Adı verilen önceden tespit edilmemiş bir saldırı yöntemi Filtresiz Windows Filtreleme Platformunu kötüye kullandığı tespit edildi (WFP) Windows işletim sisteminde ayrıcalık artışı elde etmek için.
“Bir saldırgan, yönetici ayrıcalığına sahip kod yürütme yeteneğine sahipse ve hedef, LSASS UyuşmazlıkDeep Instinct’te güvenlik araştırmacısı olan Ron Ben Yizhak, The Hacker News’e verdiği demeçte, bu ayrıcalıklar yeterli değil” dedi.
“‘NT AUTHORITYSYSTEM’ olarak çalıştırmak gereklidir. Bu araştırmada açıklanan teknikler, yöneticiden SİSTEM’e yükseltilebilir.”
bu bulgular hafta sonu DEF CON güvenlik konferansında sunuldu.
Başlangıç noktası araştırma siber güvenlik şirketi tarafından uzaktan prosedür çağrısını (RPC) yöntemler, özellikle çağıranlar Win API’siWFP’nin bir parçası olan “BfeRpcOpenToken” adlı bir yöntemin keşfedilmesine yol açar.
WFP bir API ve sistem hizmetleri kümesi ağ trafiğini işlemek ve iletişime izin veren veya engelleyen filtrelerin yapılandırılmasına izin vermek için kullanılır.
“Başka bir işlemin tutamaç tablosu çağrılarak alınabilir. NtQueryBilgiSüreci,” dedi Ben Yizhak. “Bu tablo, süreç tarafından tutulan jetonları listeler. Bu belirteçlerin tanıtıcıları, başka bir işlemin SİSTEM’e yükseltilmesi için çoğaltılabilir.”
Erişim belirteçleri, ayrıcalıklı bir görev yürütüldüğünde ilgili kullanıcıyı tanımlamaya hizmet ederken, kullanıcı modunda çalışan bir kötü amaçlı yazılım, belirli işlevleri (örn. DuplicateToken veya DuplicateHandle) kullanarak diğer işlemlerin belirteçlerine erişebilir ve ardından bu belirteci bir alt işlem başlatmak için kullanabilir. SİSTEM ayrıcalıklarıyla.
Ancak siber güvenlik firmasına göre yukarıda belirtilen teknik, çekirdekte çoğaltmayı WFP aracılığıyla gerçekleştirecek şekilde değiştirilebilir, bu da onu neredeyse hiç kanıt veya günlük bırakmadan hem kaçamak hem de gizli hale getirir.
Başka bir deyişle, NoFilter “NT AUTHORITYSYSTEM” olarak veya makinede oturum açmış başka bir kullanıcı olarak yeni bir konsol başlatabilir.
Ben Yizhak, “Güvenlik ürünleri tarafından izlenen WinAPI’den kaçının” yöntemlerini ekleyerek, “Paket servisi, Windows Filtreleme Platformu gibi işletim sisteminin yerleşik bileşenlerine bakılarak yeni saldırı vektörlerinin bulunabileceğidir.”
