」

同氏は、この問題はマイクロソフト以外にも影響を及ぼしていると付け加えた。

「この影響は、世界で最も広く使用されているデスクトップ OS である Microsoft Windows だけでなく、すべてのソフトウェア ベンダーにも関係があると考えています。そのほとんどは、既知の問題がソフトウェアのバージョンが変わっても存続することを許可しています」と同氏は警告しました。彼のプレゼンテーションで。

一方、ソフトウェア開発者は、DOS パスではなく NT パスを利用することで、この種の脆弱性に対してコードの安全性を高めることができると同氏は指摘しました。

「Windows の高レベル API 呼び出しのほとんどは NT パスをサポートしています」と Yair 氏はプレゼンテーションで述べました。 「NT パスを使用すると、変換プロセスが回避され、提供されたパスが実際に操作されているパスと同じであることが保証されます。」

企業の場合、セキュリティ チームはファイル パス内の不正な期間とスペースを探す検出を作成する必要があります。

「これらに対して開発できる、末尾にドットやスペースが含まれるファイルやディレクトリを探すための非常に簡単な検出機能があります。コンピュータ上でそれらが見つかった場合は、誰かが意図的にそれを行ったことを意味します。それは簡単です」とヤイールは Dark Reading に語ります。 「通常のユーザーはドットやスペースで終わるファイルを作成することはできません。マイクロソフトはそれを阻止します。攻撃者は、 下位 API これはカーネルに近いものであり、これを実現するにはある程度の専門知識が必要です。」

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/vulnerabilities-threats/magicdot-windows-weakness-unprivileged-rootkit