🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Phát hiện phương pháp leo thang đặc quyền mới - NoFilter - cho phép vượt qua bảo mật của Windows

18/08/2023

Một phương pháp tấn công mới được phát hiện có tên là NoFilter đã lạm dụng Windows Filtering Platform (WFP) để thực hiện việc leo thang đặc quyền trong hệ điều hành Windows.

“Nếu kẻ tấn công có khả năng thực thi mã với quyền quản trị viên muốn thực hiện LSASS Shtinkering, thì những đặc quyền này là không đủ,” Ron Ben Yizhak, nhà nghiên cứu bảo mật tại Deep Instinct, cho biết.

"Việc thực thi với quyền "NT AUTHORITY\SYSTEM" là bắt buộc. Các kỹ thuật được mô tả trong nghiên cứu mới này có thể nâng quyền từ quản trị viên (admin) lên SYSTEM."

Những phát hiện đã được trình bày tại hội nghị bảo mật DEF CON vào cuối tuần qua.

Điểm khởi đầu của cuộc nghiên cứu là một công cụ nội bộ có tên RPC Mapper, được sử dụng để ánh xạ (map) các phương thức RPC (remote procedure call), cụ thể là các phương thức gọi WinAPI, dẫn đến việc phát hiện ra một phương thức có tên "BfeRpcOpenToken", là một phần của WFP.

WFP là một tập hợp các dịch vụ hệ thống và API được sử dụng để xử lý lưu lượng mạng và cho phép thiết lập cấu hình các bộ lọc để cho phép hoặc chặn truy cập.

“Bảng xử lý (handle table) của một tiến trình (process) khác có thể được truy xuất bằng cách gọi NtQueryInformationProcess,” Ben Yizhak cho biết. "Bảng này liệt kê các token do tiến trình nắm giữ. Các handle của các token đó có thể được sao chép cho một tiến trình khác để chuyển lên SYSTEM."

Các access token dùng để xác định người dùng có liên quan khi một tác vụ (task) đặc quyền được thực thi. Một phần mềm độc hại chạy ở chế độ người dùng (user mode) có thể truy cập token của tiến trình khác thông qua một số hàm, ví dụ như DuplicateToken hoặc DuplicateHandle, rồi sử dụng token đó để khởi chạy một tiến trình con với các đặc quyền SYSTEM.

Nguy hiểm hơn, theo công ty bảo mật, kỹ thuật trên có thể được sửa đổi để thực hiện sao chép trong kernel thông qua WFP, khiến nó có khả năng lẩn tránh và ‘tàng hình’ bởi hầu như nó không để lại bất kỳ dấu vết nào.

Nói cách khác, NoFilter có thể khởi chạy bảng điều khiển mới với quyền "NT AUTHORITY\SYSTEM" hoặc với tư cách là một người dùng đã đăng nhập khác.

Ben Yizhak cho biết "điều đáng chú ý là có thể tìm ra các phương thức tấn công mới dựa trên các thành phần tích hợp sẵn của HĐH, chẳng hạn như Windows Filtering Platform", đồng thời bổ sung các phương pháp "tránh WinAPI được giám sát bởi các sản phẩm bảo mật".

Nguồn: thehackernews.com.

scrolltop