القبعة السوداء آسيا – سنغافورة – هناك مشكلة معروفة مرتبطة بعملية تحويل المسار من DOS إلى NT في نظام التشغيل Windows تفتح خطرًا كبيرًا على الشركات من خلال السماح للمهاجمين باكتساب إمكانات ما بعد الاستغلال شبيهة ببرامج rootkit لإخفاء وانتحال هوية الملفات والأدلة والعمليات.
هذا وفقًا لأور يائير، الباحث الأمني في SafeBreach، الذي أوضح المشكلة خلال جلسة عقدت هنا هذا الأسبوع. كما قام بتفصيل أربع نقاط ضعف مختلفة تتعلق بهذه القضية، وهو ما قاله يطلق عليها اسم "MagicDot"."- بما في ذلك خطأ خطير في تنفيذ التعليمات البرمجية عن بعد والذي يمكن تشغيله ببساطة عن طريق استخراج الأرشيف.
النقاط والمسافات في تحويل مسار DOS إلى NT
توجد مجموعة مشكلات MagicDot بفضل الطريقة التي يقوم بها Windows بتغيير مسارات DOS إلى مسارات NT.
عندما يفتح المستخدمون ملفات أو مجلدات على أجهزة الكمبيوتر الخاصة بهم، يقوم Windows بذلك عن طريق الرجوع إلى المسار الذي يوجد به الملف؛ عادةً ما يكون هذا مسار DOS يتبع تنسيق "C:UsersUserDocumentsexample.txt". ومع ذلك، يتم استخدام وظيفة أساسية مختلفة تسمى NtCreateFile لإجراء عملية فتح الملف فعليًا، ويطلب NtCreateFile مسار NT وليس مسار DOS. وبالتالي، يقوم Windows بتحويل مسار DOS المألوف والمرئي للمستخدمين إلى مسار NT، قبل استدعاء NtCreateFile لتمكين العملية.
توجد المشكلة القابلة للاستغلال لأنه أثناء عملية التحويل، يقوم Windows تلقائيًا بإزالة أي فترات من مسار DOS، بالإضافة إلى أي مسافات إضافية في النهاية. وبالتالي فإن مسارات DOS مثل هذه:
-
ج:مثال على سبيل المثال.
-
ج:مثال مثال...
-
ج:مثال على سبيل المثال
يتم تحويلها جميعًا إلى "؟؟C:exampleexample" كمسار NT.
اكتشف يائير أن هذا التجريد التلقائي للأحرف الخاطئة قد يسمح للمهاجمين بإنشاء مسارات DOS مصممة خصيصًا والتي سيتم تحويلها إلى مسارات NT من اختيارهم، والتي يمكن بعد ذلك استخدامها إما لجعل الملفات غير قابلة للاستخدام أو لإخفاء المحتوى والأنشطة الضارة.
محاكاة Rootkit غير المميزة
تخلق مشكلات MagicDot أولاً وقبل كل شيء الفرصة لعدد من تقنيات ما بعد الاستغلال التي تساعد المهاجمين على الجهاز في الحفاظ على التخفي.
على سبيل المثال، من الممكن قفل المحتوى الضار ومنع المستخدمين، وحتى المسؤولين، من فحصه. "من خلال وضع نقطة لاحقة بسيطة في نهاية اسم ملف ضار أو عن طريق تسمية ملف أو دليل بنقاط و/أو مسافات فقط، يمكنني جعل جميع برامج مساحة المستخدم التي تستخدم واجهة برمجة التطبيقات العادية غير قابلة للوصول إليها ... وأوضح يائير في الجلسة: "لا أستطيع القراءة أو الكتابة أو الحذف أو القيام بأي شيء آخر معهم".
وبعد ذلك، وفي هجوم ذي صلة، اكتشف يائير أنه يمكن استخدام هذه التقنية لإخفاء الملفات أو الأدلة داخل ملفات الأرشيف.
قال يائير: "لقد قمت ببساطة بإنهاء اسم الملف في الأرشيف بنقطة لمنع Explorer من إدراجه أو استخراجه". "ونتيجة لذلك، تمكنت من وضع ملف ضار داخل ملف مضغوط بريء - أي شخص يستخدم Explorer لعرض محتويات الأرشيف واستخراجها لم يتمكن من رؤية هذا الملف موجودًا بداخله."
تتضمن طريقة الهجوم الثالثة إخفاء المحتوى الضار عن طريق انتحال صفة مسارات الملفات الشرعية.
وأوضح قائلاً: "إذا كان هناك ملف غير ضار يُسمى 'benign'، فقد تمكنت من [استخدام تحويل مسار DOS-to-NT] لإنشاء ملف ضار في نفس الدليل [يُسمى أيضًا] benign"، مضيفًا أن نفس النهج يمكن استخدامها لانتحال هوية المجلدات وحتى عمليات Windows الأوسع. "ونتيجة لذلك، عندما يقرأ المستخدم الملف الضار، سيتم إرجاع محتوى الملف الأصلي غير الضار بدلاً من ذلك"، مما يترك الضحية غير متأكد من أنه كان يفتح بالفعل محتوى ضارًا.
وأوضح يائير، الذي نشر ملاحظات فنية مفصلة على أساليب الهجوم جنبا إلى جنب مع الدورة.
"لقد وجدت أنه يمكنني إخفاء الملفات والعمليات، وإخفاء الملفات في الأرشيف، والتأثير على تحليل ملف الجلب المسبق، وجعل مستخدمي إدارة المهام وProcess Explorer يعتقدون أن ملف البرامج الضارة هو ملف قابل للتنفيذ تم التحقق منه وتم نشره بواسطة Microsoft، وتعطيل Process Explorer مع رفض الخدمة (DoS)" وقال: "الثغرات الأمنية، وأكثر من ذلك"، كل ذلك بدون امتيازات المسؤول أو القدرة على تشغيل التعليمات البرمجية في النواة، ودون التدخل في سلسلة استدعاءات واجهة برمجة التطبيقات (API) التي تسترد المعلومات.
وحذر قائلاً: "من المهم أن يدرك مجتمع الأمن السيبراني هذا الخطر ويفكر في تطوير تقنيات وقواعد للكشف عن الجذور الخفية".
سلسلة من الثغرات الأمنية في "MagicDot".
أثناء بحثه في مسارات MagicDot، تمكن يائير أيضًا من الكشف عن أربع ثغرات أمنية مختلفة تتعلق بالمشكلة الأساسية، وتم تصحيح ثلاثة منها منذ ذلك الحين بواسطة Microsoft.
ثغرة أمنية واحدة في تنفيذ التعليمات البرمجية عن بعد (RCE) (CVE-2023-36396، CVSS 7.8) في منطق الاستخراج الجديد لنظام التشغيل Windows لجميع أنواع الأرشيف المدعومة حديثًا يسمح للمهاجمين بصياغة أرشيف ضار يمكن كتابته في أي مكان يختارونه على جهاز كمبيوتر بعيد بمجرد استخراجه، مما يؤدي إلى تنفيذ التعليمات البرمجية.
"في الأساس، لنفترض أنك قمت بتحميل أرشيف إلى ملفك مستودع جيثب الإعلان عنها كأداة رائعة متاحة للتنزيل،" يقول يائير لـ Dark Reading. "وعندما يقوم المستخدم بتنزيله، فهو ليس ملفًا قابلاً للتنفيذ، ما عليك سوى استخراج الأرشيف، وهو إجراء آمن تمامًا دون أي مخاطر أمنية. لكن الآن، أصبح الاستخراج نفسه قادرًا على تشغيل التعليمات البرمجية على جهاز الكمبيوتر الخاص بك، وهذا خطأ جسيم وخطير جدًا.
الخطأ الثاني هو زيادة ثغرة الامتياز (EoP) (CVE-2023-32054، CVSS 7.3) الذي يسمح للمهاجمين بالكتابة في الملفات دون امتيازات من خلال معالجة عملية استعادة الإصدار السابق من نسخة الظل.
الخطأ الثالث هو Process Explorer الذي لا يتمتع بميزة DOS لخطأ مكافحة التحليل، والذي تم حجز CVE-2023-42757 له، مع تفاصيل لاحقة. والخطأ الرابع، وهو أيضًا مشكلة EoP، يسمح للمهاجمين ذوي الامتيازات بحذف الملفات. وأكدت مايكروسوفت أن الخلل أدى إلى "سلوك غير متوقع" لكنها لم تصدر بعد CVE أو إصلاحًا له.
"أقوم بإنشاء مجلد داخل المجلد التجريبي يسمى ... وأوضح يائير أنه في الداخل، أكتب ملفًا باسم c.txt. "ثم عندما يحاول المسؤول حذف ... المجلد، يتم حذف المجلد التجريبي بأكمله بدلاً من ذلك.
تداعيات "MagicDot" الأوسع المحتملة
بينما قامت Microsoft بمعالجة نقاط الضعف المحددة لدى Yair، استمر التجريد التلقائي للنقاط والمسافات لتحويل مسار DOS-to-NT، على الرغم من أن هذا هو السبب الجذري للثغرات الأمنية.
يقول الباحث لـ Dark Reading: “هذا يعني أنه قد يكون هناك العديد من نقاط الضعف المحتملة وتقنيات ما بعد الاستغلال التي يمكن العثور عليها باستخدام هذه المشكلة”. "لا تزال هذه المشكلة موجودة ويمكن أن تؤدي إلى العديد من المشكلات ونقاط الضعف، والتي يمكن أن تكون أكثر خطورة بكثير من تلك التي نعرفها."
ويضيف أن المشكلة لها تداعيات تتجاوز مايكروسوفت.
وحذر قائلاً: "نعتقد أن التداعيات لا تتعلق فقط بنظام التشغيل Microsoft Windows، وهو نظام التشغيل المكتبي الأكثر استخدامًا في العالم، ولكن أيضًا بجميع بائعي البرامج، الذين يسمح معظمهم أيضًا باستمرار المشكلات المعروفة من إصدار إلى إصدار من برامجهم". في عرضه.
وفي الوقت نفسه، يمكن لمطوري البرامج جعل التعليمات البرمجية الخاصة بهم أكثر أمانًا ضد هذه الأنواع من نقاط الضعف من خلال استخدام مسارات NT بدلاً من مسارات DOS، كما أشار.
قال يائير في عرضه التقديمي: "معظم استدعاءات واجهة برمجة التطبيقات (API) عالية المستوى في Windows تدعم مسارات NT". "يؤدي استخدام مسارات NT إلى تجنب عملية التحويل ويضمن أن المسار المقدم هو نفس المسار الذي يتم تشغيله فعليًا."
بالنسبة للشركات، يجب على فرق الأمان إنشاء عمليات اكتشاف تبحث عن الفترات والمسافات المارقة داخل مسارات الملفات.
"هناك اكتشافات سهلة للغاية يمكنك تطويرها للبحث عن الملفات أو الأدلة التي تحتوي على نقاط أو مسافات زائدة، لأنه إذا وجدت تلك، على جهاز الكمبيوتر الخاص بك، فهذا يعني أن شخصًا ما فعل ذلك عن قصد لأنه ليس كذلك يقول يائير لـ Dark Reading: "من السهل القيام بذلك". "لا يمكن للمستخدمين العاديين إنشاء ملف ينتهي بنقطة أو مسافة، وستمنع Microsoft ذلك. سيحتاج المهاجمون إلى استخدام واجهة برمجة التطبيقات السفلى وهو أقرب إلى النواة، وسيحتاج إلى بعض الخبرة لإنجاز ذلك.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/vulnerabilities-threats/magicdot-windows-weakness-unprivileged-rootkit
- :لديها
- :يكون
- :ليس
- :أين
- $ UP
- 7
- 8
- a
- القدرات
- القدرة
- ماهرون
- من نحن
- إنجاز
- وفقا
- اكشن
- أنشطة
- نشاط
- في الواقع
- مضيفا
- تناولت
- يضيف
- مشرف
- دعاية
- تؤثر
- ضد
- الكل
- السماح
- السماح
- يسمح
- على طول
- أيضا
- an
- تحليل
- و
- أي وقت
- اى شى
- في أى مكان
- API
- نهج
- أرشيف
- أرشيف
- هي
- AS
- آسيا
- أسوشيتد
- At
- مهاجمة
- محاولات
- أوتوماتيك
- تلقائيا
- متاح
- يتجنب
- في الأساس
- BE
- لان
- كان
- سلوك
- يجري
- اعتقد
- Beyond
- أوسع
- علة
- الأعمال
- لكن
- by
- تسمى
- دعوة
- دعوات
- CAN
- قدرات
- سبب
- سلسلة
- التغييرات
- الأحرف
- خيار
- اختار
- دائرة
- أقرب
- الكود
- مجتمع
- تماما
- الكمبيوتر
- إخفاء
- تم تأكيد
- نظر
- نظرت
- محتوى
- محتويات
- تحويل
- تحويلها
- رائع
- نسخة
- استطاع
- حرفة
- وضعت
- خلق
- CVE
- الأمن السيبراني
- خطير
- غامق
- قراءة مظلمة
- عرض
- الحرمان من الخدمة
- سطح المكتب
- مفصلة
- تفاصيل
- كشف
- تطوير
- المطورين
- تطوير
- فعل
- مختلف
- الدلائل
- دليل
- اكتشف
- do
- DOS
- DOT
- بإمكانك تحميله
- التنزيلات
- أثناء
- سهل
- إما
- آخر
- تمكين
- النهاية
- انتهى
- ينتهي
- يضمن
- كامل
- حتى
- دراسة
- يوجد
- موجودة
- موجود
- خبرة
- شرح
- مستكشف
- احتفل على
- استخراج
- استخلاص
- مألوف
- قم بتقديم
- ملفات
- الاسم الأول
- حل
- عيب
- اتباع
- متابعات
- في حالة
- قبل كل شيء
- شكل
- وجدت
- أربعة
- رابع
- تبدأ من
- وظيفة
- ربح
- منح
- تجمع
- قبعة
- يملك
- he
- مساعدة
- هنا
- إخفاء
- رفيع المستوى
- له
- لكن
- HTTPS
- i
- اي كون
- if
- انتحال
- آثار
- أهمية
- in
- لا يمكن الوصول إليها
- بما فيه
- معلومات
- الأبرياء
- في الداخل
- مثل
- بدلًا من ذلك
- تدخل
- إلى
- ينطوي
- قضية
- نشر
- مسائل
- IT
- نفسها
- JPG
- م
- علم
- معروف
- قيادة
- قيادة
- مغادرة
- ليد
- شرعي
- اسمحوا
- مثل
- قائمة
- قفل
- منطق
- بحث
- آلة
- المحافظة
- جعل
- خبيث
- البرمجيات الخبيثة
- تمكن
- مدير
- التلاعب
- كثير
- يعني
- طريقة
- طرق
- مایکروسافت
- مايكروسوفت ويندوز
- ربما
- الأكثر من ذلك
- أكثر
- كثيرا
- الاسم
- عين
- تسمية
- حاجة
- جديد
- حديثا
- لا
- بدون اضاءة
- عادي
- عادة
- وأشار
- الآن
- nt
- عدد
- of
- on
- مرة
- منها
- فقط
- جاكيت
- افتتاح
- يفتح
- تعمل
- عملية
- الفرصة
- or
- أصلي
- OS
- خارج
- أوجز
- مسار
- مسارات
- أجهزة الكمبيوتر
- نفذ
- فترات
- لا يزال قائما
- المكان
- وضع
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- ممكن
- محتمل
- يحتمل
- <font style="vertical-align: inherit;"> كمادة تطعيم في تجديد عيوب محيط بالذورة (الحنك) الكبيرة:</font>
- جميل
- منع
- سابق
- قبل
- امتياز
- الامتيازات
- المشكلة
- مشاكل
- عملية المعالجة
- العمليات
- البرامج
- المقدمة
- نشرت
- غرض
- تداعيات
- بدلا
- عرض
- نادي القراءة
- يقرأ
- الاعتراف
- الرجوع
- ذات صلة
- ذات الصلة
- عن بعد
- يزيل
- محصول
- بحث
- الباحث
- محفوظة
- ترميم
- نتيجة
- المخاطرة
- المخاطر
- جذر
- القواعد
- يجري
- s
- خزنة
- أكثر أمانا
- قال
- نفسه
- قول
- الثاني
- أمن
- المخاطر الأمنية
- انظر تعريف
- مسلسلات
- بشكل جاد
- الخدمة
- الجلسة
- شادو
- ينبغي
- هام
- الاشارات
- ببساطة
- منذ
- سنغافورة
- تطبيقات الكمبيوتر
- مطوري البرامج
- بعض
- شخص ما
- الفضاء
- المساحات
- خصيصا
- محدد
- الشبح الأسود
- لا يزال
- تعرية
- الدعم
- مدعومة
- ترادفيا
- مهمة
- فريق
- تقني
- تقنية
- تقنيات
- يروي
- من
- شكر
- أن
- •
- العالم
- من مشاركة
- منهم
- then
- هناك.
- تشبه
- هم
- اعتقد
- الثالث
- هذا الأسبوع
- هؤلاء
- على الرغم من؟
- ثلاثة
- وهكذا
- إلى
- سويا
- أداة
- زائدة
- أثار
- أنواع
- غير قادر
- كشف
- التي تقوم عليها
- غير متوقع
- تستخدم
- مستعمل
- مستخدم
- المستخدمين
- استخدام
- استخدام
- الباعة
- التحقق
- الإصدار
- جدا
- ضحية
- المزيد
- مرئي
- نقاط الضعف
- الضعف
- حذر
- وكان
- طريق..
- we
- ضعف
- أسبوع
- كان
- متى
- التي
- من الذى
- من
- على نحو واسع
- على نطاق أوسع
- سوف
- نوافذ
- مع
- في غضون
- بدون
- العالم
- سوف
- اكتب
- خاطئ
- حتى الآن
- أنت
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت
- الرمز البريدي