Nghiên cứu mới đã phát hiện ra rằng quá trình chuyển đổi đường dẫn DOS-to-NT có thể bị các tác nhân đe dọa khai thác để đạt được khả năng giống như rootkit để che giấu và mạo danh các tệp, thư mục và quy trình.
"Khi người dùng thực thi một hàm có đối số đường dẫn trong Windows, đường dẫn DOS mà tại đó tệp hoặc thư mục tồn tại được chuyển đổi thành đường dẫn NT", nhà nghiên cứu bảo mật Or Yair của SafeBreach cho biết trong một phân tích, được trình bày tại hội nghị Black Hat Asia tuần trước.
"Trong quá trình chuyển đổi này, một vấn đề đã biết tồn tại trong đó hàm loại bỏ các chấm cuối khỏi bất kỳ phần tử đường dẫn nào và bất kỳ khoảng trắng nào khỏi phần tử đường dẫn cuối cùng. Hành động này được hoàn thành bởi hầu hết các API không gian người dùng trong Windows."
Những đường dẫn được gọi là MagicDot này cho phép chức năng giống như rootkit có thể truy cập được đối với bất kỳ người dùng không có đặc quyền nào, những người sau đó có thể vũ khí hóa chúng để thực hiện một loạt các hành động độc hại mà không có quyền quản trị và vẫn không bị phát hiện.
Chúng bao gồm khả năng "ẩn tệp và quy trình, ẩn tệp trong kho lưu trữ, ảnh hưởng đến phân tích tệp tìm nạp trước, khiến người dùng Trình quản lý tác vụ và Process Explorer nghĩ rằng tệp phần mềm độc hại là tệp thực thi đã được xác minh do Microsoft xuất bản, vô hiệu hóa Process Explorer với lỗ hổng từ chối dịch vụ (DoS) và hơn thế nữa. "
Vấn đề cơ bản trong quá trình chuyển đổi đường dẫn DOS-to-NT cũng đã dẫn đến việc phát hiện ra bốn thiếu sót bảo mật, ba trong số đó đã được Microsoft giải quyết -
- Lỗ hổng xóa nâng cao đặc quyền (EoP) có thể được sử dụng để xóa các tệp mà không có các đặc quyền cần thiết (sẽ được khắc phục trong bản phát hành trong tương lai)
- Lỗ hổng ghi nâng cao đặc quyền (EoP) có thể được sử dụng để ghi vào các tệp mà không có đặc quyền bắt buộc bằng cách giả mạo quá trình khôi phục phiên bản trước từ bản sao bóng ổ đĩa (CVE-2023-32054, điểm CVSS: 7.3)
- Lỗ hổng thực thi mã từ xa (RCE) có thể được sử dụng để tạo kho lưu trữ được chế tạo đặc biệt, có thể dẫn đến thực thi mã khi giải nén tệp trên bất kỳ vị trí nào mà kẻ tấn công lựa chọn (CVE-2023-36396, điểm CVSS: 7.8)
- Lỗ hổng từ chối dịch vụ (DoS) ảnh hưởng đến Process Explorer khi khởi chạy tiến trình có tệp thực thi dài 255 ký tự và không có phần mở rộng tệp (CVE-2023-42757)
"Nghiên cứu này là nghiên cứu đầu tiên thuộc loại này khám phá cách các vấn đề đã biết dường như vô hại có thể bị khai thác để phát triển các lỗ hổng và cuối cùng, gây ra rủi ro bảo mật đáng kể", Yair giải thích.