Uit nieuw onderzoek is gebleken dat het DOS-naar-NT-padconversieproces door bedreigingsactoren kan worden uitgebuit om rootkit-achtige mogelijkheden te verkrijgen om bestanden, mappen en processen te verbergen en na te bootsen.
“Wanneer een gebruiker een functie uitvoert die een padargument heeft in Windows, wordt het DOS-pad waarop het bestand of de map bestaat, geconverteerd naar een NT-pad”, zei SafeBreach-beveiligingsonderzoeker Or Yair in een analyse, die werd gepresenteerd op de Black Hat Azië-conferentie vorige week.
“Tijdens dit conversieproces doet zich een bekend probleem voor waarbij de functie volgpunten van elk padelement en eventuele volgspaties van het laatste padelement verwijdert. Deze actie wordt voltooid door de meeste gebruikersruimte-API's in Windows.”
Deze zogenaamde MagicDot-paden maken rootkit-achtige functionaliteit mogelijk die toegankelijk is voor elke gebruiker zonder rechten, die ze vervolgens als wapen kan gebruiken om een reeks kwaadaardige acties uit te voeren zonder beheerdersrechten te hebben en onopgemerkt te blijven.
Ze omvatten de mogelijkheid om “bestanden en processen te verbergen, bestanden in archieven te verbergen, de analyse van prefetch-bestanden te beïnvloeden, gebruikers van Taakbeheer en Process Explorer te laten denken dat een malwarebestand een geverifieerd uitvoerbaar bestand is dat door Microsoft is gepubliceerd, Process Explorer uit te schakelen met een Denial of Service (DoS) ) kwetsbaarheid, en meer.”
Het onderliggende probleem binnen het DOS-naar-NT-padconversieproces heeft ook geleid tot de ontdekking van vier beveiligingstekortkomingen, waarvan er drie inmiddels door Microsoft zijn verholpen:
- Een beveiligingslek met betrekking tot misbruik van bevoegdheden (EoP) dat kan worden gebruikt om bestanden te verwijderen zonder de vereiste bevoegdheden (wordt in een toekomstige release opgelost)
- Een kwetsbaarheid bij het schrijven van misbruik van bevoegdheden (EoP) die kan worden gebruikt om in bestanden te schrijven zonder de vereiste bevoegdheden door te knoeien met het herstelproces van een eerdere versie vanaf een volumeschaduwkopie (CVE-2023-32054, CVSS-score: 7,3)
- Een kwetsbaarheid voor het uitvoeren van externe code (RCE) die kan worden gebruikt om een speciaal vervaardigd archief te maken, wat kan leiden tot het uitvoeren van code bij het uitpakken van de bestanden op elke locatie naar keuze van de aanvaller (CVE-2023-36396, CVSS-score: 7,8)
- Een Denial-of-Service (DoS)-kwetsbaarheid die gevolgen heeft voor de Process Explorer bij het starten van een proces met een uitvoerbaar bestand waarvan de naam 255 tekens lang is en geen bestandsextensie heeft (CVE-2023-42757)
“Dit onderzoek is het eerste in zijn soort dat onderzoekt hoe bekende problemen die onschadelijk lijken, kunnen worden uitgebuit om kwetsbaarheden te ontwikkelen en uiteindelijk een aanzienlijk veiligheidsrisico te vormen”, legt Yair uit.
“Wij geloven dat de implicaties niet alleen relevant zijn voor Microsoft Windows, het meest gebruikte desktop-besturingssysteem ter wereld, maar ook voor alle softwareleveranciers, van wie de meesten ook toestaan dat bekende problemen van versie tot versie van hun software blijven bestaan.”
