Търсене
Close this search box.

Атака NoFilter: Подъл метод за ескалация на привилегиите заобикаля сигурността на Windows

Установено е, че неоткрит досега метод за атака, наречен NoFilter, използва платформата за филтриране на Windows (WFP), за да постигне повишаване на привилегиите в операционната система Windows.

„Ако атакуващият има възможност да изпълнява код с администраторски привилегии и целта е да извърши LSASS Shtinkering, тези привилегии не са достатъчни“, казва Рон Бен Ижак, изследовател по сигурността в Deep Instinct, пред The Hacker News.

„Изисква се стартиране като „NT AUTHORITY\SYSTEM“. Техниките, описани в това изследване, могат да доведат до ескалация от администратор до SYSTEM“.

Откритията бяха представени на конференцията по сигурността DEF CON през уикенда.

Отправната точка на изследването е вътрешен инструмент, наречен RPC Mapper, който компанията за киберсигурност е използвала за картографиране на методите за отдалечено извикване на процедури (RPC), по-конкретно тези, които извикват WinAPI, което е довело до откриването на метод, наречен „BfeRpcOpenToken“, който е част от WFP.

WFP е набор от API и системни услуги, които се използват за обработка на мрежовия трафик и позволяват конфигуриране на филтри, които разрешават или блокират комуникациите.

„Таблицата с дръжките на друг процес може да бъде извлечена чрез извикване на NtQueryInformationProcess“, каза Бен Ижак. „Тази таблица съдържа списък с токените, притежавани от процеса. Дръжките на тези токени могат да бъдат дублирани за друг процес, за да ескалира до SYSTEM.“

Докато токените за достъп служат за идентифициране на потребителя, участващ при изпълнението на привилегирована задача, зловреден софтуер, работещ в потребителски режим, може да получи достъп до токените на други процеси, използвайки специфични функции (например DuplicateToken или DuplicateHandle), и след това да използва този токен за стартиране на дъщерен процес с привилегии на SYSTEM.

Но гореспоменатата техника, според фирмата за киберсигурност, може да бъде модифицирана, за да извърши дублирането в ядрото чрез WFP, което я прави едновременно уклончива и скрита, като не оставя почти никакви доказателства или логове.

С други думи, NoFilter може да стартира нова конзола като „NT AUTHORITY\SYSTEM“ или като друг потребител, който е влязъл в машината.

„Изводът е, че нови вектори за атаки могат да бъдат открити чрез разглеждане на вградени компоненти на операционната система, като например платформата за филтриране на Windows“, казва Бен Ижак, като добавя, че методите „избягват WinAPI, които се наблюдават от продуктите за сигурност“.

Източник: The Hacker News

Подобни публикации

18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
17 април 2024

Последни тенденции при зловредния софтуер

В днешната дигитална ера киберсигурността се превърна в постоянна г...
17 април 2024

FTC налага глоби на стартъпа за психично здраве...

Федералната търговска комисия на САЩ (FTC) разпореди на компанията ...
17 април 2024

BMC на Intel и Lenovo съдържат непоправен недос...

Нови открития на Binarly показват, че пропуск в сигурността, засяга...
Бъдете социални
Още по темата
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
17/04/2024

Последни тенденции при злов...

В днешната дигитална ера киберсигурността се...
17/04/2024

Пробивът на паролите в Sise...

Експертите се опасяват, че компрометирането на...
Последно добавени
18/04/2024

Вариант на LockBit 3.0 гене...

Изследователите на Kaspersky са открили новия...
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!