El problema subyace dentro del proceso de conversión de rutas de DOS a NT
Una nueva investigación ha descubierto que los actores de amenazas podrían aprovechar el proceso de conversión de rutas de DOS a NT para lograr capacidades similares a las de un rootkit para ocultar y suplantar archivos, directorios y procesos.
"Cuando un usuario ejecuta una función que tiene un argumento de ruta en Windows, la ruta de DOS en la que existe el archivo o carpeta se convierte en una ruta de NT", dijo Or Yair, investigador de seguridad de SafeBreach, en un análisis presentado en la conferencia Black Hat Asia la semana pasada.
"Durante este proceso de conversión, existe un problema conocido en el que la función elimina los puntos finales de cualquier elemento de ruta y los espacios finales del último elemento de ruta. Esta acción la completan la mayoría de las API del espacio de usuario en Windows".
Estas rutas denominadas MagicDot permiten una funcionalidad similar a un rootkit a la que puede acceder cualquier usuario sin privilegios, quien luego podría utilizarlo como arma para llevar a cabo una serie de acciones maliciosas sin tener permisos de administrador y pasar desapercibido.
Incluyen la capacidad de "ocultar archivos y procesos, ocultar archivos en archivos comprimidos, afectar el análisis de búsqueda previa de archivos, hacer que los usuarios de Task Manager y Process Explorer piensen que un archivo de malware era un ejecutable verificado publicado por Microsoft, deshabilitar Process Explorer con una vulnerabilidad de denegación de servicio (DoS) y más".
El problema subyacente dentro del proceso de conversión de rutas de DOS a NT también ha llevado al descubrimiento de cuatro deficiencias de seguridad, tres de las cuales han sido solucionadas por Microsoft:
• Una vulnerabilidad de eliminación de elevación de privilegios (EoP) que podría usarse para eliminar archivos sin los privilegios necesarios (se solucionará en una versión futura)
• Una vulnerabilidad de escritura de elevación de privilegios (EoP) que podría usarse para escribir en archivos sin los privilegios necesarios alterando el proceso de restauración de una versión anterior a partir de una instantánea de volumen (CVE-2023-32054, puntuación CVSS: 7,3)
• Una vulnerabilidad de ejecución remota de código (RCE) que podría usarse para crear un archivo especialmente diseñado, lo que puede conducir a la ejecución de código al extraer los archivos en cualquier ubicación elegida por el atacante (CVE-2023-36396, puntuación CVSS: 7,8).
• Una vulnerabilidad de denegación de servicio (DoS) que afecta a Process Explorer al iniciar un proceso con un ejecutable cuyo nombre tiene 255 caracteres y no tiene extensión de archivo (CVE-2023-42757)
"Esta investigación es la primera de su tipo en explorar cómo problemas conocidos que parecen inofensivos pueden explotarse para desarrollar vulnerabilidades y, en última instancia, representar un significativo riesgo de seguridad", explicó Yair.
"Creemos que las implicaciones son relevantes no sólo para Microsoft Windows, que es el sistema operativo de escritorio más utilizado en el mundo, sino también para todos los proveedores de software, la mayoría de los cuales también permiten que los problemas conocidos persistan de una versión a otra de su software".