Η αδυναμία των Windows "MagicDot" επιτρέπει τη δραστηριότητα μη προνομιούχου Rootkit

ΜΑΥΡΟ ΚΑΠΕΛΟ ΑΣΙΑ – Σιγκαπούρη – Ένα γνωστό ζήτημα που σχετίζεται με τη διαδικασία μετατροπής διαδρομής DOS σε NT στα Windows εγκυμονεί σημαντικό κίνδυνο για τις επιχειρήσεις, επιτρέποντας στους εισβολείς να αποκτήσουν δυνατότητες μετα-εκμετάλλευσης τύπου rootkit για απόκρυψη και μίμηση αρχείων, καταλόγων και διεργασιών.

Αυτό λέει ο Or Yair, ερευνητής ασφάλειας στο SafeBreach, ο οποίος περιέγραψε το ζήτημα κατά τη διάρκεια μιας συνεδρίας εδώ αυτήν την εβδομάδα. Παρουσίασε επίσης τέσσερα διαφορετικά τρωτά σημεία που σχετίζονται με το θέμα, τα οποία ο ίδιος με τίτλο «MagicDot” – συμπεριλαμβανομένου ενός επικίνδυνου σφάλματος απομακρυσμένης εκτέλεσης κώδικα που μπορεί να ενεργοποιηθεί απλώς με την εξαγωγή ενός αρχείου.

Κουκκίδες και κενά στη μετατροπή διαδρομής DOS σε NT

Η ομάδα προβλημάτων MagicDot υπάρχει χάρη στον τρόπο με τον οποίο τα Windows αλλάζουν τις διαδρομές DOS σε διαδρομές NT.

Όταν οι χρήστες ανοίγουν αρχεία ή φακέλους στον υπολογιστή τους, τα Windows το επιτυγχάνουν αναφέροντας τη διαδρομή όπου υπάρχει το αρχείο. κανονικά, αυτή είναι μια διαδρομή DOS που ακολουθεί τη μορφή "C:UsersUserDocumentsexample.txt". Ωστόσο, μια διαφορετική υποκείμενη συνάρτηση που ονομάζεται NtCreateFile χρησιμοποιείται για να εκτελέσει πραγματικά τη λειτουργία ανοίγματος του αρχείου και το NtCreateFile ζητά μια διαδρομή NT και όχι μια διαδρομή DOS. Έτσι, τα Windows μετατρέπουν τη γνωστή διαδρομή DOS που είναι ορατή στους χρήστες σε μια διαδρομή NT, πριν καλέσουν το NtCreateFile για να ενεργοποιηθεί η λειτουργία.

Το εκμεταλλεύσιμο πρόβλημα υπάρχει επειδή, κατά τη διάρκεια της διαδικασίας μετατροπής, τα Windows αφαιρούν αυτόματα τυχόν περιόδους από τη διαδρομή DOS, μαζί με τυχόν επιπλέον κενά στο τέλος. Έτσι, διαδρομές DOS όπως αυτές:

όλα μετατρέπονται σε "??C:exampleexample" ως διαδρομή NT.

Ο Yair ανακάλυψε ότι αυτή η αυτόματη απομάκρυνση από λανθασμένους χαρακτήρες θα μπορούσε να επιτρέψει στους εισβολείς να δημιουργήσουν ειδικά διαμορφωμένες διαδρομές DOS που θα μετατρέπονταν σε μονοπάτια NT της επιλογής τους, οι οποίες στη συνέχεια θα μπορούσαν να χρησιμοποιηθούν είτε για να καταστήσουν τα αρχεία άχρηστα είτε για να κρύψουν κακόβουλο περιεχόμενο και δραστηριότητες.

Προσομοίωση ενός μη προνομιούχου Rootkit

Τα ζητήματα MagicDot πρώτα και κύρια δημιουργούν την ευκαιρία για μια σειρά τεχνικών μετά την εκμετάλλευση που βοηθούν τους επιτιθέμενους σε μια μηχανή να διατηρήσουν τη μυστικότητα.

Για παράδειγμα, είναι δυνατό να κλειδώσετε κακόβουλο περιεχόμενο και να εμποδίσετε τους χρήστες, ακόμη και τους διαχειριστές, να το εξετάσουν. «Τοποθετώντας μια απλή τελική κουκκίδα στο τέλος ενός ονόματος κακόβουλου αρχείου ή ονομάζοντας ένα αρχείο ή έναν κατάλογο μόνο με κουκκίδες και/ή κενά, θα μπορούσα να κάνω όλα τα προγράμματα χώρου χρήστη που χρησιμοποιούν το κανονικό API απρόσιτα σε αυτά… δεν μπορώ να διαβάσω, να γράψω, να διαγράψω ή να κάνω οτιδήποτε άλλο μαζί τους», εξήγησε ο Yair στη συνεδρία.

Στη συνέχεια, σε μια σχετική επίθεση, ο Yair διαπίστωσε ότι η τεχνική θα μπορούσε να χρησιμοποιηθεί για την απόκρυψη αρχείων ή καταλόγων μέσα σε αρχεία αρχειοθέτησης.

