PĂLĂRIE NEGRA ASIA – Singapore – O problemă cunoscută asociată cu procesul de conversie a căii DOS în NT în Windows prezintă un risc semnificativ pentru companii, permițând atacatorilor să obțină capabilități post-exploatare asemănătoare rootkit-urilor pentru a ascunde și uzurpa identitatea fișierelor, directoarelor și proceselor.

Aceasta este conform lui Or Yair, cercetător de securitate la SafeBreach, care a subliniat problema în timpul unei sesiuni aici săptămâna aceasta. El a detaliat, de asemenea, patru vulnerabilități diferite legate de problemă, pe care el denumit „MagicDot” – inclusiv o eroare periculoasă de execuție a codului de la distanță care poate fi declanșată pur și simplu prin extragerea unei arhive.

Puncte și spații în conversia căii DOS în NT

Grupul de probleme MagicDot există datorită modului în care Windows schimbă căile DOS în căile NT.

Când utilizatorii deschid fișiere sau foldere pe computerele lor, Windows realizează acest lucru făcând referire la calea în care există fișierul; în mod normal, aceasta este o cale DOS care urmează formatul „C:UsersUserDocumentsexample.txt”. Cu toate acestea, o funcție subiacentă diferită numită NtCreateFile este utilizată pentru a efectua operația de deschidere a fișierului, iar NtCreateFile cere o cale NT și nu o cale DOS. Astfel, Windows convertește calea familiară DOS vizibilă utilizatorilor într-o cale NT, înainte de a apela NtCreateFile pentru a activa operația.

Problema exploatabilă există deoarece, în timpul procesului de conversie, Windows elimină automat orice puncte din calea DOS, împreună cu orice spații suplimentare la sfârșit. Astfel, căi DOS ca acestea:

toate sunt convertite în „??C:exampleexample” ca o cale NT.

Yair a descoperit că această eliminare automată a caracterelor eronate ar putea permite atacatorilor să creeze căi DOS special concepute care să fie convertite în căi NT alese, care ar putea fi apoi folosite fie pentru a face fișierele inutilizabile, fie pentru a ascunde conținut și activități rău intenționate.

Simularea unui Rootkit neprivilegiat

Problemele MagicDot creează în primul rând oportunitatea pentru o serie de tehnici de post-exploatare care ajută atacatorii de pe o mașină să mențină ascuns.

De exemplu, este posibil să blocați conținutul rău intenționat și să împiedicați utilizatorii, chiar și administratorii, să îl examineze. „Prin plasarea unui simplu punct de urmă la sfârșitul unui nume de fișier rău intenționat sau denumind un fișier sau un director numai cu puncte și/sau spații, aș putea face ca toate programele din spațiul utilizatorului care folosesc API-ul normal să fie inaccesibile pentru ei... utilizatorii ar nu pot citi, scrie, șterge sau face altceva cu ele”, a explicat Yair în sesiune.

Apoi, într-un atac asociat, Yair a descoperit că tehnica ar putea fi folosită pentru a ascunde fișiere sau directoare din fișierele de arhivă.

„Pur și simplu am încheiat un nume de fișier într-o arhivă cu un punct pentru a împiedica Explorer să îl listeze sau să îl extragă”, a spus Yair. „Ca urmare, am reușit să plasez un fișier rău intenționat într-un zip nevinovat - cine a folosit Explorer pentru a vedea și extrage conținutul arhivei nu a putut vedea că acel fișier există în interior.”

O a treia metodă de atac implică mascarea conținutului rău intenționat prin uzurparea identității căilor de fișiere legitime.

„Dacă exista un fișier inofensiv numit „benign”, am putut [utiliza conversia căii DOS în NT] pentru a crea un fișier rău intenționat în același director [numit și] benign”, a explicat el, adăugând că aceeași abordare. ar putea fi folosit pentru a uzurpa identitatea folderelor și chiar a proceselor Windows mai largi. „Ca urmare, atunci când un utilizator citește fișierul rău intenționat, conținutul fișierului original inofensiv va fi returnat în schimb”, lăsând victima să nu fie mai înțeleaptă că de fapt deschidea conținut rău intenționat.

Luate împreună, manipularea căilor MagicDot poate acorda adversarilor abilități asemănătoare rootkit-urilor fără privilegii de administrator, a explicat Yair, care a publicat note tehnice detaliate asupra metodelor de atac în tandem cu sesiunea.

„Am descoperit că pot ascunde fișiere și procese, ascunde fișiere în arhive, pot afecta analiza fișierelor prefatch, pot face utilizatorii Managerului de activități și Process Explorer să creadă că un fișier malware este un executabil verificat publicat de Microsoft, să dezactivez Process Explorer cu o refuz de serviciu (DoS) vulnerabilitate și multe altele”, a spus el – toate fără privilegii de administrator sau capacitatea de a rula cod în nucleu și fără intervenție în lanțul de apeluri API care preiau informații.

