NoFilter攻击：滥用WFP的权限提升方法

一种以前未被检测到的名为NoFilter的攻击方法被发现滥用 Windows 过滤平台 ( WFP ) 以在 Windows 操作系统中实现权限升级。

Deep Instinct 的安全研究员 Ron Ben Yizhak 披露：“如果攻击者能够以管理员权限执行代码，并且目标是执行LSASS Shtinkering，那么这些权限是不够的。”

“需要以“NT AUTHORITY\SYSTEM”身份运行。本研究中描述的技术可以从管理员升级到系统。”

调查结果在周末的 DEF CON 安全会议上公布。

这项研究的起点是一个名为 RPC Mapper 的内部工具，该网络安全公司用于映射远程过程调用 ( RPC ) 方法，特别是那些调用WinAPI 的方法，从而发现了名为“BfeRpcOpenToken”的方法，该方法是粮食计划署。

WFP 是一组 API 和系统服务，用于处理网络流量并允许配置允许或阻止通信的过滤器。

“可以通过调用NtQueryInformationProcess来检索另一个进程的句柄表，”Ben Yizhak 说。“该表列出了该进程持有的令牌。这些令牌的句柄可以复制，以便另一个进程升级到 SYSTEM。”

虽然访问令牌用于识别执行特权任务时涉及的用户，但在用户模式下运行的恶意软件可以使用特定函数（例如，DuplicateToken 或 DuplicateHandle）访问其他进程的令牌，然后使用该令牌启动子进程具有系统权限。

但根据网络安全公司的说法，上述技术可以修改为通过世界粮食计划署在内核中执行复制，从而通过几乎不留下任何证据或日志来使其既规避又隐秘。

换句话说，NoFilter 可以作为“NT AUTHORITY\SYSTEM”或作为登录到计算机的其他用户启动新控制台。

Ben Yizhak 表示：“我们的结论是，可以通过研究操作系统的内置组件（例如 Windows 过滤平台）来发现新​​的攻击媒介。”他补充说，这些方法“避免使用安全产品监控的 WinAPI”。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7777.html