Free

Windows-Schwachstellen gewähren Hackern Rootkit-ähnliche Befugnisse

Neue Untersuchungen zeigen, dass Angreifer den DOS-zu-NT-Pfadkonvertierungsprozess ausnutzen könnten, um Rootkit-ähnliche Befugnisse er erlangen. Dadurch könnten sie Dateien, Verzeichnisse und Prozesse verstecken und sich als diese ausgeben.

Bedrohungen
Lesezeit 1 Min.

Sicherheitsexperten von SafeBreach präsentierten kürzlich auf der Black Hat Asia-Konferenz eine Analyse, wonach bei der Ausführung einer Funktion mit einem Pfadargument in Windows der DOS-Pfad, unter dem eine Datei oder ein Ordner existiert, in einen NT-Pfad umgewandelt wird. Während dieses Konvertierungsprozesses gibt es bei den meisten User-Space-APIs in Windows ein bekanntes Problem: Die Funktion entfernt alle Punkte von jedem Pfadbestandteil und alle nachfolgenden Leerzeichen vom letzten Pfadbestandteil.

Diese sogenannten „MagicDot-Pfade“ ermöglichen es jedem nicht privilegierten Benutzer, Rootkit-ähnliche Funktionen zu erlangen. Dadurch können sie eine Reihe bösartiger Aktionen ausführen, ohne Administratorrechte zu benötigen oder entdeckt zu werden.

Die möglichen Aktionen umfassen das Verbergen von Dateien und Prozessen, das Verstecken von Dateien in Archiven, die Beeinflussung der Analyse von Prefetch-Dateien, die Täuschung des Task-Managers und des Process Explorers in Bezug auf die Identität einer Malware-Datei, sowie die Deaktivierung des Process Explorers durch eine DoS-Schwachstelle (Denial of Service) und vieles mehr.

Das zugrundeliegende Problem im DOS-zu-NT-Pfadkonvertierungsprozess hat zur Entdeckung von weiteren vier Sicherheitslücken geführt. Drei davon hat Microsoft mittlerweile behoben wurden:

  • Eine EoP-Schreibschwachstelle (Elevation of Privilege – Berechtigungserhöhung), die es erlaubte, ohne die notwendigen Berechtigungen in Dateien zu schreiben, indem der Wiederherstellungsprozess einer früheren Version aus einem Volume Shadow Copy manipuliert wurde (CVE-2023-32054, CVSS-Score: 7.3).
  • Eine Schwachstelle für Remote Code Execution (RCE), die es ermöglicht, durch Extrahieren speziell gestalteter Archive an einem beliebigen Ort Code auszuführen (CVE-2023-36396, CVSS-Score: 7.8).
  • Eine Denial-of-Service-Schwachstelle (DoS), die den Process Explorer beeinträchtigt, wenn ein Prozess gestartet wird, dessen Name 255 Zeichen lang ist und keine Dateierweiterung hat (CVE-2023-42757).
  • Eine Sicherheitslücke bei der Dateilöschung mit erweiterten Rechten (EoP), die es ermöglicht, Dateien ohne die erforderlichen Berechtigungen zu löschen (wird in einer zukünftigen Version behoben).

„Diese Forschung ist bahnbrechend, da sie zeigt, wie scheinbar harmlose Probleme als Basis für Schwachstellen genutzt werden können, die ein ernsthaftes Sicherheitsrisiko darstellen können“, so SafeBreach.

„Wir sind der Meinung, dass die Erkenntnisse nicht nur für Microsoft relevant sind – mit Windows Anbieter des am weitesten verbreiteten Desktop-Betriebssystems der Welt – sondern auch für alle anderen Software-Hersteller. Viele von ihnen lassen ähnliche Probleme von Version zu Version ihrer Software einfach ungelöst, obwohl sie genau wissen, was Sachen ist.“

 

Diesen Beitrag teilen: