BLACK HAT ASIA – Singapore – A known issue associated with the DOS-to-NT path conversion process in Windows opens up significant risk for businesses by allowing attackers to gain rootkit-like post-exploitation capabilities to conceal and impersonate files, directories, and processes.

That’s according to Or Yair, security researcher at SafeBreach, who outlined the issue during a session here this week. He also detailed four different vulnerabilities related to the issue, which he "MagicDot" کا نام دیا گیا۔” – including a dangerous remote code-execution bug that can be triggered simply by extracting an archive.

DOS-to-NT پاتھ کنورژن میں نقطے اور خالی جگہیں۔

The MagicDot group of problems exist thanks to the way that Windows changes DOS paths to NT paths.

When users open files or folders on their PCs, Windows accomplishes this by referencing the path where the file exists; normally, that’s a DOS path that follows the “C:UsersUserDocumentsexample.txt” format. However, a different underlying function called NtCreateFile is used to actually perform the operation of opening the file, and NtCreateFile asks for an NT path and not a DOS path. Thus, Windows converts the familiar DOS path visible to users into an NT path, prior to calling NtCreateFile to enable the operation.

استحصالی مسئلہ موجود ہے کیونکہ، تبدیلی کے عمل کے دوران، ونڈوز خود بخود DOS پاتھ سے کسی بھی وقفے کو ہٹا دیتا ہے، ساتھ ہی آخر میں کسی اضافی جگہ کو بھی۔ اس طرح، DOS کے راستے اس طرح ہیں:

are all converted to “??C:exampleexample” as an NT path.

Yair discovered that this automatic stripping out of erroneous characters could allow attackers to create specially crafted DOS paths that would be converted to NT paths of their choice, which could then be used to either render files unusable or to conceal malicious content and activities.

ایک غیر مراعات یافتہ روٹ کٹ کی نقل کرنا

MagicDot کے مسائل سب سے پہلے اور سب سے اہم پوسٹ ایکسپلائیٹیشن تکنیکوں کا موقع فراہم کرتے ہیں جو مشین پر حملہ آوروں کو اسٹیلتھ برقرار رکھنے میں مدد کرتی ہیں۔

For instance, it’s possible to lock up malicious content and prevent users, even admins, from examining it. “By placing a simple trailing dot at the end of a malicious file name or by naming a file or a directory with dots and/or spaces only, I could make all user-space programs that use the normal API inaccessible to them … users would not be able to read, write, delete, or do anything else with them,” Yair explained in the session.

پھر، ایک متعلقہ حملے میں، Yair نے پایا کہ تکنیک کو آرکائیو فائلوں میں فائلوں یا ڈائریکٹریوں کو چھپانے کے لیے استعمال کیا جا سکتا ہے۔

“I simply ended a file name in an archive with a dot to prevent Explorer from listing or extracting it,” Yair said. “As a result, I was able to place a malicious file inside an innocent zip — whoever used Explorer to view and extract the archive contents was unable to see that file existed inside.”

تیسرے حملے کے طریقہ کار میں فائل کے جائز راستوں کی نقالی کرکے بدنیتی پر مبنی مواد کو چھپانا شامل ہے۔

“If there was a harmless file called ‘benign,’ I was able to [use DOS-to-NT path conversion] to create a malicious file in the same directory [also named] benign,” he explained, adding that the same approach could be used to impersonate folders and even broader Windows processes. “As a result, when a user reads the malicious file, the content of the original harmless file would be returned instead,” leaving the victim none the wiser that they were actually opening malicious content.

یائر نے وضاحت کی، جس نے شائع کیا ہے، ایک ساتھ مل کر، MagicDot کے راستوں کو جوڑنا مخالفوں کو روٹ کٹ جیسی قابلیت فراہم کر سکتا ہے۔ تفصیلی تکنیکی نوٹ سیشن کے ساتھ مل کر حملے کے طریقوں پر۔

“I found I could hide files and processes, hide files in archives, affect prefetch file analysis, make Task Manager and Process Explorer users think a malware file was a verified executable published by Microsoft, disable Process Explorer with a denial of service (DoS) vulnerability, and more,” he said — all without admin privileges or the ability to run code in the kernel, and without intervention in the chain of API calls that retrieve information.

