ضعف Windows "MagicDot" يسمح بنشاط Rootkit غير المميز

القبعة السوداء آسيا – سنغافورة – هناك مشكلة معروفة مرتبطة بعملية تحويل المسار من DOS إلى NT في نظام التشغيل Windows تفتح خطرًا كبيرًا على الشركات من خلال السماح للمهاجمين باكتساب إمكانات ما بعد الاستغلال شبيهة ببرامج rootkit لإخفاء وانتحال هوية الملفات والأدلة والعمليات.

هذا وفقًا لأور يائير، الباحث الأمني ​​في SafeBreach، الذي أوضح المشكلة خلال جلسة عقدت هنا هذا الأسبوع. كما قام بتفصيل أربع نقاط ضعف مختلفة تتعلق بهذه القضية، وهو ما قاله يطلق عليها اسم "MagicDot"."- بما في ذلك خطأ خطير في تنفيذ التعليمات البرمجية عن بعد والذي يمكن تشغيله ببساطة عن طريق استخراج الأرشيف.

النقاط والمسافات في تحويل مسار DOS إلى NT

توجد مجموعة مشكلات MagicDot بفضل الطريقة التي يقوم بها Windows بتغيير مسارات DOS إلى مسارات NT.

عندما يفتح المستخدمون ملفات أو مجلدات على أجهزة الكمبيوتر الخاصة بهم، يقوم Windows بذلك عن طريق الرجوع إلى المسار الذي يوجد به الملف؛ عادةً ما يكون هذا مسار DOS يتبع تنسيق "C:UsersUserDocumentsexample.txt". ومع ذلك، يتم استخدام وظيفة أساسية مختلفة تسمى NtCreateFile لإجراء عملية فتح الملف فعليًا، ويطلب NtCreateFile مسار NT وليس مسار DOS. وبالتالي، يقوم Windows بتحويل مسار DOS المألوف والمرئي للمستخدمين إلى مسار NT، قبل استدعاء NtCreateFile لتمكين العملية.

توجد المشكلة القابلة للاستغلال لأنه أثناء عملية التحويل، يقوم Windows تلقائيًا بإزالة أي فترات من مسار DOS، بالإضافة إلى أي مسافات إضافية في النهاية. وبالتالي فإن مسارات DOS مثل هذه:

يتم تحويلها جميعًا إلى "؟؟C:exampleexample" كمسار NT.

اكتشف يائير أن هذا التجريد التلقائي للأحرف الخاطئة قد يسمح للمهاجمين بإنشاء مسارات DOS مصممة خصيصًا والتي سيتم تحويلها إلى مسارات NT من اختيارهم، والتي يمكن بعد ذلك استخدامها إما لجعل الملفات غير قابلة للاستخدام أو لإخفاء المحتوى والأنشطة الضارة.

محاكاة Rootkit غير المميزة

تخلق مشكلات MagicDot أولاً وقبل كل شيء الفرصة لعدد من تقنيات ما بعد الاستغلال التي تساعد المهاجمين على الجهاز في الحفاظ على التخفي.

على سبيل المثال، من الممكن قفل المحتوى الضار ومنع المستخدمين، وحتى المسؤولين، من فحصه. "من خلال وضع نقطة لاحقة بسيطة في نهاية اسم ملف ضار أو عن طريق تسمية ملف أو دليل بنقاط و/أو مسافات فقط، يمكنني جعل جميع برامج مساحة المستخدم التي تستخدم واجهة برمجة التطبيقات العادية غير قابلة للوصول إليها ... وأوضح يائير في الجلسة: "لا أستطيع القراءة أو الكتابة أو الحذف أو القيام بأي شيء آخر معهم".

وبعد ذلك، وفي هجوم ذي صلة، اكتشف يائير أنه يمكن استخدام هذه التقنية لإخفاء الملفات أو الأدلة داخل ملفات الأرشيف.