«Απλώς τερμάτισα ένα όνομα αρχείου σε ένα αρχείο με μια τελεία για να εμποδίσω τον Explorer να το καταχωρίσει ή να το εξαγάγει», είπε ο Yair. "Ως αποτέλεσμα, μπόρεσα να τοποθετήσω ένα κακόβουλο αρχείο μέσα σε ένα αθώο zip - όποιος χρησιμοποιούσε τον Explorer για να προβάλει και να εξάγει τα περιεχόμενα του αρχείου δεν μπορούσε να δει ότι αυτό το αρχείο υπήρχε μέσα."

Μια τρίτη μέθοδος επίθεσης περιλαμβάνει την απόκρυψη κακόβουλου περιεχομένου με την πλαστοπροσωπία των νόμιμων διαδρομών αρχείων.

"Εάν υπήρχε ένα αβλαβές αρχείο που ονομάζεται "καλοήθης", μπορούσα να [χρησιμοποιήσω τη μετατροπή διαδρομής DOS-to-NT] για να δημιουργήσω ένα κακόβουλο αρχείο στον ίδιο κατάλογο [που ονομάζεται επίσης] καλοήθης", εξήγησε, προσθέτοντας ότι η ίδια προσέγγιση θα μπορούσε να χρησιμοποιηθεί για την μίμηση φακέλων και ακόμη ευρύτερων διαδικασιών των Windows. «Ως αποτέλεσμα, όταν ένας χρήστης διαβάζει το κακόβουλο αρχείο, το περιεχόμενο του αρχικού αβλαβούς αρχείου θα επιστρέφεται αντ' αυτού», αφήνοντας το θύμα πιο σοφό ότι άνοιγε πράγματι κακόβουλο περιεχόμενο.

Συνολικά, ο χειρισμός των μονοπατιών MagicDot μπορεί να δώσει στους αντιπάλους ικανότητες τύπου rootkit χωρίς δικαιώματα διαχειριστή, εξήγησε ο Yair, ο οποίος δημοσίευσε λεπτομερείς τεχνικές σημειώσεις σχετικά με τις μεθόδους επίθεσης παράλληλα με τη συνεδρία.

«Διαπίστωσα ότι μπορούσα να αποκρύψω αρχεία και διεργασίες, να αποκρύψω αρχεία σε αρχεία, να επηρεάσω την ανάλυση αρχείων προανάκτησης, να κάνω τους χρήστες του Task Manager και του Process Explorer να πιστεύουν ότι ένα αρχείο κακόβουλου λογισμικού ήταν ένα επαληθευμένο εκτελέσιμο που δημοσιεύτηκε από τη Microsoft, να απενεργοποιήσω τον Process Explorer με άρνηση υπηρεσίας (DoS) ευπάθεια και πολλά άλλα», είπε — όλα χωρίς δικαιώματα διαχειριστή ή δυνατότητα εκτέλεσης κώδικα στον πυρήνα και χωρίς παρέμβαση στην αλυσίδα των κλήσεων API που ανακτούν πληροφορίες.

«Είναι σημαντικό η κοινότητα της κυβερνοασφάλειας να αναγνωρίσει αυτόν τον κίνδυνο και να εξετάσει το ενδεχόμενο ανάπτυξης τεχνικών και κανόνων ανίχνευσης μη προνομιούχων rootkit», προειδοποίησε.

Μια σειρά από τρωτά σημεία "MagicDot".

Κατά τη διάρκεια της έρευνάς του στα μονοπάτια MagicDot, ο Yair κατάφερε επίσης να αποκαλύψει τέσσερα διαφορετικά τρωτά σημεία που σχετίζονται με το υποκείμενο ζήτημα, τρία από αυτά από τότε που διορθώθηκαν από τη Microsoft.

Μία ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) (CVE-2023-36396, CVSS 7.8) στη νέα λογική εξαγωγής των Windows για όλους τους τύπους αρχείων που υποστηρίζονται πρόσφατα, επιτρέπει στους εισβολείς να δημιουργήσουν ένα κακόβουλο αρχείο που θα έγραφε οπουδήποτε επιλέξουν σε έναν απομακρυσμένο υπολογιστή μετά την εξαγωγή, οδηγώντας σε εκτέλεση κώδικα.

«Βασικά, ας πούμε ότι ανεβάζετε ένα αρχείο στο δικό σας Αποθετήριο GitHub διαφημίζοντάς το ως ένα δροσερό εργαλείο διαθέσιμο για λήψη», λέει ο Yair στο Dark Reading. «Και όταν ο χρήστης το κατεβάζει, δεν είναι εκτελέσιμο, απλώς εξαγάγετε το αρχείο, το οποίο θεωρείται μια απολύτως ασφαλής ενέργεια χωρίς κινδύνους ασφαλείας. Αλλά τώρα, η ίδια η εξαγωγή μπορεί να εκτελέσει κώδικα στον υπολογιστή σας και αυτό είναι σοβαρά λάθος και πολύ επικίνδυνο.»

