Phát hiện các lỗ hổng trong Windows có thể bị khai thác như rootkit

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
85
553 bài viết
Phát hiện các lỗ hổng trong Windows có thể bị khai thác như rootkit
WhiteHat Team
Các nhà nghiên cứu đã phát hiện ra quá trình chuyển đổi đường dẫn DOS-to-NT có thể gây ra các lỗ hổng và bị kẻ tấn công khai thác như rootkit nhằm che giấu và mạo danh các tệp, thư mục và quy trình.

1713934015650.png

Trong quá trình chuyển đổi đã xảy ra sự cố, hàm (function) này loại bỏ các dấu chấm cuối cùng từ bất kỳ phần nào của đường dẫn và loại bỏ khoảng trắng cuối cùng từ phần cuối cùng của đường dẫn. Hành động này được thực hiện bởi hầu hết các API mã thực thi bị giới hạn truy cập (user space) trong Windows.

1713933873936.png

Những đường dẫn được biết đến với tên gọi MagicDot này cho phép người dùng không có đặc quyền có thể truy cập vào chức năng giống như rootkit, sau đó thực hiện các hành động độc hại mà không cần quyền quản trị và không bị phát hiện.

MagicDot có khả năng ẩn các tệp và tiến trình, ẩn tệp trong kho lưu trữ, ảnh hưởng đến việc phân tích tệp prefetch khiến người dùng Task Manager và Process Explorer nghĩ rằng tệp độc hại là tệp thực thi đã được Microsoft xác minh, vô hiệu hóa Process Explorer bằng một lỗ hổng DoS và nhiều khả năng khác.

1713932656827.png

4 lỗ hổng dưới đây xảy ra do quá trình chuyển đổi đường dẫn DOS-to-NT, 3 trong số này đã được Microsoft giải quyết gồm:
  • Lỗ hổng leo thang đặc quyền cho phép xóa tệp tin mà không cần quyền đặc quyền cần thiết (sẽ được vá trong bản cập nhật sắp tới).
  • Lỗ hổng leo thang đặc quyền CVE-2023-32054, điểm CVSS: 7,3 cho phép ghi vào tệp tin bằng cách giả mạo quá trình khôi phục phiên bản trước từ dịch vụ sao chép ổ đĩa (Volume Shadow Copy Service - VSS).
  • Lỗ hổng thực thi mã từ xa CVE-2023-36396, điểm CVSS: 7,8 cho phép tạo ra một bản lưu trữ, từ đó thực thi mã khi trích xuất tệp tin ở bất kỳ vị trí nào mà kẻ tấn công lựa chọn.
  • Lỗ hổng DoS CVE-2023-42757 ảnh hưởng đến Process Explorer khi khởi chạy tiến trình có tệp thực thi dài 255 ký tự và không có phần mở rộng tệp.
Các chuyên gia cho biết các lỗ hổng thoạt nhìn có vẻ không nguy hiểm nhưng nếu bị khai thác có thể gây ra những rủi ro an ninh mạng đáng kể.

 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Phát hiện các lỗ hổng cho phép truy cập root trong Smart TV của LG
  • VMware phát hành bản vá cho nhiều lỗ hổng nghiêm trọng trong giải pháp SD-WAN
  • Synology phát hành bản vá cho các lỗ hổng nghiêm trọng trong phần mềm Surveillance Station
  • Atlassian phát hành bản vá cho lỗ hổng có điểm CVSS 10
  • Apple phát hành bản vá khẩn cấp cho các zero-day đang bị khai thác
  • Phát hành PoC cho lỗ hổng leo thang đặc quyền trên MacOS
    • Thẻ
    cve-2023-32054 cve-2023-36396 cve-2023-42757 dos-to-nt rootkit windows
    Bên trên