Die Windows-Schwäche „MagicDot“ ermöglicht unprivilegierte Rootkit-Aktivitäten

BLACK HAT ASIA – Singapur – Ein bekanntes Problem im Zusammenhang mit dem DOS-zu-NT-Pfadkonvertierungsprozess in Windows stellt ein erhebliches Risiko für Unternehmen dar, da Angreifer Rootkit-ähnliche Post-Exploitation-Funktionen erhalten, um Dateien, Verzeichnisse und Prozesse zu verbergen und sich als solche auszugeben.

Das sagt Or Yair, Sicherheitsforscher bei SafeBreach, der das Problem diese Woche während einer Sitzung hier dargelegt hat. Er erläuterte außerdem vier verschiedene Schwachstellen im Zusammenhang mit dem Problem, die er mit dem Titel „MagicDot” – einschließlich eines gefährlichen Remotecode-Ausführungsfehlers, der einfach durch das Extrahieren eines Archivs ausgelöst werden kann.

Punkte und Leerzeichen bei der DOS-zu-NT-Pfadkonvertierung

Die MagicDot-Problemgruppe entsteht aufgrund der Art und Weise, wie Windows DOS-Pfade in NT-Pfade umwandelt.

Wenn Benutzer Dateien oder Ordner auf ihren PCs öffnen, erreicht Windows dies, indem es auf den Pfad verweist, in dem sich die Datei befindet. Normalerweise ist das ein DOS-Pfad, der dem Format „C:UsersUserDocumentsexample.txt“ folgt. Allerdings wird eine andere zugrunde liegende Funktion namens NtCreateFile verwendet, um den Vorgang des Öffnens der Datei tatsächlich auszuführen, und NtCreateFile fragt nach einem NT-Pfad und nicht nach einem DOS-Pfad. Daher konvertiert Windows den bekannten, für Benutzer sichtbaren DOS-Pfad in einen NT-Pfad, bevor NtCreateFile aufgerufen wird, um den Vorgang zu aktivieren.

Das ausnutzbare Problem besteht darin, dass Windows während des Konvertierungsprozesses automatisch alle Punkte aus dem DOS-Pfad entfernt, zusammen mit allen zusätzlichen Leerzeichen am Ende. DOS-Pfade wie diese:

werden alle in „??C:exampleexample“ als NT-Pfad konvertiert.

Yair entdeckte, dass diese automatische Entfernung fehlerhafter Zeichen es Angreifern ermöglichen könnte, speziell gestaltete DOS-Pfade zu erstellen, die in NT-Pfade ihrer Wahl umgewandelt würden, die dann verwendet werden könnten, um entweder Dateien unbrauchbar zu machen oder bösartige Inhalte und Aktivitäten zu verbergen.

Simulieren eines unprivilegierten Rootkits

Die MagicDot-Probleme bieten in erster Linie die Möglichkeit für eine Reihe von Post-Exploitation-Techniken, die Angreifern auf einer Maschine helfen, sich zu verstecken.

Beispielsweise ist es möglich, bösartige Inhalte zu sperren und Benutzer, sogar Administratoren, daran zu hindern, sie zu untersuchen. „Indem ich einen einfachen abschließenden Punkt am Ende eines bösartigen Dateinamens einfüge oder eine Datei oder ein Verzeichnis nur mit Punkten und/oder Leerzeichen benenne, könnte ich alle User-Space-Programme, die die normale API verwenden, für sie unzugänglich machen … Benutzer würden es tun.“ nicht in der Lage sein, sie zu lesen, zu schreiben, zu löschen oder irgendetwas anderes damit zu tun“, erklärte Yair in der Sitzung.

Dann stellte Yair bei einem ähnlichen Angriff fest, dass die Technik genutzt werden konnte, um Dateien oder Verzeichnisse in Archivdateien zu verbergen.

„Ich habe einen Dateinamen in einem Archiv einfach mit einem Punkt abgeschlossen, um zu verhindern, dass der Explorer sie auflistet oder extrahiert“, sagte Yair. „Dadurch konnte ich eine schädliche Datei in einer harmlosen ZIP-Datei ablegen – wer auch immer den Explorer zum Anzeigen und Extrahieren des Archivinhalts verwendet hat, konnte nicht sehen, dass die Datei darin vorhanden war.“

Eine dritte Angriffsmethode besteht darin, schädliche Inhalte zu maskieren, indem legitime Dateipfade vorgetäuscht werden.

„Wenn es eine harmlose Datei mit dem Namen ‚benign‘ gäbe, könnte ich [die DOS-zu-NT-Pfadkonvertierung verwenden], um eine schädliche Datei im selben Verzeichnis [auch mit dem Namen] „benign“ zu erstellen“, erklärte er und fügte hinzu, dass es sich um denselben Ansatz handele könnte verwendet werden, um Ordner und noch umfassendere Windows-Prozesse zu imitieren. „Wenn ein Benutzer die schädliche Datei liest, wird stattdessen der Inhalt der ursprünglichen harmlosen Datei zurückgegeben“, sodass das Opfer nicht weiß, dass es sich tatsächlich um schädliche Inhalte handelt.

Insgesamt kann die Manipulation von MagicDot-Pfaden Angreifern Rootkit-ähnliche Fähigkeiten ohne Administratorrechte verleihen, erklärte Yair, der dies veröffentlichte detaillierte technische Hinweise über die Angriffsmethoden parallel zur Sitzung.