„Este important ca comunitatea de securitate cibernetică să recunoască acest risc și să ia în considerare dezvoltarea unor tehnici și reguli neprivilegiate de detectare a rootkit-urilor”, a avertizat el.

O serie de vulnerabilități „MagicDot”.

În timpul cercetării sale asupra căilor MagicDot, Yair a reușit, de asemenea, să descopere patru vulnerabilități diferite legate de problema de bază, trei dintre ele au fost corectate de Microsoft.

O vulnerabilitate de execuție de cod la distanță (RCE) (CVE-2023-36396, CVSS 7.8) în noua logică de extracție a Windows pentru toate tipurile de arhive nou acceptate, permite atacatorilor să creeze o arhivă rău intenționată care ar scrie oriunde aleg pe un computer la distanță odată extrasă, ceea ce duce la executarea codului.

„Practic, să presupunem că încărcați o arhivă în dvs GitHub depozit reclamă-l ca un instrument grozav disponibil pentru descărcare”, a spus Yair pentru Dark Reading. „Și când utilizatorul îl descarcă, nu este un executabil, doar extragi arhiva, care este considerată o acțiune complet sigură, fără riscuri de securitate. Dar acum, extracția în sine este capabilă să ruleze cod pe computerul tău, iar acest lucru este grav greșit și foarte periculos.”

O a doua eroare este o vulnerabilitate de creștere a privilegiilor (EoP) (CVE-2023-32054, CVSS 7.3) care permite atacatorilor să scrie în fișiere fără privilegii prin manipularea procesului de restaurare a unei versiuni anterioare dintr-o copie umbră.

Al treilea bug este DOS neprivilegiat Process Explorer pentru bug anti-analiza, pentru care a fost rezervat CVE-2023-42757, cu detalii de urmat. Și al patrulea bug, de asemenea, o problemă EoP, permite atacatorilor neprivilegiati să ștergă fișiere. Microsoft a confirmat că defectul a dus la „comportament neașteptat”, dar nu a emis încă un CVE sau o remediere pentru acesta.

„Creez un folder în dosarul demo numit... iar înăuntru, scriu un fișier numit c.txt”, a explicat Yair. „Atunci când un administrator încearcă să ștergă... folderul, întregul folder demo este șters în schimb.”

Ramificații „MagicDot” potențial mai largi

În timp ce Microsoft a abordat vulnerabilitățile specifice ale lui Yair, eliminarea automată a perioadelor și spațiilor de conversie a căii DOS în NT persistă, chiar dacă aceasta este cauza principală a vulnerabilităților.

„Asta înseamnă că ar putea exista multe mai multe vulnerabilități potențiale și tehnici de post-exploatare de găsit folosind această problemă”, spune cercetătorul pentru Dark Reading. „Această problemă încă există și poate duce la mai multe probleme și vulnerabilități, care pot fi mult mai periculoase decât cele despre care știm.”

El adaugă că problema are ramificații dincolo de Microsoft.

„Credem că implicațiile sunt relevante nu numai pentru Microsoft Windows, care este cel mai utilizat sistem de operare desktop din lume, ci și pentru toți furnizorii de software, majoritatea dintre care permit, de asemenea, să persistă probleme cunoscute de la o versiune la alta a software-ului lor”, a avertizat el. în prezentarea sa.

Între timp, dezvoltatorii de software își pot face codul mai sigur împotriva acestor tipuri de vulnerabilități utilizând căi NT mai degrabă decât căi DOS, a remarcat el.

„Majoritatea apelurilor API de nivel înalt din Windows acceptă căile NT”, a spus Yair în prezentarea sa. „Folosirea căilor NT evită procesul de conversie și asigură că calea furnizată este aceeași cale pe care este operată efectiv.”

Pentru companii, echipele de securitate ar trebui să creeze detectii care caută perioade și spații necinstite în căile fișierelor.

„Există detectări destul de ușoare pe care le poți dezvolta pentru acestea, pentru a căuta fișiere sau directoare, care au puncte sau spații în urmă, pentru că dacă le găsești, pe computerul tău, înseamnă că cineva a făcut-o intenționat pentru că nu este. atât de ușor de făcut”, spune Yair pentru Dark Reading. „Utilizatorii obișnuiți nu pot crea doar un fișier cu capete cu un punct sau un spațiu, Microsoft va împiedica acest lucru. Atacatorii vor trebui să folosească a API mai scăzut care este mai aproape de nucleu și va avea nevoie de ceva experiență pentru a realiza acest lucru.”

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/vulnerabilities-threats/magicdot-windows-weakness-unprivileged-rootkit