"یہ ضروری ہے کہ سائبر سیکیورٹی کمیونٹی اس خطرے کو پہچانے اور غیر مراعات یافتہ روٹ کٹ کا پتہ لگانے کی تکنیکوں اور قواعد کو تیار کرنے پر غور کرے،" انہوں نے خبردار کیا۔

A Series of “MagicDot” Vulnerabilities

MagicDot کے راستوں پر اپنی تحقیق کے دوران، Yair نے بنیادی مسئلے سے متعلق چار مختلف کمزوریوں کو بھی بے نقاب کرنے میں کامیاب کیا، ان میں سے تین کو مائیکروسافٹ نے تیار کیا ہے۔

ایک ریموٹ کوڈ پر عمل درآمد (RCE) کا خطرہ (CVE-2023-36396, CVSS 7.8) ونڈوز کی نئی نکالنے کی منطق میں تمام نئے تعاون یافتہ آرکائیو اقسام کے لیے حملہ آوروں کو ایک بدنیتی پر مبنی آرکائیو تیار کرنے کی اجازت دیتا ہے جو ایک بار نکالے جانے کے بعد دور دراز کے کمپیوٹر پر کہیں بھی وہ لکھے گا، جس سے کوڈ پر عمل درآمد ہوتا ہے۔

“Basically, let’s say you upload an archive to your GitHub ذخیرہ ڈاؤن لوڈ کے لیے دستیاب ایک ٹھنڈی ٹول کے طور پر اس کی تشہیر کرنا،" Yair ڈارک ریڈنگ کو بتاتا ہے۔ "اور جب صارف اسے ڈاؤن لوڈ کرتا ہے، تو یہ قابل عمل نہیں ہے، آپ صرف آرکائیو کو نکالتے ہیں، جسے بغیر کسی حفاظتی خطرات کے مکمل طور پر محفوظ کارروائی سمجھا جاتا ہے۔ لیکن اب، نکالنے والا خود آپ کے کمپیوٹر پر کوڈ چلانے کے قابل ہے، اور یہ انتہائی غلط اور بہت خطرناک ہے۔"

دوسرا بگ استحقاق کی بلندی ہے (EoP) کمزوری (CVE-2023-32054, CVSS 7.3) جو حملہ آوروں کو شیڈو کاپی سے پچھلے ورژن کی بحالی کے عمل میں ہیرا پھیری کرکے استحقاق کے بغیر فائلوں میں لکھنے کی اجازت دیتا ہے۔

The third bug is Process Explorer unprivileged DOS for anti-analysis bug, for which CVE-2023-42757 has been reserved, with details to follow. And the fourth bug, also an EoP issue, allows unprivileged attackers to delete files. Microsoft confirmed that the flaw led to “unexpected behavior” but hasn’t yet issued a CVE or a fix for it.

“I create a folder inside the demo folder called …<space> and inside, I write a file named c.txt,” Yair explained. “Then when an administrator attempts to delete the …<space> folder, the entire demo folder is deleted instead.”

Potentially Wider “MagicDot” Ramifications

While Microsoft addressed Yair’s specific vulnerabilities, the DOS-to-NT path conversion auto-stripping of periods and spaces persists, even though that’s the root cause of the vulnerabilities.

“That means there might be many more potential vulnerabilities and post-exploitation techniques to find using this issue,” the researcher tells Dark Reading. “This issue is still exists and can lead to many more issues and vulnerabilities, which can be much more dangerous than the ones we know about.”

انہوں نے مزید کہا کہ اس مسئلے کا مائیکروسافٹ سے آگے بھی اثر ہے۔

“We believe the implications are relevant not only to Microsoft Windows, which is the world’s most widely used desktop OS, but also to all software vendors, most of whom also allow known issues to persist from version to version of their software,” he warned in his presentation.

دریں اثنا، سافٹ ویئر ڈویلپر اپنے کوڈ کو اس قسم کے خطرات کے خلاف DOS کے راستوں کی بجائے NT کے راستوں کو استعمال کر کے محفوظ بنا سکتے ہیں۔

“Most high-level API calls in Windows support NT paths,” Yair said in his presentation. “Using NT paths avoids the conversion process and ensures the provided path is the same path that is being actually operated on.”

کاروباروں کے لیے، سیکیورٹی ٹیموں کو ایسے پتہ لگانے چاہییں جو فائل پاتھ کے اندر بدمعاش ادوار اور خالی جگہوں کو تلاش کریں۔

“There are pretty easy detections that you can develop for these, to look for files or directories, that have trailing dots or spaces in them, because if you find those, on your computer, it means that someone did it on purpose because it’s not that easy to do,” Yair tells Dark Reading. “Normal users can’t just create a file with ends with a dot or space, Microsoft will prevent that. Attackers will need to use a کم API جو دانا کے قریب ہے، اور اسے پورا کرنے کے لیے کچھ مہارت درکار ہوگی۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/vulnerabilities-threats/magicdot-windows-weakness-unprivileged-rootkit