„Ich habe herausgefunden, dass ich Dateien und Prozesse ausblenden, Dateien in Archiven ausblenden, die Prefetch-Dateianalyse beeinflussen, Task-Manager- und Process Explorer-Benutzer glauben lassen kann, eine Malware-Datei sei eine verifizierte ausführbare Datei, die von Microsoft veröffentlicht wurde, Process Explorer mit einem Denial-of-Service (DoS) deaktivieren kann.“ Sicherheitslücke und mehr“, sagte er – alles ohne Administratorrechte oder die Möglichkeit, Code im Kernel auszuführen, und ohne Eingriff in die Kette von API-Aufrufen, die Informationen abrufen.

„Es ist wichtig, dass die Cybersicherheitsgemeinschaft dieses Risiko erkennt und die Entwicklung unprivilegierter Rootkit-Erkennungstechniken und -regeln in Betracht zieht“, warnte er.

Eine Reihe von „MagicDot“-Schwachstellen

Während seiner Recherche zu den MagicDot-Pfaden gelang es Yair außerdem, vier verschiedene Schwachstellen im Zusammenhang mit dem zugrunde liegenden Problem aufzudecken, drei davon wurden inzwischen von Microsoft gepatcht.

Eine RCE-Schwachstelle (Remote Code Execution) (CVE-2023-36396, CVSS 7.8) in der neuen Extraktionslogik von Windows für alle neu unterstützten Archivtypen ermöglicht es Angreifern, ein bösartiges Archiv zu erstellen, das nach dem Extrahieren an eine beliebige Stelle auf einem Remotecomputer schreibt, was zur Codeausführung führt.

„Im Grunde nehmen wir an, Sie laden ein Archiv auf Ihr hoch GitHub-Repository Wir bewerben es als cooles Tool zum Download“, sagt Yair gegenüber Dark Reading. „Und wenn der Benutzer es herunterlädt, handelt es sich nicht um eine ausführbare Datei, sondern Sie extrahieren einfach das Archiv, was als völlig sichere Aktion ohne Sicherheitsrisiken gilt. Aber jetzt ist die Extraktion selbst in der Lage, Code auf Ihrem Computer auszuführen, und das ist ernsthaft falsch und sehr gefährlich.“

Ein zweiter Fehler ist eine EoP-Schwachstelle (Elevation of Privilege) (CVE-2023-32054, CVSS 7.3), die es Angreifern ermöglicht, ohne Privilegien in Dateien zu schreiben, indem sie den Wiederherstellungsprozess einer früheren Version aus einer Schattenkopie manipulieren.

Der dritte Fehler ist der nicht privilegierte Process Explorer-DOS-Fehler für Antianalysen, für den CVE-2023-42757 reserviert wurde. Einzelheiten folgen. Und der vierte Fehler, ebenfalls ein EoP-Problem, ermöglicht unprivilegierten Angreifern das Löschen von Dateien. Microsoft hat bestätigt, dass der Fehler zu „unerwartetem Verhalten“ geführt hat, hat jedoch noch kein CVE oder einen Fix dafür herausgegeben.

„Ich erstelle im Demo-Ordner einen Ordner namens … und darin schreibe ich eine Datei namens c.txt“, erklärte Yair. „Wenn dann ein Administrator versucht, die … zu löschen? Ordner wird stattdessen der gesamte Demo-Ordner gelöscht.“

Potenziell umfassendere „MagicDot“-Auswirkungen

Während Microsoft die spezifischen Schwachstellen von Yair behoben hat, bleibt die automatische Entfernung von Punkten und Leerzeichen bei der DOS-zu-NT-Pfadkonvertierung bestehen, obwohl dies die Hauptursache der Schwachstellen ist.

„Das bedeutet, dass es möglicherweise viel mehr potenzielle Schwachstellen und Post-Exploitation-Techniken gibt, die mithilfe dieses Problems gefunden werden können“, sagt der Forscher gegenüber Dark Reading. „Dieses Problem besteht immer noch und kann zu vielen weiteren Problemen und Schwachstellen führen, die viel gefährlicher sein können als die uns bekannten.“

Er fügt hinzu, dass das Problem Auswirkungen hat, die über Microsoft hinausgehen.

„Wir glauben, dass die Auswirkungen nicht nur für Microsoft Windows, das weltweit am häufigsten verwendete Desktop-Betriebssystem, relevant sind, sondern auch für alle Softwareanbieter, von denen die meisten auch zulassen, dass bekannte Probleme von Version zu Version ihrer Software bestehen bleiben“, warnte er in seinem Vortrag.

Mittlerweile können Softwareentwickler ihren Code vor solchen Schwachstellen schützen, indem sie NT-Pfade anstelle von DOS-Pfaden verwenden, bemerkte er.

„Die meisten High-Level-API-Aufrufe in Windows unterstützen NT-Pfade“, sagte Yair in seiner Präsentation. „Die Verwendung von NT-Pfaden vermeidet den Konvertierungsprozess und stellt sicher, dass der bereitgestellte Pfad derselbe Pfad ist, auf dem tatsächlich gearbeitet wird.“

Für Unternehmen sollten Sicherheitsteams Erkennungen erstellen, die nach unerwünschten Punkten und Leerzeichen in Dateipfaden suchen.

„Es gibt ziemlich einfache Erkennungsmöglichkeiten, die Sie dafür entwickeln können, um nach Dateien oder Verzeichnissen zu suchen, die nachgestellte Punkte oder Leerzeichen enthalten, denn wenn Sie diese auf Ihrem Computer finden, bedeutet das, dass jemand es absichtlich getan hat, weil das nicht der Fall ist.“ „Das ist ganz einfach“, erzählt Yair Dark Reading. „Normale Benutzer können nicht einfach eine Datei erstellen, die mit einem Punkt oder einem Leerzeichen endet, Microsoft wird das verhindern. Angreifer müssen a verwenden niedrigere API Das liegt näher am Kernel und erfordert etwas Fachwissen, um dies zu erreichen.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/vulnerabilities-threats/magicdot-windows-weakness-unprivileged-rootkit