ब्लैक हैट एशिया - सिंगापुर - विंडोज़ में डॉस-टू-एनटी पथ रूपांतरण प्रक्रिया से जुड़ी एक ज्ञात समस्या हमलावरों को फ़ाइलों, निर्देशिकाओं और प्रक्रियाओं को छिपाने और उनका प्रतिरूपण करने के लिए रूटकिट-जैसी पोस्ट-शोषण क्षमताओं को प्राप्त करने की अनुमति देकर व्यवसायों के लिए महत्वपूर्ण जोखिम खोलती है।
यह बात सेफब्रीच के सुरक्षा शोधकर्ता ऑर यायर के अनुसार है, जिन्होंने इस सप्ताह यहां एक सत्र के दौरान इस मुद्दे को रेखांकित किया। उन्होंने इस मुद्दे से संबंधित चार अलग-अलग कमजोरियों के बारे में भी विस्तार से बताया "मैजिकडॉट" करार दिया गया”- इसमें एक खतरनाक रिमोट कोड-निष्पादन बग भी शामिल है जिसे केवल एक संग्रह को निकालकर ट्रिगर किया जा सकता है।
डॉस-टू-एनटी पथ रूपांतरण में बिंदु और स्थान
समस्याओं का मैजिकडॉट समूह उस तरीके के कारण मौजूद है जिसके कारण विंडोज़ डॉस पथों को एनटी पथों में बदलता है।
जब उपयोगकर्ता अपने पीसी पर फ़ाइलें या फ़ोल्डर खोलते हैं, तो विंडोज़ उस पथ को संदर्भित करके इसे पूरा करता है जहां फ़ाइल मौजूद है; आम तौर पर, यह एक DOS पथ है जो "C:UsersUserDocumentsexample.txt" प्रारूप का अनुसरण करता है। हालाँकि, NtCreateFile नामक एक अलग अंतर्निहित फ़ंक्शन का उपयोग वास्तव में फ़ाइल को खोलने का कार्य करने के लिए किया जाता है, और NtCreateFile एक NT पथ मांगता है न कि DOS पथ। इस प्रकार, ऑपरेशन को सक्षम करने के लिए NtCreateFile को कॉल करने से पहले, विंडोज़ उपयोगकर्ताओं को दिखाई देने वाले परिचित DOS पथ को NT पथ में परिवर्तित कर देता है।
शोषण योग्य समस्या मौजूद है, क्योंकि रूपांतरण प्रक्रिया के दौरान, विंडोज़ अंत में किसी भी अतिरिक्त स्थान के साथ-साथ DOS पथ से किसी भी अवधि को स्वचालित रूप से हटा देता है। इस प्रकार, DOS पथ इस प्रकार हैं:
-
सी: उदाहरण उदाहरण।
-
सी: उदाहरण उदाहरण…
-
सी: उदाहरण उदाहरण
सभी को एनटी पथ के रूप में "??C:exampleexample" में परिवर्तित कर दिया गया है।
यायर ने पाया कि ग़लत वर्णों को स्वचालित रूप से हटाने से हमलावरों को विशेष रूप से तैयार किए गए DOS पथ बनाने की अनुमति मिल सकती है जिन्हें उनकी पसंद के NT पथों में परिवर्तित किया जाएगा, जिसका उपयोग या तो फ़ाइलों को अनुपयोगी बनाने या दुर्भावनापूर्ण सामग्री और गतिविधियों को छिपाने के लिए किया जा सकता है।
एक विशेषाधिकार प्राप्त रूटकिट का अनुकरण
मैजिकडॉट मुद्दे सबसे पहले और सबसे महत्वपूर्ण कई पोस्ट-शोषण तकनीकों के लिए अवसर पैदा करते हैं जो मशीन पर हमलावरों को छिपकर रहने में मदद करते हैं।
उदाहरण के लिए, दुर्भावनापूर्ण सामग्री को लॉक करना और उपयोगकर्ताओं, यहां तक कि व्यवस्थापकों को भी इसकी जांच करने से रोकना संभव है। “किसी दुर्भावनापूर्ण फ़ाइल नाम के अंत में एक सरल अनुगामी बिंदु रखकर या किसी फ़ाइल या निर्देशिका को केवल बिंदुओं और/या रिक्त स्थान के साथ नाम देकर, मैं सामान्य एपीआई का उपयोग करने वाले सभी उपयोगकर्ता-स्पेस प्रोग्रामों को उनके लिए पहुंच से बाहर कर सकता हूं... उपयोगकर्ता करेंगे याइर ने सत्र में बताया, ''मैं उनके साथ पढ़ने, लिखने, हटाने या कुछ और करने में सक्षम नहीं हूं।''
