MagicDot: давняя проблема Windows наделяет хакеров руткит-полномочиями

MagicDot: давняя проблема Windows наделяет хакеров руткит-полномочиями

Исследование SafeBreach выявляет серьёзные риски в преобразовании путей файлов.

image

Новое исследование обнаружило уязвимости в процессе конвертации путей из DOS в NT в операционной системе Windows, что может позволить злоумышленникам скрывать файлы, имитировать директории и процессы, приобретая возможности, схожие с теми, что обычно дают руткиты. Результаты исследования были представлены на недавней конференции Black Hat Asia, прошедшей в Сингапуре 16-19 апреля.

Исследователь из компании SafeBreach, Ор Яир, отметил, что при выполнении функций в Windows, где аргументом выступает путь к файлу или папке, происходит его преобразование из формата DOS в NT. В этом процессе есть известная проблема: функция удаляет точки на концах элементов пути и пробелы в конце последнего элемента пути.

Проблема под кодовым названием «MagicDot» предоставляет функциональность, аналогичную руткитам, доступную даже для непривилегированных пользователей, что позволяет злоумышленникам выполнять множество вредоносных действий без прав администратора, оставаясь при этом незамеченными.

Среди возможных действий хакеров — скрытие файлов и процессов, влияние на анализ файлов предварительной загрузки, введение в заблуждение пользователей Диспетчера задач и Проводника относительно подлинности исполняемых файлов, а также полное отключение Проводника Windows с помощью уязвимости типа «отказ в обслуживании» (DoS).

В результате анализа были выявлены четыре уязвимости безопасности, три из которых уже устранены Microsoft:

  1. Уязвимость повышения привилегий, позволяющая удалять файлы без соответствующих прав (идентификатор пока не присвоен, уязвимость будет исправлена в будущем обновлении).
  2. Уязвимость повышения привилегий, позволяющая записывать файлы без необходимых прав, манипулируя процессом восстановления предыдущей версии из теневой копии ( CVE-2023-32054, оценка CVSS: 7.3).
  3. Уязвимость удалённого выполнения кода, которая может быть использована для создания специально оформленного архива, приводящего к выполнению кода при извлечении файлов в любом выбранном атакующими месте ( CVE-2023-36396, оценка CVSS: 7.8).
  4. Уязвимость типа «отказ в обслуживании», влияющая на проводник Windows при запуске процесса с исполняемым файлом, имя которого состоит из 255 символов без расширения файла ( CVE-2023-42757 , оценка CVSS пока не определена).

Яир подчеркнул, что это исследование наглядно показывает, как на первый взгляд безобидные проблемы могут быть использованы для разработки уязвимостей, представляющих серьёзный риск для безопасности.

Он также отметил, что выводы исследования актуальны не только для Microsoft Windows, но и для всех разработчиков любого программного обеспечения, которые часто от версии к версии ничего не делают с известными проблемами.

Наш контент расширяется быстрее Вселенной!

Большой взрыв знаний каждый день в вашем телефоне

Подпишитесь, пока мы не вышли за горизонт событий