BLACK HAT ÁZSIA – Szingapúr – A Windows DOS-NT elérési út-konverziós folyamatával kapcsolatos ismert probléma jelentős kockázatot jelent a vállalkozások számára, mivel lehetővé teszi a támadók számára, hogy rootkit-szerű utólagos kihasználási képességeket szerezzenek a fájlok, könyvtárak és folyamatok elrejtésére és megszemélyesítésére.
Ez Or Yair, a SafeBreach biztonsági kutatója szerint, aki egy e heti ülésen ismertette a problémát. A kérdéssel kapcsolatos négy különböző sebezhetőséget is részletezett, amelyeket ő a „MagicDot” – beleértve egy veszélyes távoli kódvégrehajtási hibát, amely egyszerűen egy archívum kibontásával váltható ki.
Pontok és szóközök a DOS-NT útvonalkonverzióban
A MagicDot problémák csoportja annak köszönhető, hogy a Windows a DOS elérési útjait NT útvonalakra változtatja.
Amikor a felhasználók fájlokat vagy mappákat nyitnak meg a számítógépükön, a Windows ezt úgy éri el, hogy hivatkozik a fájl elérési útjára; általában ez egy DOS elérési út, amely a „C:UsersUserDocumentsexample.txt” formátumot követi. Azonban egy másik, az NtCreateFile nevű mögöttes függvényt használják a fájl megnyitásának tényleges végrehajtására, és az NtCreateFile NT elérési utat kér, nem DOS elérési utat. Így a Windows az NtCreateFile meghívása előtt a felhasználók számára látható ismerős DOS elérési utat NT elérési úttá alakítja át.
A kihasználható probléma azért áll fenn, mert az átalakítási folyamat során a Windows automatikusan eltávolítja a DOS-útvonal minden pontját, valamint a végén lévő felesleges szóközöket. Így a DOS elérési utak, mint a következők:
-
C:exampleexample.
-
C:exampleexample…
-
C:exampleexample
mindegyik „??C:exampleexample”-re konvertálódik NT elérési útként.
Yair felfedezte, hogy a hibás karakterek automatikus eltávolítása lehetővé teheti a támadók számára, hogy speciálisan kialakított DOS-útvonalakat hozzanak létre, amelyeket az általuk választott NT-útvonalakra alakítanak át, amelyeket aztán a fájlok használhatatlanná tételére vagy a rosszindulatú tartalom és tevékenységek elrejtésére használhatnak.
Privileged Rootkit szimulálása
A MagicDot-problémák mindenekelőtt lehetőséget teremtenek számos olyan utólagos kizsákmányolási technikára, amelyek segítenek a támadóknak megőrizni a lopakodást.
Lehetőség van például a rosszindulatú tartalom zárolására, és megakadályozni, hogy a felhasználók, még az adminisztrátorok is megvizsgálják azt. „Ha egy rosszindulatú fájlnév végén egy egyszerű pontot helyezünk el, vagy egy fájlt vagy könyvtárat csak pontokkal és/vagy szóközökkel nevezünk el, elérhetetlenné tehetem számukra a normál API-t használó felhasználói terület programokat… nem tud olvasni, írni, törölni vagy bármi mást csinálni velük” – magyarázta Yair az ülésen.
Aztán egy kapcsolódó támadás során a Yair úgy találta, hogy ez a technika használható fájlok vagy könyvtárak elrejtésére az archív fájlokon belül.
„Egyszerûen ponttal zártam le egy fájlnevet az archívumban, nehogy az Explorer listázza vagy kibontsa” – mondta Yair. "Ennek eredményeként sikerült egy ártatlan zip-be helyeznem egy rosszindulatú fájlt – aki az Intézőt használta az archívum tartalmának megtekintésére és kibontására, az nem látta, hogy a fájl létezik benne."
A harmadik támadási módszer magában foglalja a rosszindulatú tartalom elfedését legitim fájlútvonalak megszemélyesítésével.
