BLACK HAT ASIA – Singapore – Ett känt problem associerat med DOS-till-NT-sökvägskonverteringsprocessen i Windows öppnar upp för betydande risker för företag genom att tillåta angripare att få rootkit-liknande funktioner efter exploatering för att dölja och imitera filer, kataloger och processer.

Det säger Or Yair, säkerhetsforskare på SafeBreach, som beskrev problemet under en session här i veckan. Han beskrev också fyra olika sårbarheter relaterade till problemet, som han kallad "MagicDot” – inklusive en farlig fjärrkörningsbugg som kan utlösas helt enkelt genom att extrahera ett arkiv.

Punkter och mellanslag i DOS-till-NT-sökvägskonvertering

MagicDot-gruppen av problem existerar tack vare hur Windows ändrar DOS-sökvägar till NT-sökvägar.

När användare öppnar filer eller mappar på sina datorer, åstadkommer Windows detta genom att referera till sökvägen där filen finns; normalt är det en DOS-sökväg som följer formatet "C:UsersUserDocumentsexample.txt". En annan underliggande funktion som kallas NtCreateFile används för att faktiskt utföra operationen att öppna filen, och NtCreateFile frågar efter en NT-sökväg och inte en DOS-sökväg. Således konverterar Windows den välbekanta DOS-sökvägen som är synlig för användare till en NT-sökväg innan NtCreateFile anropas för att aktivera operationen.

Det exploaterbara problemet existerar eftersom Windows under konverteringsprocessen automatiskt tar bort alla punkter från DOS-sökvägen, tillsammans med eventuella extra mellanslag i slutet. DOS-vägar som dessa:

konverteras alla till "??C:exampleexample" som en NT-sökväg.

Yair upptäckte att denna automatiska borttagning av felaktiga tecken kunde tillåta angripare att skapa specialgjorda DOS-sökvägar som skulle konverteras till NT-sökvägar efter eget val, som sedan kunde användas för att antingen göra filer oanvändbara eller för att dölja skadligt innehåll och aktiviteter.

Simulerar ett oprivilegierat rootkit

MagicDot-problemen skapar först och främst möjligheten för ett antal tekniker efter exploatering som hjälper angripare på en maskin att hålla sig smygande.

Det är till exempel möjligt att låsa upp skadligt innehåll och förhindra användare, även administratörer, från att undersöka det. "Genom att placera en enkel avslutande prick i slutet av ett skadligt filnamn eller genom att namnge en fil eller en katalog med endast punkter och/eller mellanslag, skulle jag kunna göra alla program för användarutrymme som använder det normala API:et oåtkomliga för dem ... användare skulle inte kunna läsa, skriva, radera eller göra något annat med dem”, förklarade Yair under sessionen.

Sedan, i en relaterad attack, fann Yair att tekniken kunde användas för att dölja filer eller kataloger i arkivfiler.

"Jag avslutade helt enkelt ett filnamn i ett arkiv med en prick för att hindra Explorer från att lista eller extrahera det," sa Yair. "Som ett resultat kunde jag placera en skadlig fil i en oskyldig zip - den som använde Explorer för att visa och extrahera arkivinnehållet kunde inte se att filen fanns inuti."

En tredje attackmetod innebär att maskera skadligt innehåll genom att imitera legitima filsökvägar.

"Om det fanns en ofarlig fil som heter 'godartad', kunde jag [använda DOS-till-NT-sökvägskonvertering] för att skapa en skadlig fil i samma katalog [även kallad] godartad", förklarade han och tillade att samma metod kan användas för att imitera mappar och till och med bredare Windows-processer. "Som ett resultat, när en användare läser den skadliga filen, skulle innehållet i den ursprungliga ofarliga filen returneras istället", vilket gör att offret inte blir klokare på att de faktiskt öppnade skadligt innehåll.

Sammantaget kan manipulering av MagicDot-vägar ge motståndare rootkit-liknande förmågor utan administratörsbehörighet, förklarade Yair, som publicerade detaljerade tekniska anmärkningar på attackmetoderna i takt med sessionen.

"Jag upptäckte att jag kunde dölja filer och processer, dölja filer i arkiv, påverka förhämtning av filanalys, få Task Manager och Process Explorer-användare att tro att en skadlig programvara var en verifierad körbar fil som publicerats av Microsoft, inaktivera Process Explorer med ett överbelastningsskydd (DoS) sårbarhet, och mer”, sa han – allt utan administratörsbehörighet eller möjlighet att köra kod i kärnan, och utan ingrepp i kedjan av API-anrop som hämtar information.

