Установено е, че неоткрит досега метод за атака, наречен NoFilter, използва платформата за филтриране на Windows (WFP), за да постигне повишаване на привилегиите в операционната система Windows.
„Ако атакуващият има възможност да изпълнява код с администраторски привилегии и целта е да извърши LSASS Shtinkering, тези привилегии не са достатъчни“, казва Рон Бен Ижак, изследовател по сигурността в Deep Instinct, пред The Hacker News.
„Изисква се стартиране като „NT AUTHORITYSYSTEM“. Техниките, описани в това изследване, могат да доведат до ескалация от администратор до SYSTEM“.
Откритията бяха представени на конференцията по сигурността DEF CON през уикенда.
Отправната точка на изследването е вътрешен инструмент, наречен RPC Mapper, който компанията за киберсигурност е използвала за картографиране на методите за отдалечено извикване на процедури (RPC), по-конкретно тези, които извикват WinAPI, което е довело до откриването на метод, наречен „BfeRpcOpenToken“, който е част от WFP.
WFP е набор от API и системни услуги, които се използват за обработка на мрежовия трафик и позволяват конфигуриране на филтри, които разрешават или блокират комуникациите.
„Таблицата с дръжките на друг процес може да бъде извлечена чрез извикване на NtQueryInformationProcess“, каза Бен Ижак. „Тази таблица съдържа списък с токените, притежавани от процеса. Дръжките на тези токени могат да бъдат дублирани за друг процес, за да ескалира до SYSTEM.“
Докато токените за достъп служат за идентифициране на потребителя, участващ при изпълнението на привилегирована задача, зловреден софтуер, работещ в потребителски режим, може да получи достъп до токените на други процеси, използвайки специфични функции (например DuplicateToken или DuplicateHandle), и след това да използва този токен за стартиране на дъщерен процес с привилегии на SYSTEM.
Но гореспоменатата техника, според фирмата за киберсигурност, може да бъде модифицирана, за да извърши дублирането в ядрото чрез WFP, което я прави едновременно уклончива и скрита, като не оставя почти никакви доказателства или логове.
С други думи, NoFilter може да стартира нова конзола като „NT AUTHORITYSYSTEM“ или като друг потребител, който е влязъл в машината.
„Изводът е, че нови вектори за атаки могат да бъдат открити чрез разглеждане на вградени компоненти на операционната система, като например платформата за филтриране на Windows“, казва Бен Ижак, като добавя, че методите „избягват WinAPI, които се наблюдават от продуктите за сигурност“.
