De nouvelles découvertes montrent que des acteurs malveillants pourraient exploiter une technique sournoise d’évasion de la détection des logiciels malveillants et contourner les solutions de sécurité des points finaux en manipulant le cadre d’isolation des conteneurs Windows.
Les résultats ont été présentés par Daniel Avinoam, chercheur en sécurité chez Deep Instinct, lors de la conférence Conférence sur la sécurité DEF CON tenue au début du mois.
de Microsoft architecture de conteneur (et par extension, Bac à sable Windows) utilise ce qu’on appelle un image générée dynamiquement pour séparer le système de fichiers de chaque conteneur vers l’hôte et en même temps éviter la duplication des fichiers système.
Ce n’est rien d’autre qu’une « image du système d’exploitation qui contient des copies vierges de fichiers pouvant être modifiés, mais des liens vers des fichiers qui ne peuvent pas être modifiés qui se trouvent dans l’image Windows qui existe déjà sur l’hôte », réduisant ainsi la taille globale d’un système d’exploitation complet.
« Le résultat est des images contenant des ‘fichiers fantômes’, qui ne stockent aucune donnée réelle mais pointent vers un volume différent du système », Avinoam dit dans un rapport partagé avec The Hacker News. « C’est à ce moment-là que l’idée m’est venue : et si nous pouvions utiliser ce mécanisme de redirection pour obscurcir les opérations de notre système de fichiers et confondre les produits de sécurité ?
C’est là que le pilote de minifiltre Windows Container Isolation FS (wcifs.sys) entre en jeu. L’objectif principal du pilote est de s’occuper de la séparation du système de fichiers entre les conteneurs Windows et leur hôte.
En d’autres termes, le idée consiste à exécuter le processus actuel dans un conteneur fabriqué et à exploiter le pilote de minifiltre pour gérer les demandes d’E/S de manière à pouvoir créer, lire, écrire et supprimer des fichiers sur le système de fichiers sans alerter le logiciel de sécurité.
 |
| Source : Microsoft |
Il convient de souligner à ce stade qu’un minifiltre s’attache indirectement à la pile du système de fichiers, en s’enregistrant auprès du gestionnaire de filtres pour les opérations d’E/S qu’il choisit de filtrer. Chaque minifiltre est attribué une valeur d’altitude « entière » attribuée par Microsoft en fonction des exigences de filtre et du groupe d’ordre de chargement.
Le pilote wcifs a un plage d’altitude de 180 000 à 189 999 (en particulier 189 900), tandis que les filtres antivirus, y compris ceux de tiers, fonctionnent dans une plage d’altitude de 320 000 à 329 999. En conséquence, diverses opérations sur les fichiers peuvent être effectuées sans que leurs rappels soient déclenchés.
« Comme nous pouvons remplacer les fichiers à l’aide de la balise d’analyse IO_REPARSE_TAG_WCI_1 sans détection des pilotes antivirus, leur algorithme de détection ne recevra pas une image complète et ne se déclenchera donc pas », a expliqué Avinoam.
Cela dit, la réalisation de l’attaque nécessite des autorisations administratives pour communiquer avec le pilote wcifs et ne peut pas être utilisée pour remplacer des fichiers sur le système hôte.
La divulgation intervient alors que la société de cybersécurité a démontré une technique furtive appelée NoFilter qui abuse de la plate-forme de filtrage Windows (WFP) pour élever les privilèges d’un utilisateur à ceux de SYSTEM et potentiellement exécuter du code malveillant.
Les attaques permettent d’utiliser le PAM pour dupliquer des jetons d’accès pour un autre processus, déclencher une connexion IPSec et exploiter le service Print Spooler pour insérer un jeton SYSTEM dans la table et permettre d’obtenir le jeton d’un autre utilisateur connecté au système compromis. pour le mouvement latéral.