Установено е, че неоткрит досега метод за атака, наречен NoFilter, използва платформата за филтриране на Windows (WFP), за да постигне повишаване на привилегиите в операционната система Windows.
„Ако атакуващият има възможност да изпълнява код с администраторски привилегии и целта е да извърши LSASS Shtinkering, тези привилегии не са достатъчни“, казва Рон Бен Ижак, изследовател по сигурността в Deep Instinct, пред The Hacker News.
„Изисква се стартиране като „NT AUTHORITY\SYSTEM“. Техниките, описани в това изследване, могат да доведат до ескалация от администратор до SYSTEM“.
Откритията бяха представени на конференцията по сигурността DEF CON през уикенда.
Отправната точка на изследването е вътрешен инструмент, наречен RPC Mapper, който компанията за киберсигурност е използвала за картографиране на методите за отдалечено извикване на процедури (RPC), по-конкретно тези, които извикват WinAPI, което е довело до откриването на метод, наречен „BfeRpcOpenToken“, който е част от WFP.
WFP е набор от API и системни услуги, които се използват за обработка на мрежовия трафик и позволяват конфигуриране на филтри, които разрешават или блокират комуникациите.
„Таблицата с дръжките на друг процес може да бъде извлечена чрез извикване на NtQueryInformationProcess“, каза Бен Ижак. „Тази таблица съдържа списък с токените, притежавани от процеса. Дръжките на тези токени могат да бъдат дублирани за друг процес, за да ескалира до SYSTEM.“
Докато токените за достъп служат за идентифициране на потребителя, участващ при изпълнението на привилегирована задача, зловреден софтуер, работещ в потребителски режим, може да получи достъп до токените на други процеси, използвайки специфични функции (например DuplicateToken или DuplicateHandle), и след това да използва този токен за стартиране на дъщерен процес с привилегии на SYSTEM.
Но гореспоменатата техника, според фирмата за киберсигурност, може да бъде модифицирана, за да извърши дублирането в ядрото чрез WFP, което я прави едновременно уклончива и скрита, като не оставя почти никакви доказателства или логове.
С други думи, NoFilter може да стартира нова конзола като „NT AUTHORITY\SYSTEM“ или като друг потребител, който е влязъл в машината.
„Изводът е, че нови вектори за атаки могат да бъдат открити чрез разглеждане на вградени компоненти на операционната система, като например платформата за филтриране на Windows“, казва Бен Ижак, като добавя, че методите „избягват WinAPI, които се наблюдават от продуктите за сигурност“.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
