Check Point identifierar sårbarhet i Microsoft-funktion som kan påverka många andra program

Check Points säkerhetsforskare har identifierade en sårbarhet i en av Windows nyckelfunktioner. Trots att Microsoft skickat ut en patch för att åtgärda problemet kan sårbarheten kvarstå för många program som utvecklats enligt Microsofts rekommendationer och som använder denna Microsoft-funktion. Sårbarheten rör funktionen ”PathCchCanonicalize" som är det officiella API:et som Windows rekommenderar utvecklare att använda för att skydda program mot så kallade Path-Traversal-attacker.

- Vår upptäckt har två viktiga delar, säger Mats Ekdahl, säkerhetsexpert hos Check Point. Den ena delen är att IT-personal i stora företag som använder Windows bör installera Microsofts februari-patch, CVE 2020-0655, för att se till att deras RDP-klient är skyddad. Den andra delen är viktig för alla utvecklare. Microsoft har inte åtgärdat sårbarheten i deras officiella API, vilket gör att många program som skrivits enligt Microsofts rekommendationer fortfarande kan ha säkerhetshål. Vår rekommendation är att utvecklare går över sina program för att patcha dem manuellt.

Vad är en Path-Traversal-attack

Path-Traversal är en typ av attack där angriparen lurar en applikation att läsa och därefter avslöja innehållet i filer utanför applikationens eller webbserverns dokumentmapp. Detta innebär att en angripare kan spara en fil i vilken mapp som helst på din dator, istället för att den sparas i den avsedda mappen, eller läsa filer som inkräktarna inte ska ha tillgång till.

Med hjälp av denna teknik kan angripare ändra viktiga filer som program och bibliotek, ladda ner lösenordsfiler, exponera källkoden för webbapplikationen eller utföra kraftfulla kommandon på en webbserver. Detta kan i sin tur leda till stora förändringar av själva webbservern.

Hur Check Points forskare identifierade sårbarheten

Check Points forskare identifierade först sårbarheten i Microsofts Remote Desktop Protocol (RDP) 2019. Microsoft RDP ger fjärråtkomst och inmatningsmöjligheter över nätverksanslutningar för Windows-baserade applikationer som körs på en server. Denna teknik gör det möjligt att fjärransluta till en dator och arbeta med den precis som om den var din egen. Forskarna visade att en fjärransluten dator infekterad med skadlig kod kunde ta över alla klienter som försöker ansluta sig till den datorn. Om till exempel en IT-tekniker försöker fjärransluta sig till en dator i ett företag som är infekterad med skadlig kod skulle den skadliga koden också kunna attackera IT-teknikerns dator. Check Points forskare kallar denna attackvektor ”Reverse RDP”, eftersom en användare av RDP tror att de kontrollerar en dator på distans, medan säkerhetshålet möjliggör det motsatta.

Microsoft åtgärdade snabbt sårbarheten i Microsofts Remote Desktop Protocol (RDP). Men, i oktober 2019 upptäckte forskarna att den patchen (CVE-2019-0887) också hade säkerhetsbrister, vilket gjorde att forskarna kunde gå förbi åtgärden och ändå ta sig in i systemet. Forskarna fick reda på att Microsoft använde “PathCchCanonicalize” i sin patch, vilket fick dem att dra slutsatsen att felet låg i den officiella API-funktionen “PathCchCanonicalize”.

Forskarna informerade Microsoft om sina upptäckter och Microsoft släppte en ny korrigeringsfil (CVE 2020-0655) för Reverse RDP-felet i februari 2020. Trots att RDP är rättat använder många program Microsofts funktion (PathCchCanonicalize), vilket gör dem sårbara. Check Point har informerat Microsoft om de senaste resultaten och att forskarna kommer att offentliggöra sina upptäckter. 

Läs mer här. 

Följ Check Point på:

LinkedIn: https://www.linkedin.com/showcase/17905174

Twitter: http://www.twitter.com/checkpointsw

Facebook: https://www.facebook.com/checkpointsoftware

Blogg: http://blog.checkpoint.com

YouTube: http://www.youtube.com/user/CPGlobal

För mer säkerhetsrelaterade forskningsnyheter, lyssna på Check Points podcast: https://research.checkpoint.com/category/cpradio/