Windows 路径转换怪异导致非特权 Rootkit 行为
安全研究人员发现,攻击者可以利用 Windows 将传统 DOS 格式之间的文件路径转换为更现代的 NT 格式的方式来实现基于 rootkit 的功能,例如隐藏文件和进程,而无需任何特殊权限。 SafeBreach 的研究人员 Or Yair 发现了这种 DOS 到 NT 路径转换的安全隐患,并在 Black Hat Asia 2024 上进行了展示。该技术被 Yair 称为 MagicDot,它在去年修补过的 Windows,但根本问题仍未解决,并影响了许多其他使用文件操作的应用程序。 “我发现恶意行为者(没有管理员权限)如何隐藏文件和进程、隐藏存档中的文件、影响预取文件分析、使任务管理器和 Process Explorer 用户认为恶意软件文件是 Microsoft 发布的经过验证的可执行文件、禁用 Process Explorer具有拒绝服务 (DoS) 漏洞等等,”Yair 在 技术文章。 漏洞利用 DOS 和 NT 路径之间的差异 当有人被要求输入 Windows 系统上的文件路径时,他们可能会输入以下形式的内容 C:目录子目录文件.txt。 这称为 DOS 样式文件路径,自第一个 Windows 版本以来一直是表示文件位置的最常见方式。 许多应用程序在要对 Windows […]