Gå direkt till innehåll
Check Point identifierar sårbarhet i Microsoft-funktion som kan påverka många andra program

Nyhet -

Check Point identifierar sårbarhet i Microsoft-funktion som kan påverka många andra program

Check Points säkerhetsforskare har identifierade en sårbarhet i en av Windows nyckelfunktioner. Trots att Microsoft skickat ut en patch för att åtgärda problemet kan sårbarheten kvarstå för många program som utvecklats enligt Microsofts rekommendationer och som använder denna Microsoft-funktion. Sårbarheten rör funktionen ”PathCchCanonicalize" som är det officiella API:et som Windows rekommenderar utvecklare att använda för att skydda program mot så kallade Path-Traversal-attacker.

- Vår upptäckt har två viktiga delar, säger Mats Ekdahl, säkerhetsexpert hos Check Point. Den ena delen är att IT-personal i stora företag som använder Windows bör installera Microsofts februari-patch, CVE 2020-0655, för att se till att deras RDP-klient är skyddad. Den andra delen är viktig för alla utvecklare. Microsoft har inte åtgärdat sårbarheten i deras officiella API, vilket gör att många program som skrivits enligt Microsofts rekommendationer fortfarande kan ha säkerhetshål. Vår rekommendation är att utvecklare går över sina program för att patcha dem manuellt.

Vad är en Path-Traversal-attack

Path-Traversal är en typ av attack där angriparen lurar en applikation att läsa och därefter avslöja innehållet i filer utanför applikationens eller webbserverns dokumentmapp. Detta innebär att en angripare kan spara en fil i vilken mapp som helst på din dator, istället för att den sparas i den avsedda mappen, eller läsa filer som inkräktarna inte ska ha tillgång till.

Med hjälp av denna teknik kan angripare ändra viktiga filer som program och bibliotek, ladda ner lösenordsfiler, exponera källkoden för webbapplikationen eller utföra kraftfulla kommandon på en webbserver. Detta kan i sin tur leda till stora förändringar av själva webbservern.

Hur Check Points forskare identifierade sårbarheten

Check Points forskare identifierade först sårbarheten i Microsofts Remote Desktop Protocol (RDP) 2019. Microsoft RDP ger fjärråtkomst och inmatningsmöjligheter över nätverksanslutningar för Windows-baserade applikationer som körs på en server. Denna teknik gör det möjligt att fjärransluta till en dator och arbeta med den precis som om den var din egen. Forskarna visade att en fjärransluten dator infekterad med skadlig kod kunde ta över alla klienter som försöker ansluta sig till den datorn. Om till exempel en IT-tekniker försöker fjärransluta sig till en dator i ett företag som är infekterad med skadlig kod skulle den skadliga koden också kunna attackera IT-teknikerns dator. Check Points forskare kallar denna attackvektor ”Reverse RDP”, eftersom en användare av RDP tror att de kontrollerar en dator på distans, medan säkerhetshålet möjliggör det motsatta.

Microsoft åtgärdade snabbt sårbarheten i Microsofts Remote Desktop Protocol (RDP). Men, i oktober 2019 upptäckte forskarna att den patchen (CVE-2019-0887) också hade säkerhetsbrister, vilket gjorde att forskarna kunde gå förbi åtgärden och ändå ta sig in i systemet. Forskarna fick reda på att Microsoft använde “PathCchCanonicalize” i sin patch, vilket fick dem att dra slutsatsen att felet låg i den officiella API-funktionen “PathCchCanonicalize”.

Forskarna informerade Microsoft om sina upptäckter och Microsoft släppte en ny korrigeringsfil (CVE 2020-0655) för Reverse RDP-felet i februari 2020. Trots att RDP är rättat använder många program Microsofts funktion (PathCchCanonicalize), vilket gör dem sårbara. Check Point har informerat Microsoft om de senaste resultaten och att forskarna kommer att offentliggöra sina upptäckter. 

Läs mer här

Följ Check Point på:

LinkedIn: https://www.linkedin.com/showcase/17905174

Twitter: http://www.twitter.com/checkpointsw

Facebook: https://www.facebook.com/checkpointsoftware

Blogg: http://blog.checkpoint.com

YouTube: http://www.youtube.com/user/CPGlobal

För mer säkerhetsrelaterade forskningsnyheter, lyssna på Check Points podcast: https://research.checkpoint.com/category/cpradio/

Ämnen

Kontakter

Relaterat innehåll

  • Check Point: Cyberattacker relaterade till corona ökar med 30 procent

    Check Point: Cyberattacker relaterade till corona ökar med 30 procent

    De senaste två veckorna har forskare på IT-säkerhetsföretaget Check Point dokumenterat 192 000 cyberattacker per vecka relaterade till corona, vilket är en ökning med 30 procent jämfört med föregående veckor. Under pandemin har forskarna också kunnat utläsa olika teman och trender som de cyberkriminella följer.

  • Kinesiska hackare riktar in sig mot regeringar i femårig spionkampanj

    Kinesiska hackare riktar in sig mot regeringar i femårig spionkampanj

    IT-säkerhetsföretaget Check Points forskare har avslöjat ett femårigt cyberspionage, som fortfarande pågår. Spionaget riktas mot flera regeringar i Asien och Stillahavsområdet och utförs av en kinesisk hackergrupp. Första gången gruppen Naikon attackerade myndigheter i länder runt Sydkinesiska havet på jakt efter politisk information var 2015.

  • Säkerhetsbrister i vanliga digitala utbildningsplattformar

    Säkerhetsbrister i vanliga digitala utbildningsplattformar

    Under den rådande pandemin är det många studenter och anställda som tvingas studera och genomföra utbildningar på distans. För att stötta undervisningen används en rad olika digitala plattformar. Nu har forskare från IT-säkerhetsföretaget Check Point hittat flera säkerhetsbrister i några vanliga utbildningssystem.

  • Flygbolaget EasyJet har hackats

    Flygbolaget EasyJet har hackats

    Flygbolaget EasyJet har utsatts för ett stort dataintrång där nio miljoner kunders e-postadresser och reseinformation samt 2208 kreditkortsuppgifter har stulits. Den detaljerade informationen kommer sannolikt säljas mellan hackare och användas som bete för riktade phishing-attacker mot kunder, särskilt i e-postmeddelande som påstår sig komma från EasyJet eller ett dotterbolag.

  • Hacktivist tog över webbplatser i över 40 länder – däribland Sverige

    Hacktivist tog över webbplatser i över 40 länder – däribland Sverige

    ​Forskare hos IT-säkerhetsföretaget Check Point har identifierat en cyberkriminell som hade ett personligt mål att hacka 5000 webbplatser globalt. Detta åstadkom han nästan, med 4820 berörda webbplatser, genom att sprida regeringskritisk propaganda på officiella webbplatser som tillhör regeringar, akademiska institutioner och privata företag.