BLACK HAT ASYA – Singapur – Windows'ta DOS'tan NT'ye yol dönüştürme işlemiyle ilişkili bilinen bir sorun, saldırganların dosyaları, dizinleri ve süreçleri gizlemek ve taklit etmek için rootkit benzeri yararlanma sonrası yetenekler kazanmasına olanak vererek işletmeler için önemli bir risk oluşturur.

SafeBreach'teki güvenlik araştırmacısı Or Yair'e göre bu, bu hafta burada yapılan bir oturumda sorunun ana hatlarını çizdi. Ayrıca sorunla ilgili dört farklı güvenlik açığını da ayrıntılı olarak açıkladı. "Sihirli Nokta" olarak adlandırılan” – yalnızca bir arşivin çıkarılmasıyla tetiklenebilecek tehlikeli bir uzaktan kod yürütme hatası da dahil.

DOS'tan NT'ye Yol Dönüşümünde Noktalar ve Boşluklar

MagicDot sorun grubu, Windows'un DOS yollarını NT yollarına değiştirme biçimi sayesinde ortaya çıkmaktadır.

Kullanıcılar bilgisayarlarında dosya veya klasör açtığında, Windows bunu dosyanın bulunduğu yola başvurarak gerçekleştirir; normalde bu, “C:UsersUserDocumentsexample.txt” biçimini izleyen bir DOS yoludur. Ancak, dosyayı açma işlemini gerçekleştirmek için NtCreateFile adı verilen farklı bir temel işlev kullanılır ve NtCreateFile, bir DOS yolu değil, bir NT yolu ister. Böylece Windows, işlemi etkinleştirmek için NtCreateFile'ı çağırmadan önce, kullanıcılara görünen tanıdık DOS yolunu bir NT yoluna dönüştürür.

Yararlanılabilir sorun, dönüştürme işlemi sırasında Windows'un DOS yolundaki tüm noktaları ve sondaki fazladan boşlukları otomatik olarak kaldırması nedeniyle ortaya çıkar. Böylece, aşağıdaki gibi DOS yolları:

tümü NT yolu olarak “??C:exampleexample” biçimine dönüştürülür.

Yair, hatalı karakterlerin otomatik olarak ayıklanmasının, saldırganların kendi seçtikleri NT yollarına dönüştürülecek özel hazırlanmış DOS yolları oluşturmalarına olanak sağlayabileceğini ve bu yolların daha sonra dosyaları kullanılamaz hale getirmek veya kötü amaçlı içerik ve etkinlikleri gizlemek için kullanılabileceğini keşfetti.

Ayrıcalıksız bir Rootkit'in Simülasyonu

MagicDot sorunları, her şeyden önce, bir makinedeki saldırganların gizliliğini korumasına yardımcı olan bir dizi istismar sonrası teknik için fırsat yaratıyor.

Örneğin, kötü amaçlı içerikleri kilitlemek ve kullanıcıların, hatta yöneticilerin bile bu içeriği incelemesini engellemek mümkündür. "Kötü amaçlı bir dosya adının sonuna basit bir nokta koyarak veya bir dosyayı veya dizini yalnızca noktalar ve/veya boşluklarla adlandırarak, normal API'yi kullanan tüm kullanıcı alanı programlarına erişilemez hale getirebilirim... kullanıcılar Yair oturumda şunları söyledi: "Onları okuyamıyor, yazamıyor, silemiyor veya onlarla başka bir şey yapamıyorum."

Daha sonra ilgili bir saldırıda Yair, tekniğin arşiv dosyalarındaki dosyaları veya dizinleri gizlemek için kullanılabileceğini buldu.

Yair, "Explorer'ın onu listelemesini veya çıkarmasını önlemek için arşivdeki bir dosya adını nokta ile sonlandırdım" dedi. "Sonuç olarak, masum bir zip'in içine kötü amaçlı bir dosya yerleştirmeyi başardım; arşiv içeriğini görüntülemek ve çıkarmak için Explorer'ı kullanan kişi, bu dosyanın içinde bulunduğunu göremedi."

Üçüncü bir saldırı yöntemi, meşru dosya yollarının kimliğine bürünerek kötü amaçlı içeriğin maskelenmesini içerir.

"'İyi huylu' olarak adlandırılan zararsız bir dosya varsa, aynı dizinde iyi huylu bir kötü amaçlı dosya oluşturmak için [DOS'tan NT'ye yol dönüştürmeyi kullanabilirdim], diye açıkladı ve aynı yaklaşımın geçerli olduğunu ekledi. klasörleri ve hatta daha geniş Windows işlemlerini taklit etmek için kullanılabilir. "Sonuç olarak, bir kullanıcı kötü amaçlı dosyayı okuduğunda, bunun yerine orijinal zararsız dosyanın içeriği döndürülür," böylece kurban, aslında kötü amaçlı içeriği açtığı konusunda hiçbir bilgi sahibi olmaz.

Yair, birlikte ele alındığında MagicDot yollarını manipüle etmenin, rakiplere yönetici ayrıcalıkları olmadan rootkit benzeri yetenekler kazandırabileceğini açıkladı. detaylı teknik notlar oturumla birlikte saldırı yöntemleri hakkında.

"Dosyaları ve işlemleri gizleyebildiğimi, arşivlerdeki dosyaları gizleyebildiğimi, önceden getirilen dosya analizini etkileyebildiğimi, Görev Yöneticisi ve İşlem Gezgini kullanıcılarının, kötü amaçlı bir dosyanın Microsoft tarafından yayınlanan doğrulanmış bir yürütülebilir dosya olduğunu düşünmesini sağlayabildiğimi, İşlem Gezgini'ni hizmet reddi (DoS) ile devre dışı bırakabildiğimi keşfettim. güvenlik açığı ve daha fazlası" dedi; bunların tümü yönetici ayrıcalıklarına veya çekirdekte kod çalıştırma becerisine sahip değil ve bilgi alan API çağrıları zincirine müdahale edilmiyor.

