'MagicDot' Windows-svakhet tillater uprivilegert rootkit-aktivitet

BLACK HAT ASIA – Singapore – Et kjent problem knyttet til DOS-til-NT-banekonverteringsprosessen i Windows åpner for betydelig risiko for bedrifter ved å la angripere få rootkit-lignende evner etter utnyttelse for å skjule og etterligne filer, kataloger og prosesser.

Det sier Or Yair, sikkerhetsforsker ved SafeBreach, som skisserte problemet under en økt her denne uken. Han beskrev også fire forskjellige sårbarheter knyttet til problemet, som han kalt "MagicDot” – inkludert en farlig ekstern kodeutførelsesfeil som kan utløses ganske enkelt ved å trekke ut et arkiv.

Prikker og mellomrom i DOS-til-NT-banekonvertering

MagicDot-gruppen med problemer eksisterer takket være måten Windows endrer DOS-baner til NT-baner.

Når brukere åpner filer eller mapper på PC-en, oppnår Windows dette ved å referere til banen der filen finnes; normalt er det en DOS-bane som følger "C:UsersUserDocumentsexample.txt"-formatet. Imidlertid brukes en annen underliggende funksjon kalt NtCreateFile for å faktisk utføre operasjonen med å åpne filen, og NtCreateFile ber om en NT-bane og ikke en DOS-bane. Dermed konverterer Windows den kjente DOS-banen som er synlig for brukere, til en NT-bane, før NtCreateFile kalles for å aktivere operasjonen.

Det utnyttbare problemet eksisterer fordi Windows under konverteringsprosessen automatisk fjerner alle punktum fra DOS-banen, sammen med eventuelle ekstra mellomrom på slutten. Dermed DOS-baner som disse:

er alle konvertert til "??C:eksempeleksempel" som en NT-bane.

Yair oppdaget at denne automatiske fjerningen av feilaktige tegn kunne tillate angripere å lage spesiallagde DOS-baner som ville bli konvertert til NT-baner etter eget valg, som deretter kunne brukes til enten å gjøre filer ubrukelige eller til å skjule skadelig innhold og aktiviteter.

Simulerer et uprivilegert rootkit

MagicDot-problemene skaper først og fremst muligheten for en rekke post-utnyttelsesteknikker som hjelper angripere på en maskin å holde seg skjult.

For eksempel er det mulig å låse opp skadelig innhold og hindre brukere, selv administratorer, fra å undersøke det. "Ved å plassere en enkel etterfølgende prikk på slutten av et ondsinnet filnavn eller ved å navngi en fil eller en katalog med kun prikker og/eller mellomrom, kunne jeg gjøre alle brukerromsprogrammer som bruker den vanlige API-en utilgjengelige for dem ... brukere ville ikke være i stand til å lese, skrive, slette eller gjøre noe annet med dem,” forklarte Yair i økten.

Så, i et relatert angrep, fant Yair ut at teknikken kunne brukes til å skjule filer eller kataloger i arkivfiler.

"Jeg avsluttet ganske enkelt et filnavn i et arkiv med en prikk for å hindre Explorer i å liste eller trekke det ut," sa Yair. "Som et resultat klarte jeg å plassere en ondsinnet fil i en uskyldig zip - den som brukte Explorer til å se og trekke ut arkivinnholdet kunne ikke se at filen fantes inni."

En tredje angrepsmetode involverer maskering av skadelig innhold ved å etterligne legitime filbaner.

"Hvis det fantes en ufarlig fil kalt 'godartet', var jeg i stand til å [bruke DOS-til-NT-banekonvertering] for å lage en ondsinnet fil i samme katalog [også kalt] godartet," forklarte han og la til at den samme tilnærmingen kan brukes til å etterligne mapper og enda bredere Windows-prosesser. "Som et resultat, når en bruker leser den ondsinnede filen, vil innholdet i den originale ufarlige filen bli returnert i stedet," og etterlater offeret ikke desto klokere at de faktisk åpnet skadelig innhold.

Til sammen kan manipulering av MagicDot-baner gi motstandere rootkit-lignende evner uten administratorrettigheter, forklarte Yair, som publiserte detaljerte tekniske merknader på angrepsmetodene i takt med økten.

"Jeg fant ut at jeg kunne skjule filer og prosesser, skjule filer i arkiver, påvirke forhåndshente filanalyse, få Task Manager og Process Explorer-brukere til å tro at en malware-fil var en bekreftet kjørbar fil publisert av Microsoft, deaktivere Process Explorer med tjenestenekt (DoS) sårbarhet, og mer», sa han – alt uten administratorrettigheter eller muligheten til å kjøre kode i kjernen, og uten intervensjon i kjeden av API-kall som henter informasjon.

