Cisco Talos odkrył nową, niepokojąca kampania malware o nazwie CoralRaider. Ta kampania rozpowszechnia trzy różne typy złośliwego oprogramowania z wykorzystanie cache CDN.

MagicDot

Nowe badania ujawniły, że cyberprzestępcy wprowadzają innowacyjne podejście do ukrywania swoich działań. Wykorzystują oni proces konwersji ścieżki z systemu DOS na NT, aby uzyskać funkcje przypominające rootkity. Odkrycie to zostało zaprezentowane przez badacza bezpieczeństwa Or Yaira z SafeBreach na azjatyckiej konferencji Black Hat.

W prostych słowach, gdy użytkownik wykonuje operację na systemie Windows, która wymaga podania ścieżki, system konwertuje starą, znacznie prostszą ścieżkę DOS na bardziej skomplikowaną ścieżkę NT. Jednakże, podczas tego procesu konwersji, istnieje znany błąd, który powoduje usunięcie kropek i spacji z końca ścieżki. To właśnie ten błąd otwiera drogę do wykorzystania tzw. „ścieżek MagicDot” – funkcji przypominających rootkity.

To oznacza, że nawet nieuprzywilejowani użytkownicy mogą teraz korzystać z tych ścieżek, co umożliwia im przeprowadzenie szeregu złośliwych działań bez konieczności posiadania uprawnień administratora i zachowując przy tym niewykrywalność. To nowe zagrożenie wymaga zwiększenia uwagi ze strony społeczności bezpieczeństwa informatycznego oraz szybkiej reakcji w celu opracowania skutecznych metod przeciwdziałania.

Obejmują one możliwość ukrywania plików i procesów, manipulowania archiwami, wpływania na analizę plików z wyprzedzeniem oraz prowadzenia użytkowników w błąd co do autentyczności plików. Dodatkowo, potrafią zamykać Eksplorator procesów za pomocą ataków DoS, narażając system na różne zagrożenia.

Podstawowy problem w procesie konwersji ścieżki DOS na NT doprowadził również do odkrycia czterech niedociągnięć w zabezpieczeniach, z których trzy zostały już usunięte przez firmę Microsoft:

• Lukę w zabezpieczeniach umożliwiającą usunięcie podniesienia uprawnień (EoP), która może zostać wykorzystana do usunięcia plików bez wymaganych uprawnień (będzie naprawiona w przyszłej wersji).
• Lukę w zabezpieczeniach umożliwiającą podniesienie uprawnień (EoP) podczas zapisu, która może zostać wykorzystana do zapisu do plików bez wymaganych uprawnień poprzez ingerencję w proces przywracania poprzedniej wersji z kopii woluminu w tle (CVE-2023-32054, wynik CVSS: 7,3).
• Lukę w zabezpieczeniach umożliwiającą zdalne wykonanie kodu (RCE), która może zostać wykorzystana do utworzenia specjalnie spreparowanego archiwum, co może prowadzić do wykonania kodu podczas wyodrębniania plików w dowolnej lokalizacji wybranej przez osobę atakującą (CVE-2023-36396, wynik CVSS: 7,8).
• Lukę w zabezpieczeniach typu „odmowa usługi” (DoS) wpływającą na Eksplorator procesów podczas uruchamiania procesu z plikiem wykonywalnym, którego nazwa ma długość 255 znaków i nie ma rozszerzenia pliku (CVE-2023-42757).

„To badanie jest pierwszym tego rodzaju badaniem mającym na celu zbadanie, w jaki sposób znane problemy, które wydają się nieszkodliwe, można wykorzystać do opracowania luk w zabezpieczeniach, co ostatecznie stwarza poważne ryzyko bezpieczeństwa” – wyjaśnił Yair.

„Uważamy, że konsekwencje dotyczą nie tylko systemu Microsoft Windows, który jest najpopularniejszym na świecie systemem operacyjnym dla komputerów stacjonarnych, ale także wszystkich dostawców oprogramowania, z których większość pozwala również na utrzymywanie się znanych problemów z wersji na wersję swojego oprogramowania”.

Źródło: https://www.safebreach.com/blog/magicdot-a-hackers-magic-show-of-disappearing-dots-and-spaces/

Dawid Lis

Dawid Lis, Inżynier ds. Wdrożeń Systemów Cyberbezpieczeństwa w firmie Advatech, to absolwent renomowanego Wydziału Elektroniki Politechniki Wrocławskiej. Jego pasja do cyberbezpieczeństwa rozpoczęła się w 2021 roku, kiedy to rozpoczął swoją profesjonalną karierę w tej dziedzinie.

Jako Inżynier ds. Wdrożeń Systemów Cyberbezpieczeństwa, Dawid kieruje się głównie audytami i testami, które mają na celu sprawdzenie oraz wzmocnienie zabezpieczeń systemów. Jego zaangażowanie w tę dziedzinę nie kończy się na środowisku zawodowym – aktywnie dzieli się swoją wiedzą i doświadczeniem na platformach społecznościowych, zachęcając zarówno osoby techniczne, jak i nietechniczne do podnoszenia świadomości w obszarze cyberbezpieczeństwa.

Dawidowi zależy na tym, aby przekazywać zdobytą wiedzę w sposób przystępny i atrakcyjny, aby zainteresować jak największą liczbę osób. Jego naczelną misją jest edukacja w świecie cyfrowym, który uważa za kluczowy obszar współczesnej rzeczywistości. Poza pracą zawodową, Dawid pasjonuje się rozwiązywaniem CTF-ów (Capture The Flag), widząc w nich zarówno wyzwanie, jak i fascynującą zabawę.