Исследователи выявляют недостатки Windows, предоставляющие хакерам полномочия, подобные руткитам

[Father]

Новое исследование показало, что процесс преобразования пути DOS в NT может быть использован злоумышленниками для получения руткит-подобных возможностей для сокрытия файлов, каталогов и процессов и олицетворения их личности.

"Когда пользователь выполняет функцию, у которой есть аргумент path в Windows, путь DOS, по которому существует файл или папка, преобразуется в путь NT", - сказал исследователь безопасности SafeBreach Яир в анализе, который был представлен на конференции Black Hat Asia на прошлой неделе.

"Во время этого процесса преобразования существует известная проблема, при которой функция удаляет конечные точки из любого элемента path и любые конечные пробелы из последнего элемента path. Это действие выполняется большинством API пользовательского пространства в Windows ".

Эти так называемые пути MagicDot обеспечивают функциональность, подобную руткитам, доступную любому непривилегированному пользователю, который затем может использовать их для выполнения ряда вредоносных действий без прав администратора и остаться незамеченным.

Они включают в себя возможность "скрывать файлы и процессы, прятать файлы в архивах, влиять на анализ файлов с предварительной выборкой, заставлять пользователей диспетчера задач и Process Explorer думать, что вредоносный файл был проверенным исполняемым файлом, опубликованным Microsoft, отключать Process Explorer из-за уязвимости типа "отказ в обслуживании" (DoS) и многое другое".

Основная проблема в процессе преобразования пути DOS в NT также привела к обнаружению четырех недостатков в системе безопасности, три из которых с тех пор были устранены Microsoft -

• Уязвимость при удалении с повышением привилегий (EoP), которая может использоваться для удаления файлов без требуемых привилегий (будет исправлена в будущей версии)
• Уязвимость при записи с повышением привилегий (EoP), которая может использоваться для записи в файлы без требуемых привилегий путем вмешательства в процесс восстановления предыдущей версии из теневой копии тома (CVE-2023-32054, оценка CVSS: 7.3)
• Уязвимость удаленного выполнения кода (RCE), которая может быть использована для создания специально созданного архива, что может привести к выполнению кода при извлечении файлов в любом месте по выбору злоумышленника (CVE-2023-36396, оценка CVSS: 7,8)
• Уязвимость типа "отказ в обслуживании" (DoS), влияющая на Process Explorer при запуске процесса с исполняемым файлом, имя которого состоит из 255 символов и не имеет расширения файла (CVE-2023-42757)

"Это исследование является первым в своем роде, посвященным изучению того, как известные проблемы, которые кажутся безвредными, могут быть использованы для разработки уязвимостей и, в конечном итоге, представлять значительный риск для безопасности", - пояснил Яир.

"Мы считаем, что последствия актуальны не только для Microsoft Windows, которая является наиболее широко используемой настольной операционной системой в мире, но и для всех поставщиков программного обеспечения, большинство из которых также допускают, что известные проблемы сохраняются от версии к версии их программного обеспечения".