Các nhà nghiên cứu đã phát hiện ra quá trình chuyển đổi đường dẫn DOS-to-NT có thể gây ra các lỗ hổng và bị kẻ tấn công khai thác như rootkit nhằm che giấu và mạo danh các tệp, thư mục và quy trình.
Trong quá trình chuyển đổi đã xảy ra sự cố, hàm (function) này loại bỏ các dấu chấm cuối cùng từ bất kỳ phần nào của đường dẫn và loại bỏ khoảng trắng cuối cùng từ phần cuối cùng của đường dẫn. Hành động này được thực hiện bởi hầu hết các API mã thực thi bị giới hạn truy cập (user space) trong Windows.
Những đường dẫn được biết đến với tên gọi MagicDot này cho phép người dùng không có đặc quyền có thể truy cập vào chức năng giống như rootkit, sau đó thực hiện các hành động độc hại mà không cần quyền quản trị và không bị phát hiện.
MagicDot có khả năng ẩn các tệp và tiến trình, ẩn tệp trong kho lưu trữ, ảnh hưởng đến việc phân tích tệp prefetch khiến người dùng Task Manager và Process Explorer nghĩ rằng tệp độc hại là tệp thực thi đã được Microsoft xác minh, vô hiệu hóa Process Explorer bằng một lỗ hổng DoS và nhiều khả năng khác.
4 lỗ hổng dưới đây xảy ra do quá trình chuyển đổi đường dẫn DOS-to-NT, 3 trong số này đã được Microsoft giải quyết gồm:
- Lỗ hổng leo thang đặc quyền cho phép xóa tệp tin mà không cần quyền đặc quyền cần thiết (sẽ được vá trong bản cập nhật sắp tới).
- Lỗ hổng leo thang đặc quyền CVE-2023-32054, điểm CVSS: 7,3 cho phép ghi vào tệp tin bằng cách giả mạo quá trình khôi phục phiên bản trước từ dịch vụ sao chép ổ đĩa (Volume Shadow Copy Service – VSS).
- Lỗ hổng thực thi mã từ xa CVE-2023-36396, điểm CVSS: 7,8 cho phép tạo ra một bản lưu trữ, từ đó thực thi mã khi trích xuất tệp tin ở bất kỳ vị trí nào mà kẻ tấn công lựa chọn.
- Lỗ hổng DoS CVE-2023-42757 ảnh hưởng đến Process Explorer khi khởi chạy tiến trình có tệp thực thi dài 255 ký tự và không có phần mở rộng tệp.
Các chuyên gia cho biết các lỗ hổng thoạt nhìn có vẻ không nguy hiểm nhưng nếu bị khai thác có thể gây ra những rủi ro an ninh mạng đáng kể.
Theo The Hacker News