"Ha létezett egy ártalmatlan "jóindulatú" fájl, akkor [DOS-NT útvonal-konverziót használva] tudtam rosszindulatú fájlt létrehozni ugyanabban a könyvtárban [más néven] jóindulatú" - magyarázta, hozzátéve, hogy ugyanez a megközelítés. mappák és még szélesebb körű Windows-folyamatok megszemélyesítésére is használható. „Ennek eredményeként, amikor a felhasználó elolvassa a rosszindulatú fájlt, az eredeti, ártalmatlan fájl tartalma kerül visszaadásra”, így az áldozat nem lesz bölcsebb, hogy valóban rosszindulatú tartalmat nyit meg.
Összességében a MagicDot útvonalak manipulálása rootkit-szerű képességeket biztosíthat az ellenfeleknek rendszergazdai jogosultságok nélkül, magyarázta Yair, aki közzétette. részletes műszaki megjegyzések a támadási módszerekről a munkamenettel párhuzamosan.
„Úgy tapasztaltam, hogy elrejthetem a fájlokat és folyamatokat, elrejthetem a fájlokat az archívumban, befolyásolhatom az előzetes letöltési fájlelemzést, a Feladatkezelő és a Process Explorer felhasználókat arra késztethetem, hogy a rosszindulatú fájlokat a Microsoft által közzétett, ellenőrzött futtatható fájlnak tekintsem, és szolgáltatásmegtagadási szolgáltatással (DoS) letilthatom a Process Explorert. sebezhetőség, és még sok más” – mondta – mindezt adminisztrátori jogosultságok vagy kód futtatásának képessége nélkül a kernelben, és anélkül, hogy beavatkoznának az információkat lekérő API-hívások láncába.
„Fontos, hogy a kiberbiztonsági közösség felismerje ezt a kockázatot, és fontolóra vegye a kiváltságtalan rootkit-észlelési technikák és szabályok kidolgozását” – figyelmeztetett.
A „MagicDot” sebezhetőségek sorozata
A MagicDot-útvonalak kutatása során Yairnek négy különböző sebezhetőséget is sikerült feltárnia a mögöttes problémával kapcsolatban, amelyek közül hármat azóta a Microsoft javított.
Egy távoli kódvégrehajtás (RCE) biztonsági rése (CVE-2023 36396-, CVSS 7.8) a Windows új kibontási logikájában az összes újonnan támogatott archívumtípushoz lehetővé teszi a támadók számára, hogy rosszindulatú archívumot hozzanak létre, amely a kibontás után bárhová írhat egy távoli számítógépen, ami kódfuttatáshoz vezet.
„Alapvetően tegyük fel, hogy feltölt egy archívumot a sajátjába GitHub tárház egy remek letölthető eszközként hirdeti” – mondja Yair a Dark Readingnek. „És amikor a felhasználó letölti, az nem egy végrehajtható fájl, csak ki kell bontani az archívumot, ami teljesen biztonságos, biztonsági kockázatok nélküli műveletnek tekinthető. De most már maga a kicsomagolás képes kódot futtatni a számítógépén, és ez súlyosan helytelen és nagyon veszélyes."
A második hiba a jogosultság-emelés (EoP) sebezhetősége (CVE-2023 32054-, CVSS 7.3), amely lehetővé teszi a támadók számára, hogy jogosultságok nélkül írjanak fájlba egy korábbi verzió árnyékmásolatból történő visszaállítási folyamatának manipulálásával.
A harmadik hiba a Process Explorer privilegizált DOS az elemzési hibákhoz, amelyre a CVE-2023-42757 van fenntartva, a részletekkel később. A negyedik hiba pedig, amely szintén egy EoP-probléma, lehetővé teszi a nem jogosult támadók számára a fájlok törlését. A Microsoft megerősítette, hogy a hiba „váratlan viselkedéshez” vezetett, de még nem adott ki CVE-t vagy javítást.
„Létrehozok egy mappát a demómappán belül… belül pedig írok egy c.txt nevű fájlt – magyarázta Yair. "Majd amikor egy rendszergazda megpróbálja törölni a… mappát, a teljes demómappa törlődik.
Potenciálisan szélesebb „MagicDot” következmények
Míg a Microsoft foglalkozott a Yair sajátos sebezhetőségeivel, a DOS-NT útvonal konverziós szakaszok és szóközök automatikus levágása továbbra is fennáll, bár ez a sebezhetőség kiváltó oka.
