NoFilter Attack: el método de escalada de privilegios furtivos omite la seguridad de Windows

Se ha descubierto que un método de ataque previamente no detectado llamado NoFilter abusa de la Plataforma de filtrado de Windows (WFP) para lograr la escalada de privilegios en el sistema operativo Windows.

“Si un atacante tiene la capacidad de ejecutar código con privilegios de administrador y el objetivo es realizar LSASS Shtinkering, estos privilegios no son suficientes”, dijo Ron Ben Yizhak, investigador de seguridad de Deep Instinct.

“Se requiere la ejecución como “NT AUTHORITY\SYSTEM”. Las técnicas descritas en esta investigación pueden escalar de admin a SYSTEM”.

Los hallazgos fueron presentados en la conferencia de seguridad DEF CON durante el fin de semana.

El punto de partida de la investigación es una herramienta interna llamada RPC Mapper, la compañía de ciberseguridad utilizada para mapear métodos de llamada a procedimiento remoto (RPC), específicamente aquellos que invocan WinAPI, lo que lleva al descubrimiento de un método llamado “BfeRpcOpenToken”, que forma parte del PMA.

WFP es un conjunto de API y servicios del sistema que se utiliza para procesar el tráfico de red y permitir la configuración de filtros que permiten o bloquean las comunicaciones.

“La tabla de identificadores de otro proceso se puede recuperar llamando a NtQueryInformationProcess“, dijo Ben Yizhak. “Esta tabla enumera los tokens mantenidos por el proceso. Los identificadores de esos tokens se pueden duplicar para que otro proceso se escale a SYSTEM”.

Mientras que los tokens de acceso sirven para identificar al usuario involucrado cuando se ejecuta una tarea privilegiada, una pieza de malware que se ejecuta en modo de usuario puede acceder a tokens de otros procesos utilizando funciones específicas (por ejemplo, DuplicateToken o DuplicateHandle) y luego usar ese token para iniciar un proceso hijo con privilegios SYSTEM.

Pero la técnica antes mencionada, según la firma de ciberseguridad, se puede modificar para realizar la duplicación en el kernel a través de WFP, lo que la hace evasiva y sigilosa al dejar apenas evidencia o registros.

En otras palabras, NoFilter puede iniciar una nueva consola como “NT AUTHORITY\SYSTEM” o como otro usuario que ha iniciado sesión en la máquina.

“La conclusión es que se pueden encontrar nuevos vectores de ataque al observar los componentes integrados del sistema operativo, como la plataforma de filtrado de Windows”, dijo Ben Yizhak, y agregó que los métodos “evitan WinAPI que son monitoreados por productos de seguridad”.

La revelación se produce cuando SafeBreach reveló enfoques novedosos que podrían ser abusados por un actor de amenazas para cifrar archivos sin ejecutar código en el punto final objetivo utilizando un ransomware basado en la nube (DoubleDrive), neutralizar el agente de detección y respuesta de punto final (EDR) de Windows Defender y permitir que cualquier código malicioso se ejecute sin ser detectado (Defender-Pretender) y eliminar de forma remota bases de datos completas de servidores completamente parcheados (Borrar datos de forma remota).

También sigue el lanzamiento de ShorSec de una prueba de concepto (PoC) para una nueva técnica de inyección de procesos “sin hilos” que utiliza devoluciones de llamada de notificación de DLL en procesos remotos para desencadenar la ejecución de shellcode y evadir las detecciones de inyección de procesos por parte de las soluciones de seguridad.

Related Posts
Clear Filters

A malicious actor released a fake proof-of-concept (PoC) exploit for a recently disclosed WinRAR vulnerability on GitHub with an aim…

GitLab ha enviado parches de seguridad para resolver una falla crítica que permite a un atacante ejecutar pipelines como otro usuario….

Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.