SafeBreach的研究员Or Yair开发了一种技术,利用Windows中DOS到NT路径转换过程中的漏洞,实现了类似Rootkit的功能。当用户在Windows中执行带路径参数的函数时,文件或文件夹的DOS路径会被转换为NT路径。然而,在这个转换过程中存在一个已知问题,即函数会从任何路径元素中删除末尾的点,并从最后一个路径元素中删除末尾的空格。这种行为在Windows的大多数用户空间API中是一致的。利用这个已知问题的专家发现了以下漏洞:
-
CVE-2023-36396 Windows压缩文件远程代码执行漏洞 - 此RCE问题存在于Windows对所有新支持的存档类型的新提取逻辑中。该专家制作了一个恶意存档文件,一旦解压缩,就可以在远程计算机上的任何位置写入代码,导致代码执行。
-
CVE-2023-32054 卷影复制权限提升漏洞 - 攻击者可以利用此问题来获取运行受影响应用程序的用户的权限。研究人员发现了两个提权漏洞。CVE-2023-32054使他能够在没有所需权限的情况下编写文件,方法是操纵从卷影复制中的先前版本恢复的过程,另一个使他能够在没有所需权限的情况下删除文件。
Or Yair写道:“除了带领我发现这些漏洞外,MagicDot路径还赋予了我类似Rootkit的能力,任何非特权用户都可以访问。”“我发现了恶意行为者如何在没有管理员权限的情况下隐藏文件和进程,隐藏存档文件中的文件,影响预取文件分析,使任务管理器和进程资源管理器用户认为恶意软件文件是由Microsoft发布的已验证可执行文件,利用拒绝服务(DoS)漏洞禁用进程资源管理器等。”
用户空间Rootkit旨在拦截用户空间API调用,执行原始功能,过滤恶意数据,并将修改后的信息返回给调用者。攻击者需要管理员权限来运行此类Rootkit,因为他们需要将自己的存在隐藏在用户,包括管理员,的视线之外,通过在拥有提升权限的进程中运行。
内核Rootkit在内核内运行,试图拦截系统调用,修改向请求信息的用户空间进程返回的信息。运行内核Rootkit需要访问内核,通常需要管理员权限,并克服各种安全措施,如Patch Guard、驱动程序签名强制执行、驱动程序黑名单和HVCI。因此,内核Rootkit的普及程度已经大大降低。
专家在2023年向微软安全响应中心(MSRC)报告了这些问题。这家IT巨头承认了这些问题,并采取了以下行动:
-
远程代码执行(CVE-2023-36396,CVSS:7.8):由Microsoft修复。
-
特权提升(写入)(CVE-2023-32054,CVSS:7.3):由Microsoft修复。
特权提升(删除):漏洞由Microsoft复现和确认。然而,该公司没有发布CVE或修复。以下是微软提供的响应:“再次感谢您将此问题提交给微软。我们确定此问题不需要立即的安全服务,但揭示了意外行为。此问题的修复将在产品或服务的未来版本中考虑。”
Process Explorer的非特权DOS用于反分析(CVE-2023-42757):由Process Explorer的工程团队在17.04版本中修复。CVE-2023-42757由MITRE保留给此漏洞。MITRE与微软确认了该漏洞,并将在详细信息的在线发布可用时发布CVE。
“这项研究是首次探索已知问题如何被利用以开发漏洞,最终构成重大安全风险。我们认为其影响不仅适用于微软Windows,这是全球最广泛使用的桌面操作系统,而且还适用于所有软件供应商,其中大多数也允许已知问题在其软件的版本之间持续存在。”Yair总结道。
原文始发于微信公众号(黑猫安全):利用Windows DOS到NT的漏洞实现非特权的Rootkit-like功能
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论