„Ez azt jelenti, hogy sokkal több potenciális sebezhetőséget és kizsákmányolás utáni technikát találhatunk ennek a problémának a használatával” – mondja a kutató a Dark Readingnek. "Ez a probléma továbbra is fennáll, és sokkal több problémához és sebezhetőséghez vezethet, amelyek sokkal veszélyesebbek lehetnek, mint azok, amelyekről tudunk."
Hozzáteszi, hogy a problémának a Microsofton túlmutató következményei is vannak.
"Úgy gondoljuk, hogy a következmények nemcsak a Microsoft Windowsra, amely a világ legszélesebb körben használt asztali operációs rendszere, hanem az összes szoftvergyártóra is vonatkoznak, amelyek többsége azt is lehetővé teszi, hogy az ismert problémák változatról verzióra fennmaradjanak" - figyelmeztetett. előadásában.
Eközben a szoftverfejlesztők biztonságosabbá tehetik kódjukat az ilyen típusú sebezhetőségekkel szemben, ha DOS-elérési út helyett NT-útvonalakat használnak.
"A legtöbb magas szintű API-hívás a Windowsban támogatja az NT-útvonalakat" - mondta Yair előadásában. "Az NT útvonalak használata elkerüli az átalakítási folyamatot, és biztosítja, hogy a megadott elérési út ugyanaz legyen, amelyen ténylegesen működik."
Vállalkozások számára a biztonsági csapatoknak olyan észleléseket kell létrehozniuk, amelyek csalárd pontokat és szóközöket keresnek a fájl elérési útjain belül.
"Vannak elég egyszerű észlelések, amelyeket ezekre kifejleszthetsz, hogy olyan fájlokat vagy könyvtárakat keress, amelyekben pontok vagy szóközök vannak, mert ha ezeket megtalálod a számítógépeden, az azt jelenti, hogy valaki szándékosan csinálta, mert nem ezt könnyű megtenni – mondja Yair a Dark Readingnek. „A normál felhasználók nem tudnak egyszerűen ponttal vagy szóközzel végződő fájlokat létrehozni, a Microsoft ezt megakadályozza. A támadóknak a alacsonyabb API amely közelebb van a kernelhez, és ehhez némi szakértelemre lesz szükség.”
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/vulnerabilities-threats/magicdot-windows-weakness-unprivileged-rootkit
- :van
- :is
- :nem
- :ahol
- $ UP
- 7
- 8
- a
- képességek
- képesség
- Képes
- Rólunk
- elérni
- Szerint
- Akció
- tevékenységek
- tevékenység
- tulajdonképpen
- hozzáadásával
- címzett
- Hozzáteszi
- admin
- Hirdetés
- érint
- ellen
- Minden termék
- lehetővé
- lehetővé téve
- lehetővé teszi, hogy
- mentén
- Is
- an
- elemzés
- és a
- bármilyen
- bármi
- bárhol
- api
- megközelítés
- Archív
- levéltár
- VANNAK
- AS
- Ázsia
- társult
- At
- támadás
- Kísérletek
- Automatikus
- automatikusan
- elérhető
- meghiúsítja
- Alapvetően
- BE
- mert
- óta
- viselkedés
- hogy
- Hisz
- Túl
- tágabb
- Bogár
- vállalkozások
- de
- by
- hívott
- hívás
- kéri
- TUD
- képességek
- Okoz
- lánc
- Változások
- karakter
- választás
- A pop-art design, négy időzóna kijelzése egyszerre és méretének arányai azok az érvek, amelyek a NeXtime Time Zones-t kiváló választássá teszik. Válassza a
- Kör
- közelebb
- kód
- közösség
- teljesen
- számítógép
- leplezni
- MEGERŐSÍTETT
- Fontolja
- figyelembe vett
- tartalom
- tartalom
- Átalakítás
- átalakított
- Hűvös
- másolat
- tudott
- kézműves
- kidolgozott
- teremt
- cve
- Kiberbiztonság
- Veszélyes
- sötét
- Sötét olvasmány
- demó
- Denial of Service