फिर, संबंधित हमले में, यायर ने पाया कि तकनीक का उपयोग संग्रह फ़ाइलों के भीतर फ़ाइलों या निर्देशिकाओं को छिपाने के लिए किया जा सकता है।
यायर ने कहा, "एक्स्प्लोरर को सूचीबद्ध करने या उसे निकालने से रोकने के लिए मैंने बस एक संग्रह में एक फ़ाइल नाम को एक बिंदु के साथ समाप्त कर दिया।" "परिणामस्वरूप, मैं एक दुर्भावनापूर्ण फ़ाइल को एक निर्दोष ज़िप के अंदर रखने में सक्षम था - जिसने भी संग्रह सामग्री को देखने और निकालने के लिए एक्सप्लोरर का उपयोग किया वह यह देखने में असमर्थ था कि फ़ाइल अंदर मौजूद थी।"
तीसरी आक्रमण विधि में वैध फ़ाइल पथों का प्रतिरूपण करके दुर्भावनापूर्ण सामग्री को छिपाना शामिल है।
"यदि 'सौम्य' नामक कोई हानिरहित फ़ाइल थी, तो मैं उसी निर्देशिका में एक दुर्भावनापूर्ण फ़ाइल बनाने के लिए [डॉस-टू-एनटी पथ रूपांतरण का उपयोग] करने में सक्षम था [जिसे सौम्य भी नाम दिया गया है]," उन्होंने समझाया, उसी दृष्टिकोण को जोड़ते हुए इसका उपयोग फ़ोल्डर्स और यहां तक कि व्यापक विंडोज़ प्रक्रियाओं का प्रतिरूपण करने के लिए किया जा सकता है। "परिणामस्वरूप, जब कोई उपयोगकर्ता दुर्भावनापूर्ण फ़ाइल पढ़ता है, तो मूल हानिरहित फ़ाइल की सामग्री वापस कर दी जाएगी," पीड़ित को यह समझ में नहीं आता कि वे वास्तव में दुर्भावनापूर्ण सामग्री खोल रहे थे।
कुल मिलाकर, मैजिकडॉट पथों में हेरफेर करने से विरोधियों को व्यवस्थापकीय विशेषाधिकारों के बिना रूटकिट जैसी क्षमताएं मिल सकती हैं, येयर ने समझाया, जिन्होंने प्रकाशित किया विस्तृत तकनीकी नोट्स सत्र के साथ मिलकर हमले के तरीकों पर।
"मैंने पाया कि मैं फ़ाइलों और प्रक्रियाओं को छुपा सकता हूँ, फ़ाइलों को अभिलेखागार में छिपा सकता हूँ, प्रीफ़ैच फ़ाइल विश्लेषण को प्रभावित कर सकता हूँ, टास्क मैनेजर और प्रोसेस एक्सप्लोरर उपयोगकर्ताओं को यह सोचने पर मजबूर कर सकता हूँ कि मैलवेयर फ़ाइल Microsoft द्वारा प्रकाशित एक सत्यापित निष्पादन योग्य थी, सेवा से इनकार (DoS) के साथ प्रोसेस एक्सप्लोरर को अक्षम कर सकता हूँ" भेद्यता, और भी बहुत कुछ,'' उन्होंने कहा - सब कुछ व्यवस्थापक विशेषाधिकारों या कर्नेल में कोड चलाने की क्षमता के बिना, और जानकारी पुनर्प्राप्त करने वाली एपीआई कॉल की श्रृंखला में हस्तक्षेप के बिना।
उन्होंने चेतावनी दी, "यह महत्वपूर्ण है कि साइबर सुरक्षा समुदाय इस जोखिम को पहचाने और विशेषाधिकार रहित रूटकिट पहचान तकनीकों और नियमों को विकसित करने पर विचार करे।"
"मैजिकडॉट" कमजोरियों की एक श्रृंखला
मैजिकडॉट पथों पर अपने शोध के दौरान, येयर अंतर्निहित समस्या से संबंधित चार अलग-अलग कमजोरियों को उजागर करने में भी कामयाब रहा, उनमें से तीन को माइक्रोसॉफ्ट द्वारा पैच किया गया था।
एक रिमोट कोड निष्पादन (आरसीई) भेद्यता (CVE-2023-36396, सीवीएसएस 7.8) सभी नए समर्थित संग्रह प्रकारों के लिए विंडोज के नए निष्कर्षण तर्क में हमलावरों को एक दुर्भावनापूर्ण संग्रह तैयार करने की अनुमति मिलती है जो एक बार निकाले जाने के बाद दूरस्थ कंप्यूटर पर कहीं भी लिख देगा, जिससे कोड निष्पादन हो जाएगा।
“मूलतः, मान लीजिए कि आप अपने यहां एक संग्रह अपलोड करते हैं गिटहब भंडार इसे डाउनलोड के लिए उपलब्ध एक बेहतरीन टूल के रूप में विज्ञापित करें,'' यायर ने डार्क रीडिंग को बताया। “और जब उपयोगकर्ता इसे डाउनलोड करता है, तो यह निष्पादन योग्य नहीं होता है, आप बस संग्रह निकालते हैं, जिसे बिना किसी सुरक्षा जोखिम के पूरी तरह से सुरक्षित कार्रवाई माना जाता है। लेकिन अब, निष्कर्षण स्वयं आपके कंप्यूटर पर कोड चलाने में सक्षम है, और यह गंभीर रूप से गलत और बहुत खतरनाक है।
दूसरा बग विशेषाधिकार उन्नयन (ईओपी) भेद्यता है (CVE-2023-32054, सीवीएसएस 7.3) जो हमलावरों को छाया प्रति से पिछले संस्करण की पुनर्स्थापना प्रक्रिया में हेरफेर करके बिना विशेषाधिकार के फाइलों में लिखने की अनुमति देता है।
तीसरा बग एंटी-एनालिसिस बग के लिए प्रोसेस एक्सप्लोरर अनप्रिविलेज्ड DOS है, जिसके लिए CVE-2023-42757 आरक्षित किया गया है, जिसके विवरण का पालन करना होगा। और चौथा बग, एक ईओपी मुद्दा भी है, जो विशेषाधिकार प्राप्त हमलावरों को फ़ाइलें हटाने की अनुमति देता है। Microsoft ने पुष्टि की कि दोष के कारण "अप्रत्याशित व्यवहार" हुआ, लेकिन अभी तक इसके लिए कोई CVE या समाधान जारी नहीं किया है।
"मैं डेमो फ़ोल्डर के अंदर एक फ़ोल्डर बनाता हूं जिसे कहा जाता है... और अंदर, मैं c.txt नाम की एक फ़ाइल लिखता हूं," यायर ने समझाया। "फिर जब कोई व्यवस्थापक हटाने का प्रयास करता है... फ़ोल्डर, इसके बजाय संपूर्ण डेमो फ़ोल्डर हटा दिया जाता है।"
संभावित रूप से व्यापक "मैजिकडॉट" प्रभाव
जबकि माइक्रोसॉफ्ट ने यायर की विशिष्ट कमजोरियों को संबोधित किया है, डॉस-टू-एनटी पथ रूपांतरण अवधि और रिक्त स्थान की ऑटो-स्ट्रिपिंग बनी रहती है, भले ही यह कमजोरियों का मूल कारण है।
शोधकर्ता ने डार्क रीडिंग को बताया, "इसका मतलब है कि इस मुद्दे का उपयोग करके खोजने के लिए कई और संभावित कमजोरियां और शोषण के बाद की तकनीकें हो सकती हैं।" "यह समस्या अभी भी मौजूद है और कई अन्य समस्याओं और कमजोरियों को जन्म दे सकती है, जो उन समस्याओं से कहीं अधिक खतरनाक हो सकती हैं जिनके बारे में हम जानते हैं।"
उन्होंने आगे कहा कि समस्या का असर माइक्रोसॉफ्ट से परे भी है।
उन्होंने चेतावनी देते हुए कहा, "हमारा मानना है कि निहितार्थ न केवल माइक्रोसॉफ्ट विंडोज के लिए प्रासंगिक हैं, जो दुनिया का सबसे व्यापक रूप से इस्तेमाल किया जाने वाला डेस्कटॉप ओएस है, बल्कि सभी सॉफ्टवेयर विक्रेताओं के लिए भी प्रासंगिक है, जिनमें से अधिकांश ज्ञात समस्याओं को अपने सॉफ़्टवेयर के संस्करण से संस्करण तक जारी रहने देते हैं।" उनकी प्रस्तुति में.
