El investigador de seguridad de SafeBreach, Or Yair, presentó un análisis en la conferencia Black Hat Asia, destacando cómo el proceso de conversión de la ruta de DOS a NT podría ser utilizado por actores de amenazas para ocultar y suplantar archivos, directorios y procesos, otorgándoles capacidades similares a las de un rootkit.
Durante este proceso, surge un problema conocido en el que la función elimina los puntos finales de cualquier elemento de la ruta y los espacios finales del último elemento de la ruta, lo cual es completado por la mayoría de las APIs del usuario en Windows.
Estas llamadas MagicDot paths permiten funcionalidades similares a un rootkit, accesibles para cualquier usuario no privilegiado, lo que podría ser aprovechado para llevar a cabo acciones maliciosas sin tener permisos de administrador y pasar desapercibido.
Estas acciones incluyen la capacidad de ocultar archivos y procesos, afectar el análisis de archivos de prefetch, hacer que los usuarios de Task Manager y Process Explorer piensen que un archivo de malware era un ejecutable verificado publicado por Microsoft, deshabilitar Process Explorer con una vulnerabilidad de denegación de servicio (DoS) y más.
El problema en el proceso de conversión de la ruta de DOS a NT ha llevado al descubrimiento de cuatro deficiencias de seguridad, tres de las cuales han sido abordadas por Microsoft:
– Una vulnerabilidad de elevación de privilegios (EoP) de eliminación para eliminar archivos sin los privilegios requeridos.
– Una vulnerabilidad de elevación de privilegios (EoP) de escritura para escribir en archivos sin los privilegios requeridos manipulando el proceso de restauración de una versión anterior desde una copia de volumen en sombra (CVE-2023-32054, puntuación CVSS: 7.3).
– Una vulnerabilidad de ejecución remota de código (RCE) al crear un archivo especialmente diseñado para la ejecución de código al extraer los archivos en cualquier ubicación elegida por el atacante (CVE-2023-36396, puntuación CVSS: 7.8).
– Una vulnerabilidad de denegación de servicio (DoS) que afecta al Process Explorer al iniciar un proceso con un ejecutable cuyo nombre tiene 255 caracteres y no tiene una extensión de archivo (CVE-2023-42757).
En palabras de Yair, «Esta investigación es la primera en su tipo que explora cómo problemas conocidos que parecen inofensivos pueden ser explotados para desarrollar vulnerabilidades y, en última instancia, representar un riesgo de seguridad significativo. Consideramos que las implicaciones son relevantes no solo para Microsoft Windows, que es el sistema operativo de escritorio más utilizado en el mundo, sino también para todos los vendedores de software, la mayoría de los cuales permiten que persistan problemas conocidos de una versión a otra de su software.»
Vía The Hacker News