قال يائير: "لقد قمت ببساطة بإنهاء اسم الملف في الأرشيف بنقطة لمنع Explorer من إدراجه أو استخراجه". "ونتيجة لذلك، تمكنت من وضع ملف ضار داخل ملف مضغوط بريء - أي شخص يستخدم Explorer لعرض محتويات الأرشيف واستخراجها لم يتمكن من رؤية هذا الملف موجودًا بداخله."

تتضمن طريقة الهجوم الثالثة إخفاء المحتوى الضار عن طريق انتحال صفة مسارات الملفات الشرعية.

وأوضح قائلاً: "إذا كان هناك ملف غير ضار يُسمى 'benign'، فقد تمكنت من [استخدام تحويل مسار DOS-to-NT] لإنشاء ملف ضار في نفس الدليل [يُسمى أيضًا] benign"، مضيفًا أن نفس النهج يمكن استخدامها لانتحال هوية المجلدات وحتى عمليات Windows الأوسع. "ونتيجة لذلك، عندما يقرأ المستخدم الملف الضار، سيتم إرجاع محتوى الملف الأصلي غير الضار بدلاً من ذلك"، مما يترك الضحية غير متأكد من أنه كان يفتح بالفعل محتوى ضارًا.

وأوضح يائير، الذي نشر ملاحظات فنية مفصلة على أساليب الهجوم جنبا إلى جنب مع الدورة.

"لقد وجدت أنه يمكنني إخفاء الملفات والعمليات، وإخفاء الملفات في الأرشيف، والتأثير على تحليل ملف الجلب المسبق، وجعل مستخدمي إدارة المهام وProcess Explorer يعتقدون أن ملف البرامج الضارة هو ملف قابل للتنفيذ تم التحقق منه وتم نشره بواسطة Microsoft، وتعطيل Process Explorer مع رفض الخدمة (DoS)" وقال: "الثغرات الأمنية، وأكثر من ذلك"، كل ذلك بدون امتيازات المسؤول أو القدرة على تشغيل التعليمات البرمجية في النواة، ودون التدخل في سلسلة استدعاءات واجهة برمجة التطبيقات (API) التي تسترد المعلومات.

وحذر قائلاً: "من المهم أن يدرك مجتمع الأمن السيبراني هذا الخطر ويفكر في تطوير تقنيات وقواعد للكشف عن الجذور الخفية".

سلسلة من الثغرات الأمنية في "MagicDot".

أثناء بحثه في مسارات MagicDot، تمكن يائير أيضًا من الكشف عن أربع ثغرات أمنية مختلفة تتعلق بالمشكلة الأساسية، وتم تصحيح ثلاثة منها منذ ذلك الحين بواسطة Microsoft.

ثغرة أمنية واحدة في تنفيذ التعليمات البرمجية عن بعد (RCE) (CVE-2023-36396، CVSS 7.8) في منطق الاستخراج الجديد لنظام التشغيل Windows لجميع أنواع الأرشيف المدعومة حديثًا يسمح للمهاجمين بصياغة أرشيف ضار يمكن كتابته في أي مكان يختارونه على جهاز كمبيوتر بعيد بمجرد استخراجه، مما يؤدي إلى تنفيذ التعليمات البرمجية.

"في الأساس، لنفترض أنك قمت بتحميل أرشيف إلى ملفك مستودع جيثب الإعلان عنها كأداة رائعة متاحة للتنزيل،" يقول يائير لـ Dark Reading. "وعندما يقوم المستخدم بتنزيله، فهو ليس ملفًا قابلاً للتنفيذ، ما عليك سوى استخراج الأرشيف، وهو إجراء آمن تمامًا دون أي مخاطر أمنية. لكن الآن، أصبح الاستخراج نفسه قادرًا على تشغيل التعليمات البرمجية على جهاز الكمبيوتر الخاص بك، وهذا خطأ جسيم وخطير جدًا.

الخطأ الثاني هو زيادة ثغرة الامتياز (EoP) (CVE-2023-32054، CVSS 7.3) الذي يسمح للمهاجمين بالكتابة في الملفات دون امتيازات من خلال معالجة عملية استعادة الإصدار السابق من نسخة الظل.

الخطأ الثالث هو Process Explorer الذي لا يتمتع بميزة DOS لخطأ مكافحة التحليل، والذي تم حجز CVE-2023-42757 له، مع تفاصيل لاحقة. والخطأ الرابع، وهو أيضًا مشكلة EoP، يسمح للمهاجمين ذوي الامتيازات بحذف الملفات. وأكدت مايكروسوفت أن الخلل أدى إلى "سلوك غير متوقع" لكنها لم تصدر بعد CVE أو إصلاحًا له.

"أقوم بإنشاء مجلد داخل المجلد التجريبي يسمى ... وأوضح يائير أنه في الداخل، أكتب ملفًا باسم c.txt. "ثم عندما يحاول المسؤول حذف ... المجلد، يتم حذف المجلد التجريبي بأكمله بدلاً من ذلك.

تداعيات "MagicDot" الأوسع المحتملة

بينما قامت Microsoft بمعالجة نقاط الضعف المحددة لدى Yair، استمر التجريد التلقائي للنقاط والمسافات لتحويل مسار DOS-to-NT، على الرغم من أن هذا هو السبب الجذري للثغرات الأمنية.

يقول الباحث لـ Dark Reading: “هذا يعني أنه قد يكون هناك العديد من نقاط الضعف المحتملة وتقنيات ما بعد الاستغلال التي يمكن العثور عليها باستخدام هذه المشكلة”. "لا تزال هذه المشكلة موجودة ويمكن أن تؤدي إلى العديد من المشكلات ونقاط الضعف، والتي يمكن أن تكون أكثر خطورة بكثير من تلك التي نعرفها."

ويضيف أن المشكلة لها تداعيات تتجاوز مايكروسوفت.

وحذر قائلاً: "نعتقد أن التداعيات لا تتعلق فقط بنظام التشغيل Microsoft Windows، وهو نظام التشغيل المكتبي الأكثر استخدامًا في العالم، ولكن أيضًا بجميع بائعي البرامج، الذين يسمح معظمهم أيضًا باستمرار المشكلات المعروفة من إصدار إلى إصدار من برامجهم". في عرضه.

وفي الوقت نفسه، يمكن لمطوري البرامج جعل التعليمات البرمجية الخاصة بهم أكثر أمانًا ضد هذه الأنواع من نقاط الضعف من خلال استخدام مسارات NT بدلاً من مسارات DOS، كما أشار.

قال يائير في عرضه التقديمي: "معظم استدعاءات واجهة برمجة التطبيقات (API) عالية المستوى في Windows تدعم مسارات NT". "يؤدي استخدام مسارات NT إلى تجنب عملية التحويل ويضمن أن المسار المقدم هو نفس المسار الذي يتم تشغيله فعليًا."

بالنسبة للشركات، يجب على فرق الأمان إنشاء عمليات اكتشاف تبحث عن الفترات والمسافات المارقة داخل مسارات الملفات.

"هناك اكتشافات سهلة للغاية يمكنك تطويرها للبحث عن الملفات أو الأدلة التي تحتوي على نقاط أو مسافات زائدة، لأنه إذا وجدت تلك، على جهاز الكمبيوتر الخاص بك، فهذا يعني أن شخصًا ما فعل ذلك عن قصد لأنه ليس كذلك يقول يائير لـ Dark Reading: "من السهل القيام بذلك". "لا يمكن للمستخدمين العاديين إنشاء ملف ينتهي بنقطة أو مسافة، وستمنع Microsoft ذلك. سيحتاج المهاجمون إلى استخدام واجهة برمجة التطبيقات السفلى وهو أقرب إلى النواة، وسيحتاج إلى بعض الخبرة لإنجاز ذلك.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/vulnerabilities-threats/magicdot-windows-weakness-unprivileged-rootkit