- asztali
- részletes
- részletek
- Érzékelés
- Fejleszt
- fejlesztők
- fejlesztése
- DID
- különböző
- könyvtárak
- könyvtár
- felfedezett
- do
- DOS
- DOT
- letöltés
- letöltések
- alatt
- könnyű
- bármelyik
- más
- lehetővé
- végén
- véget ért
- vége
- biztosítja
- Egész
- Még
- vizsgálva
- végrehajtás
- létezik
- létezett
- létezik
- szakvélemény
- magyarázható
- felfedező
- külön-
- kivonat
- kitermelés
- ismerős
- filé
- Fájlok
- Találjon
- vezetéknév
- Rögzít
- hibája
- következik
- következik
- A
- legelső
- formátum
- talált
- négy
- Negyedik
- ból ből
- funkció
- Nyereség
- biztosít
- Csoport
- kalap
- Legyen
- he
- segít
- itt
- elrejt
- magas szinten
- övé
- azonban
- HTTPS
- i
- ICON
- if
- megszemélyesít
- következményei
- fontos
- in
- megközelíthetetlen
- Beleértve
- információ
- ártatlan
- belső
- példa
- helyette
- beavatkozás
- bele
- jár
- kérdés
- Kiadott
- kérdések
- IT
- maga
- jpg
- éppen
- Ismer
- ismert
- vezet
- vezető
- kilépő
- Led
- jogos
- hadd
- mint
- felsorolás
- lock
- logika
- néz
- gép
- fenntartása
- csinál
- rosszindulatú
- malware
- sikerült
- menedzser
- manipuláló
- sok
- eszközök
- módszer
- mód
- microsoft
- Microsoft Windows
- esetleg
- több
- a legtöbb
- sok
- név
- Nevezett
- elnevezési
- Szükség
- Új
- újonnan
- nem
- Egyik sem
- normális
- rendszerint
- neves
- Most
- nt
- szám
- of
- on
- egyszer
- azok
- csak
- nyitva
- nyitás
- nyit
- hajtású
- működés
- Alkalom
- or
- eredeti
- OS
- ki
- vázolt
- ösvény
- utak
- PC
- Teljesít
- időszakok
- fennáll
- Hely
- forgalomba
- Plató
- Platón adatintelligencia
- PlatoData
- lehetséges
- potenciális
- potenciálisan
- bemutatás
- szép
- megakadályozása
- előző
- Előzetes
- kiváltság
- kiváltságok
- Probléma
- problémák
- folyamat
- Folyamatok
- Programok
- feltéve,
- közzétett
- cél
- elágazások
- Inkább
- Olvass
- Olvasás
- olvas
- elismerik
- referenciái
- összefüggő
- távoli
- elmozdít
- hozam
- kutatás
- kutató
- fenntartott
- restaurálás
- eredményez
- Kockázat
- kockázatok
- gyökér
- szabályok
- futás
- s
- biztonságos
- biztonságosabb
- Mondott
- azonos
- azt mondják
- Második
- biztonság
- biztonsági kockázatok
- lát
- Series of
- Komolyan
- szolgáltatás
- ülés
- árnyék
- kellene
- jelentős
- Egyszerű
- egyszerűen
- óta
- Szingapúr
- szoftver
- Szoftverfejlesztők
- néhány
- Valaki
- Hely
- terek
- különösen
- különleges
- Lopakodás
- Még mindig
- sztrippelés
- támogatás
- Támogatott
- Tandem
- Feladat
- csapat
- Műszaki
- technika
- technikák
- megmondja
- mint
- Kösz
- hogy
- A
- a világ
- azok
- Őket
- akkor
- Ott.
- Ezek
- ők
- Szerintem
- Harmadik
- ezt
- ezen a héten
- azok
- bár?
- három
- Így
- nak nek
- együtt
- szerszám
- Utánfutó
- váltott
- típusok
- képtelen
- feltárni
- mögöttes
- Váratlan
- használ
- használt
- használó
- Felhasználók
- segítségével
- kihasználva
- gyártók
- ellenőrzött
- változat
- nagyon
- Áldozat
- Megnézem
- látható
- sérülékenységek
- sebezhetőség
- figyelmeztetett
- volt
- Út..
- we
- gyengeség
- hét
- voltak
- amikor
- ami
- WHO
- bárki
- széles körben
- szélesebb
- lesz
- ablakok
- val vel
- belül
- nélkül
- világ
- lenne
- ír
- Rossz
- még
- te
- A te
- zephyrnet
- Postai irányítószám