Дългогодишен проблем в Windows дава възможност на хакерите да прилагат руткит атаки
Ново изследване откри уязвимости в процеса на превръщане на пътя от DOS към NT в операционната система Windows.
Те могат да разрешат на хакери да скриват файлове, да имитират директории и процеси, придобивайки благоприятни условия, сходни на тези, които нормално се дават от руткитове.
Констатациите бяха показани на неотдавнашната конференция Black Hat Asia, която се организира в Сингапур от 16 до 19 април. Изследователят от SafeBreach Ор Яир означи, че при осъществяване на функционалности в Windows, при които аргументът е път до файл или директория, той се преобразува от DOS в NT формат. В този развой има прочут проблем – функционалността отстранява точките в края на детайлите на пътя и интервалите в края на последния детайл на пътя.
Проблемът с кодово име „ MagicDot “ обезпечава функционалност, сходна на руткит, налична даже за непривилегировани консуматори, което разрешава на нападателите да правят разнообразни злонамерени дейности без администраторски права, като остават незабелязани.
Възможните дейности включват скриване на файлове и процеси, влияние върху разбора на файловете преди евакуиране, заблуждение на потребителите на Task Manager и Explorer по отношение на достоверността на изпълнимите файлове и цялостно деактивиране на Windows Explorer посредством DoS уязвимости.
Анализът откри 4 уязвимости в сигурността, 3 от които към този момент са отстранени от Microsoft:
Уязвимост с повишение на правата, позволяваща заличаване на файлове без съответните позволения (все още няма избран идентификатор, уязвимостта ще бъде отстранена в бъдеща актуализация). CVE-2023-32054. Уязвимост с повишение на привилегиите, която разрешава записването на файлове без подобаващи позволения. (CVSS оценка: 7,3) CVE-2023-36396. Уязвимост за отдалечено осъществяване на код, която може да бъде употребена за основаване на особено основан списък. Това води до осъществяване на код при добиване на файлове на случайно място, определено от атакуващите. (CVSS оценка: 7,8) CVE-2023-42757. DoS накърнимост, засягаща Windows Explorer, когато процесът се започва с осъществим файл, чието име се състои от 255 признака без уголемение на файла. (CVSS оценката към момента не е определена)Проучването илюстрира по какъв начин на пръв взор безобидни проблеми могат да бъдат употребявани за създаване на уязвимости, които съставляват сериозен риск за сигурността.
Констатациите от проучването са от голяма важност освен за Microsoft, само че и за всички разработчици на какъвто и да е програмен продукт, които постоянно не вършат нищо във връзка с известните проблеми от версия на версия.
