Uma pesquisa recente descobriu que o processo de conversão de caminhos DOS para NT pode ser explorado por agentes de ameaças para alcançar capacidades semelhantes a rootkits, com o objetivo de ocultar e se passar por arquivos, diretórios e processos.
"Quando um usuário executa uma função que tem um argumento de caminho no Windows, o caminho DOS no qual o arquivo ou pasta existe é convertido para um caminho NT," disse Or Yair, pesquisador de segurança da SafeBreach em uma análise, que foi apresentada na conferência Black Hat Asia na semana passada.
"Durante esse processo de conversão, existe uma questão conhecida na qual a função remove pontos finais de qualquer elemento do caminho e quaisquer espaços finais do último elemento do caminho.
Essa ação é completada pela maioria das APIs de espaço do usuário no Windows." Esses chamados caminhos MagicDot permitem funcionalidade semelhante a rootkits acessível a qualquer usuário não privilegiado, que poderia então utilizá-los para realizar uma série de ações maliciosas sem ter permissões de administrador e permanecer não detectado.
Eles incluem a capacidade de "ocultar arquivos e processos, esconder arquivos em arquivos, afetar a análise de arquivo prefetch, fazer com que usuários do Gerenciador de Tarefas e do Process Explorer pensem que um arquivo de malware era um executável verificado publicado pela Microsoft, desabilitar o Process Explorer com uma vulnerabilidade de denial of service (DoS), e mais."
A questão subjacente no processo de conversão de caminhos DOS para NT também levou à descoberta de quatro deficiências de segurança, das quais três foram desde então abordadas pela Microsoft -
Uma vulnerabilidade de elevação de privilégio (EoP) de exclusão que poderia ser usada para excluir arquivos sem os privilégios necessários (será corrigida em um lançamento futuro)
Uma vulnerabilidade de elevação de privilégio (EoP) de escrita que poderia ser usada para escrever em arquivos sem os privilégios necessários ao interferir no processo de restauração de uma versão anterior de uma cópia de sombra de volume (
CVE-2023-32054
, pontuação CVSS: 7.3)
Uma vulnerabilidade de execução remota de código (RCE) que poderia ser usada para criar um arquivo especialmente projetado, o qual pode levar à execução de código ao extrair os arquivos em qualquer local de escolha do atacante (
CVE-2023-36396
, pontuação CVSS: 7.8)
Uma vulnerabilidade de denial-of-service (DoS) que afeta o Process Explorer ao iniciar um processo com um executável cujo nome tem 255 caracteres de comprimento e está sem uma extensão de arquivo (CVE-2023-42757)
"Esta pesquisa é a primeira do seu tipo a explorar como questões conhecidas que parecem inofensivas podem ser exploradas para desenvolver vulnerabilidades e, em última análise, representar um risco de segurança significativo", explicou Yair.
"Acreditamos que as implicações sejam relevantes não apenas para o Microsoft Windows, que é o sistema operacional para desktop mais usado no mundo, mas também para todos os fornecedores de software, a maioria dos quais também permite que questões conhecidas persistam de versão para versão de seu software."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...