Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Novas técnicas furtivas permitem que hackers obtenham privilégios de SISTEMA do Windows
Pesquisadores de segurança lançaram o NoFilter, uma ferramenta que abusa da Plataforma de Filtragem do Windows para elevar os privilégios de um usuário e aumentar os privilégios para SYSTEM, o nível de permissão mais alto no Windows.
O utilitário é útil em cenários pós-exploração, onde um invasor precisa executar código malicioso com permissões mais altas ou mover-se lateralmente na rede da vítima como outro usuário já conectado ao dispositivo infectado.
A Microsoft define a Windows Filtering Platform (WFP) como “um conjunto de API e serviços de sistema que fornecem uma plataforma para a criação de aplicativos de filtragem de rede”.
Os desenvolvedores podem usar a API do WFP para criar código que pode filtrar ou modificar dados de rede antes que cheguem ao destino, recursos vistos em ferramentas de monitoramento de rede, sistemas de detecção de intrusões ou firewalls.
Pesquisadores da empresa de segurança cibernética Deep Instinct desenvolveram três novos ataques para elevar privilégios em uma máquina Windows sem deixar muitas evidências e sem ser detectado por vários produtos de segurança.
O primeiro método permite o uso do WFP para duplicar tokens de acesso, os trechos de código que identificam os usuários e suas permissões no contexto de segurança de threads e processos.
Quando um thread executa uma tarefa privilegiada, os identificadores de segurança verificam se o token associado possui o nível de acesso necessário.
Ron Ben Yizhak, pesquisador de segurança da Deep Instinct, explica que chamar a função NtQueryInformationProcess permite obter a tabela de identificadores com todos os tokens que um processo contém.
“Os identificadores desses tokens podem ser duplicados para que outro processo seja escalado para SYSTEM”, observa Yizhak em uma postagem técnica no blog.
O pesquisador explica que um driver importante no sistema operacional Windows chamado tcpip.sys tem várias funções que podem ser invocadas por solicitações de IO de dispositivos para camadas de modo kernel WPF ALE (Application Layer Enforcement) para filtragem com estado.
“A solicitação de IO do dispositivo é enviada para chamar WfpAleProcessTokenReference. Ele será anexado ao espaço de endereço do serviço, duplicará o token do serviço que pertence ao SYSTEM e o armazenará na tabela hash” - Ron Ben Yizhak
A ferramenta NoFilter abusa do WPF dessa forma para duplicar um token e, assim, obter escalonamento de privilégios.
Ao evitar a chamada para DuplicateHandle, diz o pesquisador, aumenta a furtividade e muitas soluções de detecção e resposta de endpoint provavelmente perderão a ação maliciosa.
Uma segunda técnica envolve acionar uma conexão IPSec e abusar do serviço Print Spooler para inserir um token SYSTEM na tabela.
O uso da função RpcOpenPrinter recupera -handle para uma impressora por nome. Ao alterar o nome para “\127.0.0.1”, o serviço se conecta ao host local.
Após a chamada RPC, várias solicitações de E/S de dispositivo para WfpAleQueryTokenById são necessárias para recuperar um token SYSTEM.
Yizhak diz que este método é mais furtivo do que o primeiro porque configurar uma política IPSec é uma ação normalmente realizada por usuários legítimos e privilegiados, como administradores de rede.
“Além disso, a política não altera a comunicação; nenhum serviço deve ser afetado por isso e as soluções EDR que monitoram a atividade da rede provavelmente ignorarão as conexões com o host local.”
Uma terceira técnica descrita no post de Yizhak permite obter o token de outro usuário logado no sistema comprometido para fins de movimentação lateral.
O pesquisador afirma que é possível iniciar um processo com as permissões de um usuário logado se o token de acesso puder ser adicionado à tabela hash.
Ele procurou servidores de Chamada de Procedimento Remoto (RPC) em execução como usuário conectado e executou um script para localizar processos executados como administrador de domínio e expor uma interface RPC.
Para obter o token e iniciar um processo arbitrário com as permissões de um usuário logado, o pesquisador abusou do serviço OneSyncSvc e do SyncController.dll, novos componentes no mundo das ferramentas ofensivas.
É provável que hackers e testadores de penetração adotem as três técnicas, pois denunciá-las ao Centro de Resposta de Segurança da Microsoft resultou na empresa dizendo que o comportamento era o pretendido. Isso normalmente significa que não haverá uma correção ou mitigação.