"Det er viktig at nettsikkerhetssamfunnet anerkjenner denne risikoen og vurderer å utvikle uprivilegerte rootkit-deteksjonsteknikker og regler," advarte han.

En serie med "MagicDot"-sårbarheter

I løpet av sin forskning på MagicDot-banene, klarte Yair også å avdekke fire forskjellige sårbarheter knyttet til det underliggende problemet, tre av dem siden lappet av Microsoft.

Ett sikkerhetsproblem (RCE) for ekstern kjøring av kode (CVE-2023-36396, CVSS 7.8) i Windowss nye utvinningslogikk for alle nylig støttede arkivtyper lar angripere lage et ondsinnet arkiv som vil skrive hvor som helst de velger på en ekstern datamaskin når de er pakket ut, noe som fører til kodekjøring.

«I utgangspunktet, la oss si at du laster opp et arkiv til din GitHub repository annonserer det som et kult verktøy som er tilgjengelig for nedlasting, sier Yair til Dark Reading. "Og når brukeren laster det ned, er det ikke en kjørbar fil, du bare trekker ut arkivet, som anses som en helt sikker handling uten sikkerhetsrisiko. Men nå er utvinningen i seg selv i stand til å kjøre kode på datamaskinen din, og det er alvorlig feil og veldig farlig."

En annen feil er en sårbarhet for heving av rettigheter (EoP) (CVE-2023-32054, CVSS 7.3) som lar angripere skrive inn i filer uten privilegier ved å manipulere gjenopprettingsprosessen til en tidligere versjon fra en skyggekopi.

Den tredje feilen er Process Explorer-uprivilegert DOS for anti-analysefeil, som CVE-2023-42757 er reservert for, med detaljer for å følge. Og den fjerde feilen, også et EoP-problem, lar uprivilegerte angripere slette filer. Microsoft bekreftet at feilen førte til "uventet oppførsel", men har ennå ikke utstedt en CVE eller en løsning for den.

"Jeg oppretter en mappe inne i demo-mappen som heter ... og inni skriver jeg en fil som heter c.txt,” forklarte Yair. "Så når en administrator prøver å slette ... mappen, slettes hele demo-mappen i stedet."

Potensielt bredere "MagicDot"-forgreninger

Mens Microsoft tok tak i Yairs spesifikke sårbarheter, vedvarer DOS-til-NT-banekonverteringens auto-stripping av perioder og mellomrom, selv om det er hovedårsaken til sårbarhetene.

"Det betyr at det kan være mange flere potensielle sårbarheter og teknikker etter utnyttelse av dette problemet," sier forskeren til Dark Reading. "Dette problemet eksisterer fortsatt og kan føre til mange flere problemer og sårbarheter, som kan være mye farligere enn de vi vet om."

Han legger til at problemet har konsekvenser utover Microsoft.

"Vi tror at implikasjonene ikke bare er relevante for Microsoft Windows, som er verdens mest brukte stasjonære operativsystem, men også for alle programvareleverandører, hvorav de fleste også lar kjente problemer vedvare fra versjon til versjon av programvaren deres," advarte han. i sin presentasjon.

I mellomtiden kan programvareutviklere gjøre koden deres tryggere mot denne typen sårbarheter ved å bruke NT-baner i stedet for DOS-baner, bemerket han.

"De fleste API-anrop på høyt nivå i Windows støtter NT-baner," sa Yair i sin presentasjon. "Bruk av NT-baner unngår konverteringsprosessen og sikrer at den angitte banen er den samme banen som faktisk opereres på."

For bedrifter bør sikkerhetsteam opprette deteksjoner som ser etter useriøse perioder og mellomrom innenfor filstier.

"Det er ganske enkle deteksjoner som du kan utvikle for disse, for å se etter filer eller kataloger, som har etterfølgende prikker eller mellomrom i dem, fordi hvis du finner dem på datamaskinen din, betyr det at noen gjorde det med vilje fordi det ikke er så enkelt å gjøre, sier Yair til Dark Reading. "Vanlige brukere kan ikke bare lage en fil med ender med en prikk eller mellomrom, Microsoft vil forhindre det. Angripere må bruke en lavere API som er nærmere kjernen, og vil trenge litt ekspertise for å oppnå dette.»

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/vulnerabilities-threats/magicdot-windows-weakness-unprivileged-rootkit