"Det är viktigt att cybersäkerhetsgemenskapen inser denna risk och överväger att utveckla oprivilegierade rootkit-detektionstekniker och regler," varnade han.

En serie "MagicDot"-sårbarheter

Under sin forskning om MagicDot-vägarna lyckades Yair också avslöja fyra olika sårbarheter relaterade till det underliggande problemet, tre av dem sedan patchade av Microsoft.

En sårbarhet för fjärrkörning av kod (RCE) (CVE-2023-36396, CVSS 7.8) i Windows nya extraheringslogik för alla nyligen stödda arkivtyper gör det möjligt för angripare att skapa ett skadligt arkiv som kan skriva var som helst på en fjärrdator när de har extraherats, vilket leder till kodexekvering.

“I grund och botten, låt oss säga att du laddar upp ett arkiv till din GitHub repository annonserar det som ett coolt verktyg som är tillgängligt för nedladdning”, säger Yair till Dark Reading. "Och när användaren laddar ner det är det inte en körbar fil, du extraherar bara arkivet, vilket anses vara en helt säker åtgärd utan säkerhetsrisker. Men nu kan själva extraheringen köra kod på din dator, och det är allvarligt fel och mycket farligt."

En andra bugg är en sårbarhet för ökad behörighet (EoP) (CVE-2023-32054, CVSS 7.3) som tillåter angripare att skriva in filer utan privilegier genom att manipulera återställningsprocessen av en tidigare version från en skuggkopia.

Den tredje buggen är Process Explorer oprivilegierad DOS för anti-analys bugg, för vilken CVE-2023-42757 har reserverats, med detaljer kommer att följa. Och den fjärde buggen, också ett EoP-problem, tillåter oprivilegierade angripare att ta bort filer. Microsoft bekräftade att felet ledde till "oväntat beteende" men har ännu inte utfärdat en CVE eller en fix för det.

"Jag skapar en mapp inuti demo-mappen som heter ... och inuti skriver jag en fil som heter c.txt,” förklarade Yair. "När sedan en administratör försöker ta bort ... mappen, raderas hela demo-mappen istället."

Potentiellt bredare "MagicDot" förgreningar

Medan Microsoft åtgärdade Yairs specifika sårbarheter, kvarstår den automatiska borttagningen av DOS-till-NT-vägkonvertering av perioder och mellanslag, även om det är grundorsaken till sårbarheterna.

"Det betyder att det kan finnas många fler potentiella sårbarheter och tekniker efter exploatering att hitta med det här problemet", säger forskaren till Dark Reading. "Det här problemet finns fortfarande och kan leda till många fler problem och sårbarheter, som kan vara mycket farligare än de vi känner till."

Han tillägger att problemet har konsekvenser bortom Microsoft.

"Vi tror att konsekvenserna är relevanta inte bara för Microsoft Windows, som är världens mest använda operativsystem för skrivbordet, utan också för alla programvaruleverantörer, av vilka de flesta också tillåter kända problem att kvarstå från version till version av deras programvara," varnade han i sin presentation.

Samtidigt kan mjukvaruutvecklare göra sin kod säkrare mot dessa typer av sårbarheter genom att använda NT-vägar snarare än DOS-vägar, noterade han.

"De flesta API-anrop på hög nivå i Windows stöder NT-vägar," sa Yair i sin presentation. "Att använda NT-vägar undviker konverteringsprocessen och säkerställer att den angivna vägen är samma väg som faktiskt körs på."

För företag bör säkerhetsteam skapa upptäckter som letar efter oseriösa perioder och utrymmen inom filsökvägar.

"Det finns ganska enkla upptäckter som du kan utveckla för dessa, för att leta efter filer eller kataloger, som har efterföljande punkter eller mellanslag i dem, för om du hittar dem på din dator betyder det att någon gjorde det med flit eftersom det inte är så lätt att göra”, säger Yair till Dark Reading. "Vanliga användare kan inte bara skapa en fil som slutar med en punkt eller ett mellanslag, Microsoft kommer att förhindra det. Angripare måste använda en lägre API som är närmare kärnan och kommer att behöva lite expertis för att åstadkomma detta."

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/vulnerabilities-threats/magicdot-windows-weakness-unprivileged-rootkit