Ένα δεύτερο σφάλμα είναι μια ευπάθεια ανύψωσης προνομίων (EoP) (CVE-2023-32054, CVSS 7.3) που επιτρέπει στους εισβολείς να γράφουν σε αρχεία χωρίς προνόμια χειρίζοντας τη διαδικασία επαναφοράς μιας προηγούμενης έκδοσης από ένα σκιερό αντίγραφο.

Το τρίτο σφάλμα είναι το μη προνομιακό DOS του Process Explorer για σφάλμα κατά της ανάλυσης, για το οποίο έχει δεσμευτεί το CVE-2023-42757, με λεπτομέρειες που πρέπει να ακολουθήσουν. Και το τέταρτο σφάλμα, επίσης ένα ζήτημα EoP, επιτρέπει σε μη προνομιούχους εισβολείς να διαγράφουν αρχεία. Η Microsoft επιβεβαίωσε ότι το ελάττωμα οδήγησε σε «απροσδόκητη συμπεριφορά», αλλά δεν έχει εκδώσει ακόμη CVE ή διόρθωση για αυτό.

«Δημιουργώ έναν φάκελο μέσα στον φάκελο επίδειξης που ονομάζεται… και μέσα, γράφω ένα αρχείο με το όνομα c.txt», εξήγησε ο Yair. «Στη συνέχεια, όταν ένας διαχειριστής επιχειρήσει να διαγράψει το… φάκελο, ολόκληρος ο φάκελος επίδειξης διαγράφεται.

Πιθανώς ευρύτερες προκλήσεις "MagicDot".

Ενώ η Microsoft αντιμετώπισε τα συγκεκριμένα τρωτά σημεία του Yair, η αυτόματη απογύμνωση περιόδων και διαστημάτων μετατροπής διαδρομής DOS-σε-NT συνεχίζεται, παρόλο που αυτή είναι η βασική αιτία των τρωτών σημείων.

«Αυτό σημαίνει ότι μπορεί να υπάρχουν πολλά περισσότερα πιθανά τρωτά σημεία και τεχνικές μετά την εκμετάλλευση για να βρεθούν χρησιμοποιώντας αυτό το ζήτημα», λέει ο ερευνητής στο Dark Reading. «Αυτό το ζήτημα εξακολουθεί να υπάρχει και μπορεί να οδηγήσει σε πολλά περισσότερα ζητήματα και τρωτά σημεία, τα οποία μπορεί να είναι πολύ πιο επικίνδυνα από αυτά που γνωρίζουμε».

Προσθέτει ότι το πρόβλημα έχει προεκτάσεις πέρα ​​από τη Microsoft.

«Πιστεύουμε ότι οι συνέπειες αφορούν όχι μόνο τα Microsoft Windows, τα οποία είναι το πιο ευρέως χρησιμοποιούμενο επιτραπέζιο λειτουργικό σύστημα στον κόσμο, αλλά και για όλους τους προμηθευτές λογισμικού, οι περισσότεροι από τους οποίους επιτρέπουν επίσης να επιμένουν γνωστά προβλήματα από έκδοση σε έκδοση του λογισμικού τους», προειδοποίησε. στην παρουσίασή του.

Εν τω μεταξύ, οι προγραμματιστές λογισμικού μπορούν να κάνουν τον κώδικά τους ασφαλέστερο έναντι αυτών των τύπων τρωτών σημείων χρησιμοποιώντας μονοπάτια NT αντί για διαδρομές DOS, σημείωσε.

«Οι περισσότερες κλήσεις API υψηλού επιπέδου στα Windows υποστηρίζουν διαδρομές NT», είπε ο Yair στην παρουσίασή του. "Η χρήση μονοπατιών NT αποφεύγει τη διαδικασία μετατροπής και διασφαλίζει ότι η παρεχόμενη διαδρομή είναι η ίδια διαδρομή με την οποία λειτουργεί πραγματικά."

Για τις επιχειρήσεις, οι ομάδες ασφαλείας θα πρέπει να δημιουργούν ανιχνεύσεις που αναζητούν ακατάλληλες περιόδους και κενά μέσα στις διαδρομές αρχείων.

«Υπάρχουν πολύ εύκολες ανιχνεύσεις που μπορείτε να αναπτύξετε για αυτές, για να αναζητήσετε αρχεία ή καταλόγους, που έχουν τελικές κουκκίδες ή κενά μέσα τους, γιατί αν τις βρείτε στον υπολογιστή σας, σημαίνει ότι κάποιος το έκανε επίτηδες επειδή δεν είναι τόσο εύκολο να γίνει», λέει ο Yair στο Dark Reading. «Οι κανονικοί χρήστες δεν μπορούν απλώς να δημιουργήσουν ένα αρχείο με άκρα με τελεία ή κενό, η Microsoft θα το αποτρέψει. Οι επιτιθέμενοι θα χρειαστεί να χρησιμοποιήσουν α χαμηλότερο API που είναι πιο κοντά στον πυρήνα και θα χρειαστεί κάποια τεχνογνωσία για να το πετύχει αυτό."

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/vulnerabilities-threats/magicdot-windows-weakness-unprivileged-rootkit