Une méthode d’attaque précédemment non détectée appelée Pas de filtre s’est avéré abuser de la plate-forme de filtrage Windows (PAM) pour obtenir une élévation des privilèges dans le système d’exploitation Windows.
« Si un attaquant a la capacité d’exécuter du code avec des privilèges d’administrateur et que la cible est d’effectuer LSASS Shtinkeringces privilèges ne suffisent pas », a déclaré Ron Ben Yizhak, chercheur en sécurité chez Deep Instinct, à The Hacker News.
« L’exécution en tant que « NT AUTHORITYSYSTEM » est requise. Les techniques décrites dans cette recherche peuvent passer de l’administrateur au SYSTÈME. »
Le résultats ont été présentés lors de la conférence sur la sécurité DEF CON au cours du week-end.
Le point de départ de la recherche est un outil interne appelé RPC Mapper utilisé par la société de cybersécurité pour cartographier les appels de procédure à distance (RPC), en particulier celles qui appellent WinAPIconduisant à la découverte d’une méthode nommée « BfeRpcOpenToken », qui fait partie de WFP.
Le PAM est un ensemble d’API et de services système qui est utilisé pour traiter le trafic réseau et permettre la configuration de filtres qui autorisent ou bloquent les communications.
« La table de descripteurs d’un autre processus peut être récupérée en appelant NtQueryInformationProcess« , a déclaré Ben Yizhak. « Ce tableau répertorie les jetons détenus par le processus. Les descripteurs de ces jetons peuvent être dupliqués pour qu’un autre processus passe à SYSTEM. »
Alors que les jetons d’accès servent à identifier l’utilisateur impliqué lors de l’exécution d’une tâche privilégiée, un logiciel malveillant s’exécutant en mode utilisateur peut accéder aux jetons d’autres processus à l’aide de fonctions spécifiques (par exemple, DuplicateToken ou DuplicateHandle), puis utiliser ce jeton pour lancer un processus enfant. avec les privilèges SYSTEM.
Mais la technique susmentionnée, selon la société de cybersécurité, peut être modifiée pour effectuer la duplication dans le noyau via WFP, ce qui la rend à la fois évasive et furtive en ne laissant pratiquement aucune preuve ou journal.
En d’autres termes, le NoFilter peut lancer une nouvelle console en tant que « NT AUTHORITYSYSTEM » ou en tant qu’un autre utilisateur connecté à la machine.
« La conclusion est que de nouveaux vecteurs d’attaque peuvent être trouvés en examinant les composants intégrés du système d’exploitation, tels que la plate-forme de filtrage Windows », a déclaré Ben Yizhak, ajoutant que les méthodes « évitent WinAPI qui sont surveillées par des produits de sécurité ».