研究人员演示利用 DOS 到 NT 路径转换过程中的漏洞实现类似 rootkit 的功能

SafeBreach 研究人员 Or Yair 设计了一种技术，利用 DOS 到 NT 路径转换过程中的漏洞，在 Windows 上实现类似 rootkit 的功能。

当用户在 Windows 中执行带有路径参数的函数时，文件或文件夹的 DOS 路径将转换为 NT 路径。在此转换过程中出现了一个已知问题，即该函数从任何路径元素中删除尾随点，并从最后一个路径元素中删除尾随空格。此行为在 Windows 中的大多数用户空间 API 中都是一致的。

利用此已知问题的专家发现了以下漏洞：

• CVE-2023-36396，Windows 压缩文件夹远程代码执行漏洞

RCE 漏洞存在于 Windows 针对所有新支持的存档文件类型的新提取逻辑中。该专家制作了一个恶意档案，一旦提取，该档案就会写入他选择的远程计算机上的任何位置，从而导致代码执行。

• CVE-2023-32054，卷影复制特权提升漏洞

可以利用此漏洞来获取正在运行受影响应用程序的用户权限。研究人员发现了两个特权提升 (EoP) 漏洞。CVE -2023-32054允许在没有所需权限的情况下写入文件，方法是从卷影副本操纵先前版本的恢复过程，以及另一个允许在没有所需权限的情况下删除文件的恢复过程。

“除了引导我发现这些漏洞之外，MagicDot 路径还赋予了我类似 rootkit 的能力，任何非特权用户都可以访问这些能力。”Or Yair写道。“我发现恶意行为者（没有管理员权限）如何隐藏文件和进程、隐藏存档中的文件、影响预取文件分析、使任务管理器和 Process Explorer 用户认为恶意软件文件是 Microsoft 发布的经过验证的可执行文件、禁用 Process Explorer具有拒绝服务 (DoS) 漏洞等等。”

用户空间 Rootkit 旨在拦截用户空间 API 调用、执行原始函数、过滤掉恶意数据并将更改后的信息返回给调用者。攻击者需要管理员权限才能运行此类 Rootkit，因为他们需要通过在具有提升权限的进程中进行操作来向用户（包括管理员）隐藏自己的存在。

内核 Rootkit 在内核中运行并尝试拦截系统调用，从而更改返回给请求该信息的用户空间进程的信息。

运行内核 Rootkit 需要访问内核，通常需要管理权限并克服各种安全措施，例如补丁防护、驱动程序签名强制、驱动程序阻止列表和 HVCI。因此，内核 Rootkit 的流行率显著下降。

Or Yair 于 2023 年向微软安全响应中心（MSRC）报告。微软承认了这些问题，并采取了以下行动：

1. 远程代码执行（CVE-2023-36396，CVSS：7.8）：由 Microsoft 修复。
2. 权限提升（写入）（CVE-2023-32054，CVSS：7.3）：由 Microsoft 修复。
3. 权限提升（删除）：该漏洞已被微软重现并确认。不过，该公司并未发布 CVE 或修复程序。以下是微软的回应。“再次感谢您向 Microsoft 提交此问题。我们确定此问题不需要立即提供安全服务，但确实揭示了意外行为。该产品或服务的未来版本将考虑解决此问题。”
4. Process Explorer 非特权 DOS 反分析 (CVE-2023-42757)：由 Process Explorer 工程团队在版本 17.04 中修复。MITRE 为该漏洞保留了 CVE-2023-42757。MITRE 已向 Microsoft 确认了该漏洞，并将在在线发布详细信息后发布 CVE。

“这项研究首次探讨了如何利用看似无害的已知问题来开发漏洞，并最终构成重大安全风险。我们相信，这些影响不仅与 Microsoft Windows 相关，而且与所有软件供应商相关，其中大多数供应商也允许已知问题在其软件版本之间持续存在。”Or Yair 总结道。（详情）

转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/rSackBlb-DECGTuk4-xm_A