10 августа, понедельник, 14:52
дома безопасность Уязвимость к .NET Core позволяет запускать вредоносные программы

Уязвимость к .NET Core позволяет запускать вредоносные программы

Уязвимость в библиотеке .NET Core позволяет запускать вредоносные программы, избегая обнаружения антивирусов.

Эта уязвимость вызвана ошибкой Path Traversal в библиотеке Microsoft .NET Core, которая позволяет пользователям с ограниченными правами загружать вредоносные библиотеки DLL-мусора (процессы, которые восстанавливают память, используемую объектами, которые больше не используются программой).

.NET Core

Эта ошибка влияет на последнюю стабильную версию (версии 3.1.x) .NET Core. В настоящее время нет решения, и это может позволить злоумышленники запускать вредоносный код в системе, не будучи легко обнаруженным антивирусом.

Обнаруженная Полом Лайне экологической безопасности информации, уязвимость возможна по двум основным причинам:

  • .NET Core позволяет использовать пользовательскую DLL в качестве сборщика мусора
  • Переменная среда «COMPlus_GCName», используемая для определения пользовательского «сборщика мусора» .NET, не вылечена. Поэтому любые символы (../), указанные в пути сбора отходов, не фильтруются.

.NET Core использует «сборщик мусора» для назначения и освобождения системной памяти, используемой приложением .NET Core.

Однако пользователи могут создавать «сборщики мусора» в формате DLL, которые будут загружаться приложением ядра .NET.

Однако .NET Core позволяет любому пользователю, в том числе с ограниченными правами, загружать пользовательский файл сбора отходов DLL, даже если он содержит вредоносный код.

Воспользовавшись этой ошибкой

Прежде чем использовать этот дефект, о атакующий должен иметь хотя бы некоторый уровень доступа к система определить переменные среды. Это означает, что этот дефект будет реально использован в сочетании с существующим эксплойтом.

Основной мотивацией для хакера внедрить эту атаку в его инструментарий будет предотвращение обнаружения их вредоносной нагрузки программное обеспечение безопасности казнен на нарушителя компьютер.

Чтобы воспользоваться этой ошибкой, злоумышленник сначала создаст настроенный сборщик мусора, который будет содержать вредоносный код, который он хочет выполнить на скомпрометированной машине.

Затем они определяют переменную среду, которая заставляет .NET Core использовать эту пользовательскую DLL.

При загрузке вредоносный код будет выполняться в рамках юридического процесса .NET Core, dotnet.exe, и создается впечатление, что DLL - это просто пользовательская программа. уборщик мусора.

Как только сборщик мусора DLL загружен из .NET Core, полезная нагрузка начинает выполнение, которое в этом случае является обратной оболочкой TCP.

В реальном сценарии злоумышленник с доступом к взломанной машине может использовать простой пакетный скрипт заставить .NET Core запускать вредоносную DLL без обнаружения.

Это не уязвимость, говорит Microsoft

Поскольку использование этого механизма требует, чтобы злоумышленники уже могли определять переменные среды в скомпрометированной системе, Microsoft не видит в этом уязвимости безопасности.

«Что касается MSRC, мы не считаем это вопросом уязвимостей безопасности. Чтобы воспользоваться этим преимуществом, противнику потребуется изменить блок среды, поэтому он уже проверяет другие аспекты его выполнения. приложение"," Сказал представитель Microsoft.

Лайне признал в своем первоначальном откровении: «Возможность использовать пользовательский GC является юридической функцией и, вероятно, не должна быть удалена. Тем не менее, с течением времени необходимо учесть, чтобы ограничить использование пользовательского GC только пользователи с местными правами διαχειριστή, который должен применяться к серверному приложению или среде разработки ».

Поскольку исправление этой «законной» функции не было выпущено, вероятность злоупотребления в бизнес-среде .NET остается.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ

Осуществляют ли хакеры свои атаки в реальном времени?

В более общем плане существует мнение, что хакеры внезапно проникают в системы и устройства и проводят атаки. Однако в действительности все иначе. ...

Facebook: как скрыть старые сообщения

Facebook представил новый инструмент под названием «Управление действиями», который позволит вам удалять старые сообщения, помогая вам улучшить ...

Как скачать и установить Play Store на ноутбуки и ПК?

В настоящее время многие люди полагаются на свои смартфоны, поскольку их можно легко и быстро использовать для ...

Портативный кондиционер: его носят на спине и как украшение jew

Портативный кондиционер - Носится на спине и как украшения: 40 градусов и мы растаяли. Те из вас, кому посчастливилось побывать на пляже, пожалуйста, остановитесь ...

Как загрузить Google Camera Port 7.4 / GCam 7.4 на устройства Xiaomi?

На устройствах Pixel в качестве приложения камеры по умолчанию используется Google Camera (GCam). А поскольку серия Pixel известна ...

Как печатать на нескольких языках одновременно на Android

В современном мире люди очень привязаны к смартфонам. Они предоставляют доступ ко многим приложениям, которые можно использовать в основном ...

LucidPix: сделайте свои фотографии 3D с помощью этого приложения!

Придайте своим фотографиям 3D-формат с помощью приложения LucidPix, которое доступно в различных версиях как для Android, так и для iPhone ...

Частный или анонимный просмотр: гарантирует ли это вашу конфиденциальность в Интернете?

Термин "частный" актуален, особенно когда речь идет о приватном или анонимном просмотре в Интернете, настройке в вашем веб-браузере ...

Бизнес: 8 типов кибератак, которых стоит остерегаться

В наши дни все предприятия, малые и крупные, должны быть начеку, как могут ...

Как отменить поиск изображений через Google?

Термин «поиск изображений» знаком тем, кто пользуется поисковыми системами. Это означает, что вы ищете изображение, связанное с текстом, который ...