BLACK HAT ASIA – Сингапур – Известная проблема, связанная с процессом преобразования пути DOS в NT в Windows, создает значительный риск для бизнеса, позволяя злоумышленникам получить возможности пост-эксплуатации, подобные руткитам, для сокрытия и выдачи себя за файлы, каталоги и процессы.
Так утверждает Ор Яир, исследователь безопасности из SafeBreach, который изложил проблему во время сессии на этой неделе. Он также подробно рассказал о четырех различных уязвимостях, связанных с этой проблемой. получивший название «MagicDot»» – включая опасную ошибку удаленного выполнения кода, которую можно вызвать, просто распаковав архив.
Точки и пробелы при преобразовании пути DOS в NT
Группа проблем MagicDot существует из-за того, что Windows меняет пути DOS на пути NT.
Когда пользователи открывают файлы или папки на своих компьютерах, Windows делает это, ссылаясь на путь, по которому существует файл; обычно это путь DOS в формате «C:UsersUserDocumentsexample.txt». Однако для фактического выполнения операции открытия файла используется другая базовая функция, называемая NtCreateFile, и NtCreateFile запрашивает путь NT, а не путь DOS. Таким образом, Windows преобразует знакомый путь DOS, видимый пользователям, в путь NT перед вызовом NtCreateFile для разрешения операции.
Проблема, которую можно использовать, заключается в том, что во время процесса преобразования Windows автоматически удаляет все точки из пути DOS вместе со всеми дополнительными пробелами в конце. Таким образом, пути DOS такие:
-
C:примерпример.
-
C:примерпример…
-
C:примерпример
все они преобразуются в «??C:exampleexample» как путь NT.
Яир обнаружил, что такое автоматическое удаление ошибочных символов может позволить злоумышленникам создавать специально созданные пути DOS, которые будут преобразованы в пути NT по их выбору, которые затем можно будет использовать либо для приведения файлов в непригодное для использования состояние, либо для сокрытия вредоносного контента и действий.
Имитация непривилегированного руткита
Проблемы MagicDot в первую очередь создают возможность применения ряда методов последующей эксплуатации, которые помогают злоумышленникам на машине сохранять скрытность.
Например, можно заблокировать вредоносный контент и запретить пользователям, даже администраторам, изучать его. «Поставив простую точку в конце имени вредоносного файла или назвав файл или каталог только точками и/или пробелами, я мог бы сделать все программы пользовательского пространства, использующие обычный API, недоступными для них… пользователи не иметь возможности читать, писать, удалять или делать с ними что-либо еще», — объяснил Яир во время сеанса.
Затем в ходе аналогичной атаки Яир обнаружил, что эту технику можно использовать для сокрытия файлов или каталогов внутри архивных файлов.
«Я просто закончил имя файла в архиве точкой, чтобы Explorer не смог его просмотреть или извлечь», — сказал Яир. «В результате мне удалось поместить вредоносный файл в невинный zip-архив — тот, кто использовал Explorer для просмотра и извлечения содержимого архива, не смог увидеть, что этот файл существует внутри».
Третий метод атаки предполагает маскировку вредоносного контента путем имитации законных путей к файлам.
«Если существовал безобидный файл под названием «безопасный», я мог [использовать преобразование пути DOS в NT] для создания вредоносного файла в том же каталоге [также называемого] безопасным», — объяснил он, добавив, что тот же подход может использоваться для олицетворения папок и даже более широких процессов Windows. «В результате, когда пользователь читает вредоносный файл, вместо него будет возвращено содержимое исходного безобидного файла», в результате чего жертва не поймет, что на самом деле она открывает вредоносный контент.
В совокупности манипулирование путями MagicDot может предоставить злоумышленникам возможности, подобные руткитам, без прав администратора, объяснил Яир, опубликовавший подробные технические примечания о методах атаки в тандеме с сеансом.
«Я обнаружил, что могу скрывать файлы и процессы, скрывать файлы в архивах, влиять на предварительный анализ файлов, заставлять пользователей диспетчера задач и Process Explorer думать, что вредоносный файл является проверенным исполняемым файлом, опубликованным Microsoft, отключать Process Explorer с помощью отказа в обслуживании (DoS)». уязвимости и многое другое», — сказал он — и все это без прав администратора или возможности запускать код в ядре, а также без вмешательства в цепочку вызовов API, которые получают информацию.
«Важно, чтобы сообщество кибербезопасности осознало этот риск и рассмотрело возможность разработки методов и правил обнаружения непривилегированных руткитов», — предупредил он.
Серия уязвимостей MagicDot
В ходе исследования путей MagicDot Яиру также удалось обнаружить четыре различных уязвимости, связанных с основной проблемой, три из которых были исправлены Microsoft.
