新研究发现,威胁行为者可以利用 DOS 到 NT 路径转换过程来实现类似 rootkit 的功能,以隐藏和模拟文件、目录和进程。
SafeBreach 安全研究员 Or Yair在黑帽大会上发表的一份分析报告中表示:“当用户在 Windows 中执行带有路径参数的函数时,文件或文件夹所在的 DOS 路径将转换为 NT 路径。”上周的亚洲会议。
“在此转换过程中,存在一个已知问题,即该函数会删除任何路径元素中的尾随点以及最后一个路径元素中的任何尾随空格。此操作由 Windows 中的大多数用户空间 API 完成。”
这些所谓的 MagicDot 路径允许任何非特权用户访问类似 rootkit 的功能,然后这些用户可以将其武器化,在没有管理员权限的情况下执行一系列恶意操作,并且不会被发现。
它们包括“隐藏文件和进程、隐藏档案中的文件、影响预取文件分析、使任务管理器和 Process Explorer 用户认为恶意软件文件是 Microsoft 发布的经过验证的可执行文件、通过拒绝服务 (DoS) 禁用 Process Explorer”的功能)漏洞等等。”
DOS 到 NT 路径转换过程中的根本问题还导致发现了四个安全缺陷,其中三个缺陷已由 Microsoft 解决 –
权限提升 (EoP) 删除漏洞,可用于删除没有所需权限的文件(将在未来版本中修复)
权限提升 (EoP) 写入漏洞,可用于通过篡改卷影副本中先前版本的恢复过程来在没有所需权限的情况下写入文件(CVE-2023-32054,CVSS 评分:7.3)
远程代码执行 (RCE) 漏洞,可用于创建特制存档,在攻击者选择的任何位置提取文件时可能导致代码执行(CVE-2023-36396,CVSS 评分:7.8)
使用名称长度为 255 个字符且没有文件扩展名的可执行文件启动进程时,存在影响 Process Explorer 的拒绝服务 (DoS) 漏洞 (CVE-2023-42757)
“这项研究首次探讨了如何利用看似无害的已知问题来开发漏洞,并最终造成重大安全风险,”Yair 解释道。
“我们相信,这些影响不仅与世界上使用最广泛的桌面操作系统 Microsoft Windows 相关,而且与所有软件供应商相关,其中大多数供应商也允许已知问题在其软件版本之间持续存在。”
发表评论
您还未登录,请先登录。
登录