इस बीच, सॉफ्टवेयर डेवलपर्स डॉस पथों के बजाय एनटी पथों का उपयोग करके इस प्रकार की कमजोरियों के खिलाफ अपने कोड को सुरक्षित बना सकते हैं, उन्होंने कहा।
यायर ने अपनी प्रस्तुति में कहा, "विंडोज़ में अधिकांश उच्च-स्तरीय एपीआई कॉल एनटी पथों का समर्थन करते हैं।" "एनटी पथों का उपयोग रूपांतरण प्रक्रिया से बचता है और यह सुनिश्चित करता है कि प्रदान किया गया पथ वही पथ है जिस पर वास्तव में संचालित किया जा रहा है।"
व्यवसायों के लिए, सुरक्षा टीमों को ऐसी पहचान बनानी चाहिए जो फ़ाइल पथों के भीतर दुष्ट अवधियों और स्थानों की तलाश करें।
“इनके लिए आप काफी आसान पहचान विकसित कर सकते हैं, उन फ़ाइलों या निर्देशिकाओं की तलाश करने के लिए, जिनमें अनुगामी बिंदु या रिक्त स्थान हैं, क्योंकि यदि आप उन्हें अपने कंप्यूटर पर पाते हैं, तो इसका मतलब है कि किसी ने जानबूझकर ऐसा किया है क्योंकि ऐसा नहीं है यह करना आसान है,'' यायर डार्क रीडिंग को बताता है। “सामान्य उपयोगकर्ता केवल बिंदु या स्थान वाले सिरे वाली फ़ाइल नहीं बना सकते, Microsoft इसे रोकेगा। हमलावरों को a का उपयोग करना होगा निचला एपीआई यह कर्नेल के करीब है, और इसे पूरा करने के लिए कुछ विशेषज्ञता की आवश्यकता होगी।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/vulnerabilities-threats/magicdot-windows-weakness-unprivileged-rootkit
- :हैस
- :है
- :नहीं
- :कहाँ
- $यूपी
- 7
- 8
- a
- क्षमताओं
- क्षमता
- योग्य
- About
- पूरा
- अनुसार
- कार्य
- गतिविधियों
- गतिविधि
- वास्तव में
- जोड़ने
- संबोधित
- जोड़ता है
- व्यवस्थापक
- विज्ञापन
- को प्रभावित
- के खिलाफ
- सब
- अनुमति देना
- की अनुमति दे
- की अनुमति देता है
- साथ में
- भी
- an
- विश्लेषण
- और
- कोई
- कुछ भी
- कहीं भी
- एपीआई
- दृष्टिकोण
- पुरालेख
- अभिलेखागार
- हैं
- AS
- एशिया
- जुड़े
- At
- आक्रमण
- प्रयास
- स्वचालित
- स्वतः
- उपलब्ध
- से बचा जाता है
- मूल रूप से
- BE
- क्योंकि
- किया गया
- व्यवहार
- जा रहा है
- मानना
- परे
- व्यापक
- दोष
- व्यवसायों
- लेकिन
- by
- बुलाया
- बुला
- कॉल
- कर सकते हैं
- क्षमताओं
- कारण
- श्रृंखला
- परिवर्तन
- अक्षर
- चुनाव
- चुनें
- चक्र
- करीब
- कोड
- समुदाय
- पूरी तरह से
- कंप्यूटर
- छिपाना
- की पुष्टि
- विचार करना
- माना
- सामग्री
- अंतर्वस्तु
- रूपांतरण
- परिवर्तित
- ठंडा
- प्रतिलिपि
- सका
- शिल्प
- तैयार
- बनाना
- सीवीई
- साइबर सुरक्षा
- खतरनाक
- अंधेरा
- डार्क रीडिंग
- डेमो
- सेवा से वंचित
- डेस्कटॉप
- विस्तृत
- विवरण
- खोज
- विकसित करना
- डेवलपर्स
- विकासशील
- डीआईडी
- विभिन्न
- निर्देशिकाओं
- डायरेक्टरी
- की खोज
- do
- डॉस
- DOT
- डाउनलोड
- डाउनलोड
- दौरान
- आसान
- भी
- अन्य
- सक्षम
- समाप्त
- समाप्त
- समाप्त होता है
- सुनिश्चित
- संपूर्ण
- और भी
- जांच
- निष्पादन
- मौजूद
- अस्तित्व में
- मौजूद
- विशेषज्ञता
- समझाया
- एक्सप्लोरर
- अतिरिक्त
- उद्धरण
- निष्कर्षण
- परिचित