Одна уязвимость удаленного выполнения кода (RCE) (CVE-2023-36396, CVSS 7.8) в Windows. Новая логика извлечения для всех новых поддерживаемых типов архивов позволяет злоумышленникам создавать вредоносный архив, который после извлечения будет записываться куда угодно на удаленном компьютере, что приводит к выполнению кода.
«По сути, допустим, вы загружаете архив на свой Репозиторий GitHub рекламируя его как крутой инструмент, доступный для скачивания», — рассказывает Яир Dark Reading. «И когда пользователь загружает его, это не исполняемый файл, вы просто извлекаете архив, что считается абсолютно безопасным действием без каких-либо угроз безопасности. Но теперь само извлечение может запускать код на вашем компьютере, а это серьезно неправильно и очень опасно».
Вторая ошибка — это уязвимость повышения привилегий (EoP) (CVE-2023-32054, CVSS 7.3), который позволяет злоумышленникам производить запись в файлы без привилегий, манипулируя процессом восстановления предыдущей версии из теневой копии.
Третья ошибка — это непривилегированная DOS Process Explorer для ошибки антианализа, для которой зарезервирован CVE-2023-42757, подробности будут позже. И четвертая ошибка, также проблема EoP, позволяет непривилегированным злоумышленникам удалять файлы. Microsoft подтвердила, что уязвимость привела к «неожиданному поведению», но еще не выпустила CVE или исправление для нее.
«Я создаю папку внутри папки demo под названием… а внутри я пишу файл с именем c.txt», — объяснил Яир. «Затем, когда администратор попытается удалить… вместо этого удаляется вся демонстрационная папка».
Потенциально более широкие последствия «MagicDot»
Хотя Microsoft устранила конкретные уязвимости Yair, автоматическое удаление точек и пробелов при преобразовании путей из DOS в NT сохраняется, хотя это и является основной причиной уязвимостей.
«Это означает, что с помощью этой проблемы можно найти гораздо больше потенциальных уязвимостей и методов последующей эксплуатации», — сообщает исследователь Dark Reading. «Эта проблема все еще существует и может привести ко многим другим проблемам и уязвимостям, которые могут быть гораздо более опасными, чем те, о которых мы знаем».
Он добавляет, что проблема имеет последствия и за пределами Microsoft.
«Мы считаем, что последствия актуальны не только для Microsoft Windows, которая является наиболее широко используемой настольной ОС в мире, но и для всех поставщиков программного обеспечения, большинство из которых также позволяют известным проблемам сохраняться от версии к версии своего программного обеспечения», — предупредил он. в его презентации.
Между тем, разработчики программного обеспечения могут сделать свой код более защищенным от этих типов уязвимостей, используя пути NT, а не пути DOS, отметил он.
«Большинство вызовов API высокого уровня в Windows поддерживают пути NT», — сказал Яир в своей презентации. «Использование путей NT позволяет избежать процесса преобразования и гарантирует, что предоставленный путь является тем же путем, который фактически используется».
Для предприятий группы безопасности должны создавать средства обнаружения, которые ищут неправильные точки и пробелы в путях к файлам.
«Для этого можно разработать довольно простые средства обнаружения — искать файлы или каталоги, в которых есть конечные точки или пробелы, потому что, если вы обнаружите их на своем компьютере, это означает, что кто-то сделал это намеренно, потому что это не так. это легко сделать», — рассказывает Яир Dark Reading. «Обычные пользователи не могут просто создать файл, заканчивающийся точкой или пробелом, Microsoft предотвратит это. Злоумышленникам придется использовать нижний API это ближе к ядру, и для этого потребуется некоторый опыт».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/vulnerabilities-threats/magicdot-windows-weakness-unprivileged-rootkit
- :имеет
- :является
- :нет
- :куда
- $UP
- 7
- 8
- a
- способности
- способность
- в состоянии
- О нас
- выполнять
- По
- Действие
- активно
- деятельность
- на самом деле
- добавить
- адресованный
- Добавляет
- Администратор
- Реклама
- влиять на
- против
- Все
- позволять
- Позволяющий
- позволяет
- вдоль
- причислены
- an
- анализ
- и
- любой
- все
- откуда угодно
