[CVE49] Microsoft Windows LNK Remote Code Execution Vulnerability - CVE-2020-1299

Shell Link Binary File Format, which contains information that can be used to access another data object. The Shell Link Binary File Format is the format of Windows files with the extension "LNK", we call it a shortcut file. Regarding the structure of this format is very complicated, Microsoft has provided a document about LNK file format for reference^[1].

I've followed the Microsoft patches for a long time. In 2018, I found that they had 2 LNK bugs which were fixed and all of them were RCE. Recently, @Lays found a bunch of LNK file parsing bugs, so with this binary file format I think it is suitable for fuzzing. However, you need to reverse and learn how to handle this LNK file on Windows.

Introduction

File Explorer, previously known as Windows Explorer, is a file manager application that has been included with releases of the Microsoft Windows operating system from Windows 95 onwards. It provides a graphical user interface for accessing the file systems. It is also the component of the operating system that presents many user interface items on the screen such as the taskbar and desktop.

[CVE49] Microsoft Windows LNK Remote Code Execution Vulnerability - CVE-2020-1299

Shell Link là một định dạng binary file, chứa thông tin cho phép truy cập đến các đối tượng dữ liệu khác. Định dạng này có phần mở rộng là “LNK”, chúng ta thường gọi là shortcut file. Về cấu trúc của định dạng này rất phức tạp, Microsoft có cung cấp document về định dạng file LNK để tham khảo^[1].

Tôi đã theo dõi các bản vá của Microsoft trong nhiều năm. Năm 2018, tôi nhận thấy Microsoft Windows bị phát hiện có 2 bug LNK đã được khắc phục và đều là lỗ hổng RCE. Gần đây @Lays đã tìm ra được 1 loạt các lỗi về parsing file LNK, với định dạng file là dạng binary này, tôi nghĩ rất phù hợp để sử dụng fuzzing. Tuy nhiên cần reverse và tìm hiểu cách xử lý file LNK này trên Windows.

Giới thiệu

File Explorer trước đây gọi là Windows Explorer (explorer.exe), là một ứng dụng quản lý tệp và được tích hợp sẵn trong các hệ điều hành Microsoft Windows từ Windows 95 trở đi. Nó cung cấp một giao diện GUI để truy cập các hệ thống tập tin. Nó cũng bao gồm nhiều thành phần giúp người dùng tương tác như taskbar, desktop,…

[RE015] "Heaven’s Gate" Một kĩ thuật cũ nhưng hiệu quả

“Heaven’s Gate” là tên thường gọi của một kỹ thuật cho phép binary 32-bit thực thi các lệnh 64-bit mà không cần tuân theo luồng xử lý chuẩn trên môi trường (Windows 32-bit on Windows 64-bit) WoW64. Có thể hiểu đơn giản WoW64 như là một sandbox nhằm hỗ trợ các ứng dụng 32-bit chạy liền mạch trên Windows 64-bit. Các tiến trình WoW64 thường gồm hai phiên bản của ntdll.dll. Đầu tiên là phiên bản 32-bit (được tải từ thư mục SysWow64), nó giúp chuyển tiếp các lời gọi hệ thống (system calls) tới môi trường WoW64. Thứ hai là phiên bản 64-bit (được tải từ thư mục System32), tiếp nhận thông tin từ môi trường WoW64 và chịu trách nhiệm chuyển đổi user-mode sang kernel-mode. Bên cạnh đó là một số các DLLs đặc biệt khác, bao gồm:  wow64.dll, wow64cpu.dll, wow64win.dll.

Hình 1: Mô hình kiến trúc của WoW64
Nguồn: https://slideplayer.com/slide/4482200/

[FIDO001] VinCSS’s go passwordless story: from zero onward a FIDO2 platform

Password is too out-of-date and needed to be replaced

The exponential growth of threats on cyberspace has caused systems which used password-based authentication to become a hassle for users and a burden for organizations since the maintain cost is substantial and associated risk are exceedingly great.

The truth is no one still likes password except hackers!

Two-factor authentication using OTP (one-time password) can only partially solve the issue and has been defeated multiple times in recent cyber attacks. Password manager programs, on the other hand, fall prey to hackers since they themselves have vulnerabilities, run on exploitable Operating System(s) and use not strong enough authentication methods to self-protect.

What hope is there when our most recognized form of security isn’t as secure as we thought?

[RE014] GuLoader AntiVM Techniques

Thời gian gần đây, Twitter của các chuyên gia nước ngoài liên tục xuất hiện hash tag #GuLoader, đây là một downloader phổ biến đang được các nhóm tin tặc sử dụng rộng rãi nhằm tải về mã độc chính lợi dụng các dịch vụ cloud của Google Drive và Microsoft OneDrive. GuLoader rất nhỏ, nhẹ, được viết bằng VB6 và thường được nén trong file .rar. Khi người dùng vô tình thực thi loader này, nó sẽ tải xuống Trojans (RAT) hoặc các dòng mã độc đánh cắp thông tin như Agent Tesla, FormBook, NanoCore RAT, Netwire RAT, Remcos RAT, ...

Ở Việt Nam cũng không ngoại lệ, chúng tôi đã tiếp cận và có bài phân tích chi tiết về downloader này. Mới đây, khách hàng của chúng tôi tiếp tục nhận được email có file đính kèm lạ, qua kiểm tra, phân tích và so sánh, chúng tôi nhận thấy đây chính là một biến thể của GuLoader. Nhiệm vụ của nó là tải về NanoCore RAT để thực thi trên máy người dùng. Trong bài viết này, chúng tôi sẽ không đi vào phân tích chi tiết mà chỉ tập trung vào các kĩ thuật Anti-VM được sử dụng trong shellcode.