- पट्टिका
- फ़ाइलें
- खोज
- प्रथम
- फिक्स
- दोष
- का पालन करें
- इस प्रकार है
- के लिए
- सबसे महत्वपूर्ण
- प्रारूप
- पाया
- चार
- चौथा
- से
- समारोह
- लाभ
- अनुदान
- समूह
- टोपी
- है
- he
- मदद
- यहाँ उत्पन्न करें
- छिपाना
- उच्च स्तर
- उसके
- तथापि
- HTTPS
- i
- नायक
- if
- अभिनय करना
- निहितार्थ
- महत्वपूर्ण
- in
- दुर्गम
- सहित
- करें-
- निर्दोष
- अंदर
- उदाहरण
- बजाय
- हस्तक्षेप
- में
- शामिल
- मुद्दा
- जारी किए गए
- मुद्दों
- IT
- खुद
- जेपीजी
- केवल
- जानना
- जानने वाला
- नेतृत्व
- प्रमुख
- छोड़ने
- नेतृत्व
- वैध
- चलो
- पसंद
- लिस्टिंग
- ताला
- तर्क
- देखिए
- मशीन
- बनाए रखना
- बनाना
- दुर्भावनापूर्ण
- मैलवेयर
- कामयाब
- प्रबंधक
- छेड़खानी
- बहुत
- साधन
- तरीका
- तरीकों
- माइक्रोसॉफ्ट
- माइक्रोसॉफ्ट विंडोज
- हो सकता है
- अधिक
- अधिकांश
- बहुत
- नाम
- नामांकित
- नामकरण
- आवश्यकता
- नया
- नए नए
- नहीं
- कोई नहीं
- साधारण
- सामान्य रूप से
- विख्यात
- अभी
- nt
- संख्या
- of
- on
- एक बार
- लोगों
- केवल
- खुला
- उद्घाटन
- खोलता है
- संचालित
- आपरेशन
- अवसर
- or
- मूल
- OS
- आउट
- उल्लिखित
- पथ
- पथ
- पीसी
- निष्पादन
- अवधि
- बनी रहती है
- जगह
- लगाना
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- संभव
- संभावित
- संभावित
- प्रदर्शन
- सुंदर
- को रोकने के
- पिछला
- पूर्व
- विशेषाधिकार
- विशेषाधिकारों
- मुसीबत
- समस्याओं
- प्रक्रिया
- प्रक्रियाओं
- प्रोग्राम्स
- बशर्ते
- प्रकाशित
- उद्देश्य
- असर
- बल्कि
- पढ़ना
- पढ़ना
- पढ़ता
- पहचान
- संदर्भित
- सम्बंधित
- प्रासंगिक
- दूरस्थ
- हटा देगा
- उपज
- अनुसंधान
- शोधकर्ता
- आरक्षित
- बहाली
- परिणाम
- जोखिम
- जोखिम
- जड़
- नियम
- रन
- s
- सुरक्षित
- सुरक्षित
- कहा
- वही
- कहना
- दूसरा
- सुरक्षा
- सुरक्षा जोखिम
- देखना
- कई
- गंभीरता से
- सेवा
- सत्र
- छाया
- चाहिए
- महत्वपूर्ण
- सरल
- केवल
- के बाद से
- सिंगापुर
- सॉफ्टवेयर
- सॉफ्टवेयर डेवलपर्स
- कुछ
- कोई
- अंतरिक्ष
- रिक्त स्थान
- विशेष रूप से
- विशिष्ट
- छल
- फिर भी
- अलग करना
- समर्थन
- समर्थित
- अग्रानुक्रम
- कार्य
- टीमों
- तकनीकी
- तकनीक
- तकनीक
- बताता है
- से
- धन्यवाद
- कि
- RSI
- दुनिया
- लेकिन हाल ही
- उन
- फिर
- वहाँ।
- इन
- वे
- सोचना
- तीसरा
- इसका
- इस सप्ताह
- उन
- हालांकि?
- तीन
- इस प्रकार
- सेवा मेरे
- एक साथ
- साधन
- अनुगामी
- शुरू हो रहा
- प्रकार
- असमर्थ
- उजागर
- आधारभूत
- अप्रत्याशित
- उपयोग
- प्रयुक्त
- उपयोगकर्ता
- उपयोगकर्ताओं
- का उपयोग
- उपयोग
- विक्रेताओं
- सत्यापित
- संस्करण
- बहुत
- शिकार
- देखें
- दिखाई
- कमजोरियों
- भेद्यता
- आगाह
- था
- मार्ग..
- we
- दुर्बलता
- सप्ताह
- थे
- कब
- कौन कौन से
- कौन
- जो कोई
- व्यापक रूप से
- व्यापक
- मर्जी
- खिड़कियां
- साथ में
- अंदर
- बिना
- विश्व
- होगा
- लिखना
- गलत
- अभी तक
- आप
- आपका
- जेफिरनेट
- ज़िप