Güvenlik araştırmacıları, bir kullanıcının ayrıcalıklarını, Windows'taki en yüksek izin seviyesi olan sisteme olan ayrıcalıkları artırmak için Windows filtreleme platformunu kötüye kullanan bir araç olan Nofilter'ı yayınladı.
Yardımcı, bir saldırganın daha yüksek izinlerle kötü amaçlı kod yürütmesi veya enfekte olmuş cihaza giriş yapmış başka bir kullanıcı gibi bir kurban ağında yanal olarak hareket etmesi gereken sisma sonrası senaryolarda yardımcı olur.
Microsoft, Windows Filtreleme Platformunu (WFP) “ağ filtreleme uygulamaları oluşturmak için bir platform sağlayan bir API ve sistem hizmeti kümesi” olarak tanımlar.
Geliştiriciler, ağ verilerini hedefe ulaşmadan önce filtreleyebilen veya değiştirebilen kod oluşturmak için WFP API'sını kullanabilir, ağ izleme araçlarında, saldırı algılama sistemlerinde veya güvenlik duvarlarında görülen özellikler.
Siber güvenlik şirketi Deep Instinct'teki araştırmacılar, çok fazla kanıt bırakmadan ve çok sayıda güvenlik ürünü tarafından tespit edilmeden bir Windows makinesindeki ayrıcalıkları yükseltmek için üç yeni saldırı geliştirdiler.
İlk yöntem, WFP'nin erişim belirteçlerini çoğaltmak için kullanılmasına, kullanıcıları tanımlayan kod parçalarını ve ipliklerin ve süreçlerin güvenlik bağlamındaki izinlerini kullanmaya izin verir.
Bir iş parçacığı ayrıcalıklı bir görev yürüttüğünde, güvenlik tanımlayıcıları ilişkili belirtecin gerekli erişim seviyesine sahip olup olmadığını doğrulayın.
Deep Instinct'in güvenlik araştırmacısı Ron Ben Yizhak, NTQueryInformationProcess işlevini çağırmanın, bir sürecin sahip olduğu tüm jetonlarla tutamak tablosunu almaya izin verdiğini açıklıyor.
Yizhak, “Bu jetonların kulpları, başka bir sürecin sisteme yükselmesi için kopyalanabilir” diyor.
Araştırmacı, TCPIP.SYS adlı Windows işletim sistemindeki önemli bir sürücünün, WPF ALE (Uygulama Katmanı Uygulama) Çekirdek Modu katmanlarına cihaz IO istekleri tarafından çağrılabilecek çeşitli işlevlere sahip olduğunu açıklıyor.
“Cihaz IO isteği, WFPALEPROCESSTOKENREFERECE çağrısında gönderilir. Hizmetin adres alanına bağlanacak, sisteme ait hizmetin jetonunu çoğaltacak ve onu hash tablosunda saklayacak ” - Ron Ben Yizhak
Nofilter aracı, WPF'yi bir jetonu çoğaltmak ve böylece ayrıcalık artışı elde etmek için bu şekilde kötüye kullanır.
Araştırmacı, DuplicateHandle çağrısından kaçınarak gizliliğin arttığını ve birçok uç nokta tespiti ve yanıt çözümünün muhtemelen kötü niyetli eylemi özleyeceğini söylüyor.
İkinci bir teknik, bir IPSEC bağlantısının tetiklenmesini ve tabloya bir sistem token eklemek için baskı makarısı hizmetinin kötüye kullanılmasını içerir.
RPCOPenPrinter işlevini kullanma, bir yazıcı için adla -Handle'yi alır. Adını “\\ 127.0.0.1” olarak değiştirerek, hizmet yerel ana bilgisayara bağlanır.
RPC çağrısını takiben, bir sistem jetonunu almak için WFPalequeryTokenByID'ye birden fazla cihaz IO isteği gereklidir.
Yizhak, bu yöntemin birincisinden daha gizli olduğunu söylüyor çünkü bir IPSEC politikası yapılandırmak, genellikle ağ yöneticileri gibi meşru ayrıcalıklı kullanıcılar tarafından yapılan bir eylemdir.
“Ayrıca, politika iletişimi değiştirmiyor; Hiçbir hizmet BT'den etkilenmemeli ve ağ etkinliğini izleyen EDR çözümleri büyük olasılıkla yerel ana bilgisayara bağlantıları görmezden gelecektir. ”
Yizhak’ın gönderisinde açıklanan üçüncü bir teknik, yanal hareket amaçları için uzlaşmış sisteme giriş yapan başka bir kullanıcının jetonunu elde etmesini sağlar.
Araştırmacı, erişim belirteci karma tablosuna eklenebiliyorsa, oturum açmış bir kullanıcının izinleriyle bir işlem başlatmanın mümkün olduğunu söylüyor.
Oturum açılı kullanıcı olarak çalışan uzaktan yordam çağrısı (RPC) sunucularını aradı ve etki alanı yöneticisi olarak çalışan ve bir RPC arayüzü açığa çıkaran işlemleri bulmak için bir komut dosyası çalıştırdı.
Girişli bir kullanıcının izinleri ile jeton elde etmek ve keyfi bir süreç başlatmak için araştırmacı, saldırgan araçlar dünyasında yeni bileşenler olan OnesyncSVC Hizmetini ve Synccontroller.dll'yi istismar etti.
Bilgisayar korsanları ve penetrasyon testçilerinin üç tekniği benimsemesi muhtemeldir, çünkü onları Microsoft Güvenlik Yanıt Merkezi'ne bildirmek, şirketin davranışın amaçlandığını söylemesiyle sonuçlanmıştır. Bu genellikle bir düzeltme veya hafifletme olmayacağı anlamına gelir.
Bununla birlikte, diğer yöntemlerden daha gizli olmasına rağmen, derin içgüdüsü üç saldırıyı tespit etmek için birkaç yol sağlar ve aşağıdaki olayları aramayı önerir:
Yizhak, bu ayın başlarında Def Con Hacker Konferansı'nda üç yeni tekniği sundu. Tam teknik detaylar Deep Instinct’in gönderisinde mevcuttur.
Süper Yönetici Yükseklik Hatası 900.000 Mikrotik Cihazını riske atıyor
Google Cloud Build Bug Hacker'ların tedarik zinciri saldırılarını başlatmasına izin veriyor
Yeni Windows güncellemeleri, desteklenmeyen işlemci mavi ekranlara neden olur
Windows 11 KB5029351 Önizleme Güncellemesi Arama düzeltmeleri ile yayınlandı
Gizli kötü amaçlı yazılım enfeksiyonları ile inşa edilmiş büyük 400.000 proxy botnet
Kaynak: Bleeping Computer