"Siber güvenlik topluluğunun bu riski tanıması ve ayrıcalıksız rootkit tespit teknikleri ve kuralları geliştirmeyi düşünmesi önemlidir" diye uyardı.

Bir Dizi “MagicDot” Güvenlik Açığı

Yair, MagicDot yollarıyla ilgili araştırması sırasında, temel sorunla ilgili dört farklı güvenlik açığını da ortaya çıkarmayı başardı; bunlardan üçü Microsoft tarafından yamalandığından beri.

Bir uzaktan kod yürütme (RCE) güvenlik açığı (CVE-2023-36396Windows'un yeni desteklenen tüm arşiv türleri için yeni çıkarma mantığındaki CVSS 7.8), saldırganların, çıkarıldıktan sonra uzaktaki bir bilgisayarda seçtikleri herhangi bir yere yazacak kötü amaçlı bir arşiv oluşturmasına olanak tanır ve bu da kod yürütülmesine yol açar.

“Temel olarak, bilgisayarınıza bir arşiv yüklediğinizi varsayalım. GitHub deposu Yair, Dark Reading'e "indirilebilecek harika bir araç olarak tanıtıyor" dedi. "Ve kullanıcı onu indirdiğinde, bu yürütülebilir bir dosya değil, yalnızca arşivi çıkarıyorsunuz; bu da hiçbir güvenlik riski olmayan, tamamen güvenli bir işlem olarak değerlendiriliyor. Ancak artık çıkarma işleminin kendisi bilgisayarınızda kod çalıştırabiliyor ve bu ciddi anlamda yanlış ve çok tehlikeli.”

İkinci bir hata, ayrıcalık yükselmesi (EoP) güvenlik açığıdır (CVE-2023-32054CVSS 7.3), saldırganların önceki bir sürümün geri yükleme işlemini gölge kopyadan değiştirerek ayrıcalıkları olmayan dosyalara yazmasına olanak tanır.

Üçüncü hata, CVE-2023-42757'nin rezerve edildiği Process Explorer'ın anti-analiz hatasına yönelik ayrıcalıksız DOS'udur ve ayrıntıları takip edilecektir. Yine bir EoP sorunu olan dördüncü hata, ayrıcalığı olmayan saldırganların dosyaları silmesine olanak tanıyor. Microsoft, kusurun "beklenmeyen davranışa" yol açtığını doğruladı ancak henüz bir CVE veya bunun için bir düzeltme yayınlamadı.

“Demo klasörünün içinde … adlı bir klasör oluşturuyorum. ve içine c.txt adında bir dosya yazıyorum,” diye açıkladı Yair. “Sonra bir yönetici dosyayı silmeye çalıştığında… klasörü yerine demo klasörünün tamamı silinir."

Potansiyel Olarak Daha Geniş “MagicDot” Sonuçları

Microsoft, Yair'in belirli güvenlik açıklarını ele alırken, DOS'tan NT'ye yol dönüşümünde nokta ve boşlukların otomatik olarak çıkarılması, güvenlik açıklarının temel nedeni olmasına rağmen devam ediyor.

Araştırmacı Dark Reading'e "Bu, bu sorunu kullanarak bulunabilecek çok daha fazla potansiyel güvenlik açığı ve sömürü sonrası teknik olabileceği anlamına geliyor" dedi. "Bu sorun hâlâ mevcut ve bildiğimizden çok daha tehlikeli olabilecek çok daha fazla soruna ve güvenlik açığına yol açabilir."

Sorunun Microsoft'un ötesinde sonuçları olduğunu da ekliyor.

"Bu sonuçların yalnızca dünyanın en yaygın kullanılan masaüstü işletim sistemi olan Microsoft Windows için değil, aynı zamanda çoğu bilinen sorunların yazılımlarının sürümünden sürümüne devam etmesine izin veren tüm yazılım satıcıları için de geçerli olduğuna inanıyoruz" diye uyardı sunumunda.

Bu arada, yazılım geliştiricilerin DOS yolları yerine NT yollarını kullanarak kodlarını bu tür güvenlik açıklarına karşı daha güvenli hale getirebileceklerini belirtti.

Yair sunumunda "Windows'taki üst düzey API çağrılarının çoğu NT yollarını destekliyor" dedi. "NT yollarını kullanmak, dönüştürme sürecini ortadan kaldırır ve sağlanan yolun gerçekte üzerinde çalışılan yolla aynı olmasını sağlar."

İşletmeler için güvenlik ekipleri, dosya yollarındaki hileli dönemleri ve boşlukları arayan algılamalar oluşturmalıdır.

"Bunlar için geliştirebileceğiniz oldukça kolay algılamalar var; sonunda noktalar veya boşluklar bulunan dosya veya dizinleri aramak için; çünkü bunları bilgisayarınızda bulursanız, bu birisinin bunu bilerek yaptığı anlamına gelir çünkü öyle değildir. Bunu yapmak çok kolay," diyor Yair Dark Reading'e. “Normal kullanıcılar, uçları nokta veya boşlukla biten bir dosya oluşturamaz; Microsoft bunu engelleyecektir. Saldırganların kullanması gerekecek daha düşük API bu çekirdeğe daha yakın ve bunu başarmak için biraz uzmanlığa ihtiyaç olacak.”

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.darkreading.com/vulnerabilities-threats/magicdot-windows-weakness-unprivileged-rootkit