- API
- подхода
- архив
- архивам
- МЫ
- AS
- Азия
- связанный
- At
- атаковать
- попытки
- Автоматический
- автоматически
- доступен
- позволяет избегать
- в основном
- BE
- , так как:
- было
- поведение
- не являетесь
- верить
- Beyond
- шире
- Ошибка
- бизнес
- но
- by
- под названием
- вызова
- Объявления
- CAN
- возможности
- Вызывать
- цепь
- изменения
- символы
- выбор
- Выберите
- Circle
- ближе
- код
- сообщество
- полностью
- компьютер
- скрывать
- ПОДТВЕРЖДЕНО
- Рассматривать
- считается
- содержание
- содержание
- Конверсия
- переделанный
- Холодные
- копия
- может
- выработать
- проработаны
- Создайте
- CVE
- Информационная безопасность
- опасно
- темно
- Темное чтение
- демонстрация
- Отказ в обслуживании
- компьютера
- подробный
- подробнее
- обнаружение
- развивать
- застройщиков
- развивающийся
- DID
- различный
- каталоги
- каталог
- открытый
- do
- DOS
- DOT
- скачать
- загрузок
- в течение
- легко
- или
- еще
- включить
- конец
- закончился
- окончания поездки
- обеспечивает
- Весь
- Даже
- Изучение
- выполнение
- существовать
- существовавший
- существует
- опыта
- объяснены
- исследователь
- дополнительно
- извлечение
- добыча
- знакомый
- Файл
- Файлы
- Найдите
- First
- фиксированный
- недостаток
- следовать
- следующим образом
- Что касается
- в первую очередь
- формат
- найденный
- 4
- Четвертый
- от
- функция
- Gain
- предоставлять
- группы
- имеет
- Есть
- he
- помощь
- здесь
- Спрятать
- на высшем уровне
- его
- Однако
- HTTPS
- i
- ICON
- if
- олицетворять
- последствия
- важную
- in
- недоступный
- В том числе
- информация
- невинный
- внутри
- пример
- вместо
- вмешательство
- в
- включает в себя
- вопрос
- Выпущен
- вопросы
- IT
- саму трезвость
- JPG
- всего
- Знать
- известный
- вести
- ведущий
- уход
- привело
- законный
- позволять
- такое как
- листинг
- Блокировка
- логика
- посмотреть
- машина
- поддерживать
- сделать
- злонамеренный
- вредоносных программ
- управляемого
- менеджер
- манипуляционная
- многих
- означает
- метод
- методы
- Microsoft
- Microsoft Windows,
- может быть
- БОЛЕЕ
- самых
- много
- имя
- Названный
- именования
- Необходимость
- Новые
- вновь
- нет
- Ничто
- "обычные"
- нормально
- отметил,
- сейчас
- nt
- номер
- of
- on
- консолидировать
- те,
- только
- открытый
- открытие
- Откроется
- работать
- операция
- Возможность
- or
- оригинал
- OS
- внешний
- изложенные
- путь
- пути
- ПК
- Выполнять
- периодов
- сохраняется
- Часть
- размещение
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- возможное
- потенциал
- потенциально
- presentation
- довольно
- предотвращать
- предыдущий
- Предварительный
- привилегия
- привилегии
- Проблема
- проблемам
- процесс
- Процессы
- Программы
- при условии
- опубликованный
- цель
- последствия
- скорее
- Читать
- Reading
- читает
- признавать
- привязка
- Связанный
- соответствующие
- удаленные
- удаляет
- оказывать
- исследованиям
- исследователь
- зарезервированный
- восстановление
- результат
- Снижение
- рисках,
- корень
- условиями,
- Run
- s
- безопасный
- безопаснее
- Сказал
- то же
- сообщили
- Во-вторых
- безопасность
- риски безопасности
- посмотреть
- Серии
- серьезно
- обслуживание
- Сессия
- Shadow
- должен
- значительный
- просто
- просто
- с
- Сингапур
- Software
- Разработчики программного обеспечения
- некоторые
- Кто-то
- Space
- пространства
- специально
- конкретный
- Stealth
- По-прежнему
- демонтаж
- поддержка
- Поддержанный
- Тандем
- Сложность задачи
- команды
- Технический
- техника
- снижения вреда
- говорит
- чем
- Спасибо
- который
- Ассоциация
- мир
- их
- Их
- тогда
- Там.
- Эти
- они
- think
- В третьих
- этой
- На этой неделе
- те
- хоть?
- три
- Таким образом
- в
- вместе
- инструментом
- Трейлинг
- срабатывает
- Типы
- не в состоянии
- открывай
- лежащий в основе
- Неожиданный
- использование
- используемый
- Информация о пользователе
- пользователей
- через
- Использующий
- поставщики
- проверено
- версия
- очень
- Жертва
- Вид
- видимый
- Уязвимости
- уязвимость
- предупреждал
- законопроект
- Путь..
- we
- слабость
- неделя
- были
- когда
- который
- КТО
- кто бы ни
- широко
- Шире
- будете
- окна
- в
- без
- Мир
- бы
- записывать
- Неправильно
- еще
- Ты
- ВАШЕ
- зефирнет
- ZIP