Разбивая барьеры и предположения: Техники для повышения привилегий в Windows: Часть 2

Данный документ подробно описывает, как альтернативные потоки данных NTFS (ADS) могут быть использованы для обхода предположений о безопасности и достижения привилегированного доступа. Техника, обнаруженная исследователем Абдельхамидом Насери, основана на том факте, что директории с ADS считаются пустыми, что позволяет создавать соединения NTFS даже после того, как программа проверила пустоту директории. Эта техника иллюстрируется двумя уязвимостями: CVE-2024-0353 в продуктах ESET Security и CVE-2024-7238 в VIPRE Advanced Security. Обе уязвимости связаны с функциями реального времени защиты, удаляющими обнаруженные вредоносные файлы. Эксплуатация включает в себя создание ADS, содержащего строку теста EICAR, и мониторинг изменений в атрибутах или временных метках файлов. Как только обнаруживается изменение, сигнализирующее о предстоящем удалении, создается соединение NTFS, указывающее на целевой файл, который хочет удалить атакующий. Эксплуатация успешна, поскольку и ESET, и VIPRE не принимают соответствующих мер предосторожности при открытии файлов для удаления, таких как проверка на наличие репарсных точек или надлежащая реализация имитации. Это позволяет атакующим перенаправлять удаление на произвольные файлы, включая системно-критические, что приводит к привилегированному доступу. Документ подчеркивает, что несколько поставщиков и продуктов могут быть уязвимы для этой техники из-за недостатка тестирования и призывает их предлагать бесплатные пробные версии для исследований в области безопасности. Он также подчеркивает важность надлежащей реализации имитации для предотвращения таких уязвимостей. Авторы призывают защитников оценить свои продукты на возможные слабости и поставщиков - приоритизировать тестирование безопасности и практики ответственного раскрытия информации. Этот подробный анализ техники эксплуатации ADS служит предупреждением и призывом к действию для сообщества кибербезопасности.