Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Уязвимость в .NET Core позволяет вредоносному ПО обходить обнаружение

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


Reply
 
Thread Tools Display Modes
  #1  
Old 02-13-2025, 11:04 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

С помощью уязвимости пользователь с низкими привилегиями может загружать вредоносные сборщики мусора (DLL).

Уязвимость обхода каталога в библиотеке .NET Core от компании Microsoft позволяет запускать вредоносные программы, избегая обнаружения решениями безопасности. Проблема затрагивает последний стабильный релиз .NET Core (версии 3.1.x), однако Microsoft не считает ее уязвимостью и не намерена исправлять.
Уязвимость https://www.contextis.com/us/blog/br...bage-collector исследователем безопасности из Context Information Security Полем Лини (Paul Laîné). С ее помощью пользователь с низкими привилегиями может загружать вредоносные сборщики мусора (DLL) в обход антивирусного ПО и систем обнаружения атак на конечных точках (EDR).
Как пояснил Лини, уязвимость существует по двум причинам. Во-первых, .NET Core позволяет использовать в качестве сборщиков мусора кастомные DLL. Во-вторых, используемая для определения кастомного сборщика мусора в .NET переменная среды COMPlus_GCName не проверяется должным образом. В результате любые присутствующие в сборщике мусора символы обхода каталога (../) не фильтруются.
Сборщики мусора нужны .NET Core для выделения и высвобождения системной памяти, используемой приложением .NET Core. Однако пользователи могут создавать собственные сборщики мусора в виде библиотек DLL, которые будут загружаться приложением .NET Core. Загружать эти DLL могут даже пользователи с низкими привилегиями, а содержимое библиотек не проверяется и вполне может содержать вредоносный код.
Для эксплуатации уязвимости у атакующего должна быть возможность устанавливать переменные среды на уже скомпрометированной системе, поэтому Microsoft не видит смысла ее исправлять.
«Microsoft Security Response Center не считает это уязвимостью безопасности. Для ее эксплуатации злоумышленник должен модифицировать блок среды, а значит, у него уже и так есть контроль над другими аспектами выполнения приложения», - https://github.com/dotnet/runtime/is...ment-646089090представитель Microsoft в ходе обсуждения проблемы на GitHub.
Reply

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 09:52 AM.

Contact Us - Carder.life - Archive - Top