Pesquisadores de segurança lançaram o NoFilter, uma ferramenta que abusa da Plataforma de Filtragem do Windows para elevar os privilégios de um usuário ao nível de permissão SYSTEM, o mais alto no Windows.
A utilidade é útil em cenários pós-exploração onde um invasor precisa executar código malicioso com permissões mais altas ou para mover lateralmente em uma rede de vítimas como outro usuário já conectado ao dispositivo infectado.
A Microsoft define a Plataforma de Filtragem do Windows (WFP) como “um conjunto de API e serviços de sistema que fornecem uma plataforma para criar aplicativos de filtragem de rede”.
Os desenvolvedores podem usar a API do WFP para criar código que pode filtrar ou modificar os dados da rede antes de atingir o destino, capacidades observadas em ferramentas de monitoramento de rede, sistemas de detecção de intrusão ou firewalls.
Pesquisadores da empresa de cibersegurança Deep Instinct desenvolveram três novos ataques para elevar privilégios em uma máquina Windows sem deixar muitas evidências e sem ser detectado por vários produtos de segurança.
O primeiro método permite o uso do WFP para duplicar tokens de acesso, os pedaços de código que identificam usuários e suas permissões no contexto de segurança de threads e processos.
Quando uma thread executa uma tarefa privilegiada, os identificadores de segurança verificam se o token associado tem o nível de acesso necessário.
Ron Ben Yizhak, pesquisador de segurança da Deep Instinct, explica que chamar a função NtQueryInformationProcess permite obter a tabela de handle com todos os tokens que um processo possui.
“Os handles desses tokens podem ser duplicados para outro processo para escalar para SYSTEM ”, observa Yizhak em um post técnico no blog.
O pesquisador explica que um importante driver no sistema operacional Windows chamado tcpip.sys tem várias funções que podem ser invocadas por solicitações de dispositivo IO para WPF ALE (Application Layer Enforcement) níveis de modo de kernel para filtragem com estado.
A ferramenta NoFilter abusa do WPF dessa maneira para duplicar um token e, assim, conseguir a escalada de privilégios.
Ao evitar a chamada para DuplicateHandle, diz o pesquisador, aumenta a discrição e muitas soluções de detecção e resposta de endpoint provavelmente perderão a ação maliciosa.
Uma segunda técnica envolve a ativação de uma conexão IPSec e o abuso do serviço Print Spooler para inserir um token SYSTEM na tabela.
A utilização da função RpcOpenPrinter recupera um handle para uma impressora pelo nome.
Ao mudar o nome para “\\127[.]0.0.1”, o serviço se conecta ao host local.
Após a chamada RPC, várias solicitações de dispositivo IO para WfpAleQueryTokenById são necessárias para recuperar um token SYSTEM.
Yizhak diz que este método é mais discreto do que o primeiro porque configurar uma política IPSec é uma ação normalmente realizada por usuários privilegiados legítimos, como administradores de rede.
Uma terceira técnica descrita no post de Yizhak permite obter o token de outro usuário conectado ao sistema comprometido para fins de movimento lateral.
O pesquisador diz que é possível lançar um processo com as permissões de um usuário conectado se o token de acesso puder ser adicionado à tabela de hash.
Ele procurou por servidores de Chamada de Procedimento Remoto (RPC) rodando como o usuário conectado e executou um script para encontrar processos que rodam como administrador de domínio e expõem uma interface RPC.
Para obter o token e lançar um processo arbitrário com as permissões de um usuário logado, o pesquisador abusou do serviço OneSyncSvc e do SyncController.dll, que são novos componentes no mundo das ferramentas ofensivas.
Hackers e testadores de penetração provavelmente adotarão as três técnicas, pois relatá-las ao Microsoft Security Response Center resultou na empresa dizendo que o comportamento era como esperado.
Isso normalmente significa que não haverá uma correção ou mitigação.
No entanto, apesar de ser mais discreto do que outros métodos, a Deep Instinct fornece algumas maneiras de detectar os três ataques e recomenda a procura pelos seguintes eventos: Yizhak apresentou as três novas técnicas na conferência de hackers DEF CON no início deste mês.
Detalhes técnicos completos estão disponíveis no post da Deep Instinct.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...