SafeBreach 研究人员 Or Yair 设计了一种技术,利用 DOS 到 NT 路径转换过程中的漏洞,在 Windows 上实现类似 rootkit 的功能。
当用户在 Windows 中执行带有路径参数的函数时,文件或文件夹的 DOS 路径将转换为 NT 路径。在此转换过程中出现了一个已知问题,即该函数从任何路径元素中删除尾随点,并从最后一个路径元素中删除尾随空格。此行为在 Windows 中的大多数用户空间 API 中都是一致的。
利用此已知问题的专家发现了以下漏洞:
- CVE-2023-36396,Windows 压缩文件夹远程代码执行漏洞
RCE 漏洞存在于 Windows 针对所有新支持的存档文件类型的新提取逻辑中。该专家制作了一个恶意档案,一旦提取,该档案就会写入他选择的远程计算机上的任何位置,从而导致代码执行。
- CVE-2023-32054,卷影复制特权提升漏洞
可以利用此漏洞来获取正在运行受影响应用程序的用户权限。研究人员发现了两个特权提升 (EoP) 漏洞。CVE -2023-32054允许在没有所需权限的情况下写入文件,方法是从卷影副本操纵先前版本的恢复过程,以及另一个允许在没有所需权限的情况下删除文件的恢复过程。
“除了引导我发现这些漏洞之外,MagicDot 路径还赋予了我类似 rootkit 的能力,任何非特权用户都可以访问这些能力。”Or Yair写道。“我发现恶意行为者(没有管理员权限)如何隐藏文件和进程、隐藏存档中的文件、影响预取文件分析、使任务管理器和 Process Explorer 用户认为恶意软件文件是 Microsoft 发布的经过验证的可执行文件、禁用 Process Explorer具有拒绝服务 (DoS) 漏洞等等。”
用户空间 Rootkit 旨在拦截用户空间 API 调用、执行原始函数、过滤掉恶意数据并将更改后的信息返回给调用者。攻击者需要管理员权限才能运行此类 Rootkit,因为他们需要通过在具有提升权限的进程中进行操作来向用户(包括管理员)隐藏自己的存在。
内核 Rootkit 在内核中运行并尝试拦截系统调用,从而更改返回给请求该信息的用户空间进程的信息。
运行内核 Rootkit 需要访问内核,通常需要管理权限并克服各种安全措施,例如补丁防护、驱动程序签名强制、驱动程序阻止列表和 HVCI。因此,内核 Rootkit 的流行率显著下降。
Or Yair 于 2023 年向微软安全响应中心(MSRC)报告。微软承认了这些问题,并采取了以下行动:
- 远程代码执行(CVE-2023-36396,CVSS:7.8):由 Microsoft 修复。
- 权限提升(写入)(CVE-2023-32054,CVSS:7.3):由 Microsoft 修复。
- 权限提升(删除):该漏洞已被微软重现并确认。不过,该公司并未发布 CVE 或修复程序。以下是微软的回应。“再次感谢您向 Microsoft 提交此问题。我们确定此问题不需要立即提供安全服务,但确实揭示了意外行为。该产品或服务的未来版本将考虑解决此问题。”
- Process Explorer 非特权 DOS 反分析 (CVE-2023-42757):由 Process Explorer 工程团队在版本 17.04 中修复。MITRE 为该漏洞保留了 CVE-2023-42757。MITRE 已向 Microsoft 确认了该漏洞,并将在在线发布详细信息后发布 CVE。
“这项研究首次探讨了如何利用看似无害的已知问题来开发漏洞,并最终构成重大安全风险。我们相信,这些影响不仅与 Microsoft Windows 相关,而且与所有软件供应商相关,其中大多数供应商也允许已知问题在其软件版本之间持续存在。”Or Yair 总结道。(详情)
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/rSackBlb-DECGTuk4-xm_A
暂无评论内容