Un método de ataque previamente no detectado llamado Sin filtro se ha descubierto que abusa de la plataforma de filtrado de Windows (PMA) para lograr la escalada de privilegios en el sistema operativo Windows.
«Si un atacante tiene la capacidad de ejecutar código con privilegios de administrador y el objetivo es realizar LSASS Shtinkeringestos privilegios no son suficientes», dijo Ron Ben Yizhak, investigador de seguridad de Deep Instinct, a The Hacker News.
«Se requiere ejecutar como «NT AUTHORITYSYSTEM». Las técnicas descritas en esta investigación pueden escalar de administrador a SISTEMA».
El recomendaciones fueron presentados en la conferencia de seguridad DEF CON durante el fin de semana.
El punto de partida de la investigación es una herramienta interna llamada RPC Mapper que la empresa de ciberseguridad utilizó para mapear llamadas de procedimientos remotos (RPC) métodos, específicamente aquellos que invocan WinAPIlo que llevó al descubrimiento de un método denominado «BfeRpcOpenToken», que forma parte de WFP.
El PMA es un conjunto de API y servicios del sistema que se utiliza para procesar el tráfico de red y permitir configurar filtros que permitan o bloqueen las comunicaciones.
«La tabla de identificadores de otro proceso se puede recuperar llamando NtQueryInformationProcessNtQueryInformationProcess«, dijo Ben Yizhak. «Esta tabla enumera los tokens retenidos por el proceso. Los identificadores de esos tokens se pueden duplicar para que otro proceso escale a SYSTEM».
Si bien los tokens de acceso sirven para identificar al usuario involucrado cuando se ejecuta una tarea privilegiada, una pieza de malware que se ejecuta en modo de usuario puede acceder a tokens de otros procesos usando funciones específicas (por ejemplo, DuplicateToken o DuplicateHandle) y luego usar ese token para iniciar un proceso secundario. con privilegios de SISTEMA.
Pero la técnica antes mencionada, según la firma de ciberseguridad, puede modificarse para realizar la duplicación en el kernel a través de WFP, haciéndola evasiva y sigilosa al dejar apenas evidencia o registros.
En otras palabras, NoFilter puede iniciar una nueva consola como «NT AUTHORITYSYSTEM» o como otro usuario que haya iniciado sesión en la máquina.
«La conclusión es que se pueden encontrar nuevos vectores de ataque examinando los componentes integrados del sistema operativo, como la plataforma de filtrado de Windows», dijo Ben Yizhak, y agregó que los métodos «evitan WinAPI que son monitoreados por productos de seguridad».