Windowsのパス変換に問題、アクセスできないファイルを作って悪用可能
マイナビニュース / 2024年4月30日 7時31分
SafeBreachはこのほど、「MagicDot: A Hacker's Magic Show|SafeBreach」において、WindowsにはDOSパスからNTパスへ変換する際に「末尾からドットおよびスペースを削除する」問題が存在すると伝えた。この問題は「CVE-2023-36396」および「CVE-2023-32054」にて追跡される脆弱性に影響を与えたという。
○DOSパスとNTパス
Microsoft Windowsにはファイルやディレクトリの場所を示すパスとして、「DOSパス」、「NTパス」、「UNCパス」などが存在する。普段目にすることの多いパスは「DOSパス」と呼ばれるもので、「C:\Users\USERNAME\Documents\example.txt」のような表記となる。対して「NTパス」は先頭に「\??\」を付加した「\??\C:\Users\USERNAME\Documents\example.txt」のような表記となる。
Windowsは内部でNTパスを使用しており、API(Application Programming Interface)を呼び出す際にDOSパスは自動的にNTパスに変換される。この変換には「RtlpDosPathNameToRelativeNtPathName」と呼ばれる関数が主に使用され、末尾のドットとスペースが削除される。
○MagicDotの悪用
SafeBreachはこの問題を「MagicDot」と名付けている。攻撃者がファイル名の末尾にドットまたはスペースを含むファイルを作成した場合、MagicDotの影響により通常の手段ではこのファイルにアクセスすることはできず、さまざまな悪用が可能となる。また、ZIPアーカイブの内部に同様のファイル名を持つエントリーを作成した場合も、エクスプローラーからファイルにアクセスすることはできないとされる。
MagicDotの動作を利用すると特別な権限を持たない攻撃者でもルートキットのような動作を実現できるという。ディレクトリーに「example」というファイルが存在した場合、攻撃者は「example.」というファイルを作成することで「example.」を隠蔽可能となる。同様にディレクトリーの末尾にドットを含めることでディレクトリを隠蔽することも可能とされる(「C:\Windows.\System32\svchost.exe」など)。
-
- 1
- 2
この記事に関連するニュース
-
Microsoft、2024年5月の月例更新 - 60件の脆弱性への対応が行われる
マイナビニュース / 2024年5月15日 17時14分
-
WindowsからWordPadが廃止! RTF(Rich Text Format)はどうなる?
ASCII.jp / 2024年5月5日 10時0分
-
ロシアの脅威グループがWindowsの印刷スプーラーの脆弱性悪用、アップデートを
マイナビニュース / 2024年4月30日 12時53分
-
Kubernetesで不正マイニング、OpenMetadataの脆弱性を突く攻撃発見
マイナビニュース / 2024年4月23日 11時19分
-
チェック・ポイント・リサーチ、2024年3月に最も活発だったマルウェアを発表 Remcosの新たな展開手法を発見、国内ではFormbookが引き続き首位に
PR TIMES / 2024年4月16日 16時15分
ランキング
-
1複数逮捕&服役の元セクシー俳優、“クスリ”に手を出した理由が壮絶すぎ……交際相手の暴力で逃亡も命の危機 「バレてバルコニー伝って入られて」
ねとらぼ / 2024年5月15日 14時50分
-
2Google Chromeに脆弱性、エクスプロイト確認済み - すぐに更新を
マイナビニュース / 2024年5月15日 13時41分
-
395歳“最強ばあちゃん”が「こればっかり食ってるから丈夫になんだよ笑」と言うのは…… ひ孫への愛あふれるお料理がおいしそう
ねとらぼ / 2024年5月9日 8時0分
-
4LINE新機能「スタンプアレンジ」が話題、スタンプを自由にカスタマイズ - ネット「楽しすぎる!」「すご!」
マイナビニュース / 2024年5月15日 19時16分
-
5「dポイントクラブ」改定のメリットを解説 ポイント還元率は下がるが、d払い併用でトータルの還元率アップ
ITmedia Mobile / 2024年5月15日 22時49分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください