Se descubrió que un método de ataque no detectado previamente llamado NoFilter abusa de la plataforma de filtrado de Windows ( WFP ) para lograr una escalada de privilegios en el sistema operativo Windows.
«Si un atacante tiene la capacidad de ejecutar código con privilegios de administrador y el objetivo es realizar LSASS Shtinkering , estos privilegios no son suficientes», dijo a The Hacker News Ron Ben Yizhak, investigador de seguridad de Deep Instinct.
«Se requiere ejecutar como «NT AUTHORITY\SYSTEM». Las técnicas descritas en esta investigación pueden escalar de administrador a SISTEMA».
Los hallazgos se presentaron en la conferencia de seguridad DEF CON durante el fin de semana.
El punto de partida de la investigación es una herramienta interna llamada RPC Mapper, que la compañía de seguridad cibernética usó para mapear los métodos de llamada a procedimiento remoto ( RPC ), específicamente aquellos que invocan WinAPI , lo que llevó al descubrimiento de un método llamado «BfeRpcOpenToken», que es parte del PMA.
WFP es un conjunto de API y servicios del sistema que se utiliza para procesar el tráfico de red y permitir configurar filtros que permitan o bloqueen las comunicaciones.
«La tabla de identificadores de otro proceso se puede recuperar llamando a NtQueryInformationProcess «, dijo Ben Yizhak. «Esta tabla enumera los tokens que tiene el proceso. Los identificadores de esos tokens se pueden duplicar para que otro proceso escale a SYSTEM».
Mientras que los tokens de acceso sirven para identificar al usuario involucrado cuando se ejecuta una tarea privilegiada, una pieza de malware que se ejecuta en modo de usuario puede acceder a tokens de otros procesos usando funciones específicas (por ejemplo, DuplicateToken o DuplicateHandle) y luego usar ese token para iniciar un proceso secundario. con privilegios de SISTEMA.
Pero la técnica antes mencionada, según la firma de ciberseguridad, puede modificarse para realizar la duplicación en el kernel a través de WFP, haciéndola tanto evasiva como sigilosa al dejar apenas evidencia o registros.
En otras palabras, NoFilter puede iniciar una nueva consola como «NT AUTHORITY\SYSTEM» o como otro usuario que haya iniciado sesión en la máquina.
«La conclusión es que se pueden encontrar nuevos vectores de ataque al examinar los componentes integrados del sistema operativo, como la plataforma de filtrado de Windows», dijo Ben Yizhak, y agregó que los métodos «evitan WinAPI que son monitoreados por productos de seguridad».
Fuente y redacción: thehackernews.com
