Исследование SafeBreach выявляет серьёзные риски в преобразовании путей файлов.
Новое исследование обнаружило уязвимости в процессе конвертации путей из DOS в NT в операционной системе Windows, что может позволить злоумышленникам скрывать файлы, имитировать директории и процессы, приобретая возможности, схожие с теми, что обычно дают руткиты. Результаты исследования были представлены на недавней конференции Black Hat Asia, прошедшей в Сингапуре 16-19 апреля.
Исследователь из компании SafeBreach, Ор Яир, отметил, что при выполнении функций в Windows, где аргументом выступает путь к файлу или папке, происходит его преобразование из формата DOS в NT. В этом процессе есть известная проблема: функция удаляет точки на концах элементов пути и пробелы в конце последнего элемента пути.
Проблема под кодовым названием «MagicDot» предоставляет функциональность, аналогичную руткитам, доступную даже для непривилегированных пользователей, что позволяет злоумышленникам выполнять множество вредоносных действий без прав администратора, оставаясь при этом незамеченными.
Среди возможных действий хакеров — скрытие файлов и процессов, влияние на анализ файлов предварительной загрузки, введение в заблуждение пользователей Диспетчера задач и Проводника относительно подлинности исполняемых файлов, а также полное отключение Проводника Windows с помощью уязвимости типа «отказ в обслуживании» (DoS).
В результате анализа были выявлены четыре уязвимости безопасности, три из которых уже устранены Microsoft:
Яир подчеркнул, что это исследование наглядно показывает, как на первый взгляд безобидные проблемы могут быть использованы для разработки уязвимостей, представляющих серьёзный риск для безопасности.
Он также отметил, что выводы исследования актуальны не только для Microsoft Windows, но и для всех разработчиков любого программного обеспечения, которые часто от версии к версии ничего не делают с известными проблемами.
Большой взрыв знаний каждый день в вашем телефоне