The Twin Journey, Parte 3: No soy un gemelo, ¿no puedes ver mi espacio en blanco al final?


En esta serie de 3 weblogs (puede encontrar la parte 1 aquí y la parte 2 aquí), hasta ahora hemos entendido las implicaciones de promocionar archivos a «Evil Twins» donde pueden crearse y permanecer en el sistema como entidades diferentes una vez la sensibilidad está habilitada, y algunos problemas que podrían surgir con solo suposiciones básicas sobre la sensibilidad a las mayúsculas y minúsculas durante el desarrollo.

En esta tercera publicación nos enfocamos en la técnica de «confusión», donde aunque la técnica ya es conocida (Medio / / Tyranidslair), las ramificaciones de estos efectos aún no se han analizado todas.

Volviendo a la normalización, algunas API de Acquire32 eliminan los espacios en blanco finales (y otros caracteres especiales) del nombre de la ruta.

Como se mencionó en la última publicación, la normalización puede, en algunos casos, proporcionar un resultado incorrecto.

El escenario común que podría usarse como «cebo» para que el usuario haga clic, e incluso para ocultar lo que se ve, es crear un directorio con el mismo nombre que termine con un espacio en blanco.

Un ejemplo muy trivial «Ese no es mi bloc de notas …»:

Abra el administrador de tareas, haga clic derecho en el «bloc de notas» con el icono de masilla -> Propiedades. (Las propiedades se leyeron del binario «espacio no posterior»)

Abra el Explorador en «C: Windows» generará la ilusión de que los archivos originales (de la carpeta sin espacios en blanco finales) están allí. Esto sucederá para cualquier carpeta / archivo que no esté presente en la versión de espacios en blanco.

Capturas de pantalla que abren una carpeta de McAfee Agent:

Ambas carpetas se abrieron tenga en cuenta que la versión de espacios en blanco no tiene ningún .dll o .exe adicional, pero Explorer muestra los archivos que faltan desde el «directorio normalizado – no es un espacio en blanco».

Intentando abrir el dll …

Obtener propiedades del administrador de tareas buscará las de la ruta de carpeta normalizada, eso significa que puede ser engañado para pensar que es una aplicación confiable.

Vea el online video grabado por nuestro experto Cedric Cochin que ilustra esta técnica:

(incrustar) https://www.youtube.com/view?v=CrcAu7CW9gc (/ incrustar)

Enlaces / Blogs relacionados:

https://tyranidslair.blogspot.com/2019/02/ntfs-situation-sensitivity-on-home windows.html

https://medium.com/tenable-techblog/uac-bypass-by-mocking-trustworthy-directories-24a96675f6e





Enlace a la noticia primary