Новости MagicDot: давняя проблема Windows наделяет хакеров руткит-полномочиями

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Исследование SafeBreach выявляет серьёзные риски в преобразовании путей файлов.


9ahcyzuvygg85evsznzmsg1uz1t47xtb.jpg


Новое исследование обнаружило уязвимости в процессе конвертации путей из DOS в NT в операционной системе Windows , что может позволить злоумышленникам скрывать файлы, имитировать директории и процессы, приобретая возможности, схожие с теми, что обычно дают руткиты. Результаты исследования Для просмотра ссылки Войди или Зарегистрируйся на недавней конференции Black Hat Asia , прошедшей в Сингапуре 16-19 апреля.

Исследователь из компании SafeBreach , Ор Яир, Для просмотра ссылки Войди или Зарегистрируйся что при выполнении функций в Windows, где аргументом выступает путь к файлу или папке, происходит его преобразование из формата DOS в NT. В этом процессе есть известная проблема: функция удаляет точки на концах элементов пути и пробелы в конце последнего элемента пути.

Проблема под кодовым названием «MagicDot» предоставляет функциональность, аналогичную руткитам, доступную даже для непривилегированных пользователей, что позволяет злоумышленникам выполнять множество вредоносных действий без прав администратора, оставаясь при этом незамеченными.

Среди возможных действий хакеров — скрытие файлов и процессов, влияние на анализ файлов предварительной загрузки, введение в заблуждение пользователей Диспетчера задач и Проводника относительно подлинности исполняемых файлов, а также полное отключение Проводника Windows с помощью уязвимости типа «отказ в обслуживании» (DoS).

В результате анализа были выявлены четыре уязвимости безопасности, три из которых уже устранены Microsoft:

  1. Уязвимость повышения привилегий, позволяющая удалять файлы без соответствующих прав (идентификатор пока не присвоен, уязвимость будет исправлена в будущем обновлении).
  2. Уязвимость повышения привилегий, позволяющая записывать файлы без необходимых прав, манипулируя процессом восстановления предыдущей версии из теневой копии ( Для просмотра ссылки Войди или Зарегистрируйся оценка CVSS: 7.3).
  3. Уязвимость удалённого выполнения кода, которая может быть использована для создания специально оформленного архива, приводящего к выполнению кода при извлечении файлов в любом выбранном атакующими месте ( Для просмотра ссылки Войди или Зарегистрируйся оценка CVSS: 7.8).
  4. Уязвимость типа «отказ в обслуживании», влияющая на проводник Windows при запуске процесса с исполняемым файлом, имя которого состоит из 255 символов без расширения файла ( Для просмотра ссылки Войди или Зарегистрируйся , оценка CVSS пока не определена).
Яир подчеркнул, что это исследование наглядно показывает, как на первый взгляд безобидные проблемы могут быть использованы для разработки уязвимостей, представляющих серьёзный риск для безопасности.

Он также отметил, что выводы исследования актуальны не только для Microsoft Windows, но и для всех разработчиков любого программного обеспечения, которые часто от версии к версии ничего не делают с известными проблемами.
 
Источник новости
www.securitylab.ru

Похожие темы