WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Tấn công NoFilter cho phép leo thang đặc quyền trên Windows mà không bị phát hiện
Một kỹ thuật tấn công mới vừa được phát hiện có tên NoFilter, lạm dụng nền tảng Windows Filtering Platform (WFP) để leo thang đặc quyền trên hệ điều hành Windows.
Phát hiện này được các chuyên gia đến từ Công ty Deep Instinct trình bày tại Hội thảo an ninh DEFCON vừa kết thúc tại Mỹ.
WFP là một bộ các dịch vụ API và hệ thống được sử dụng để xử lý lưu lượng mạng và cho phép cấu hình các bộ lọc để cấp phép hoặc chặn các giao tiếp.
Với kỹ thuật tấn công mới này, tin tặc khi đã xâm nhập được vào máy nạn nhân sẽ tiến hành cài đặt một file độc hại có tên NoFilter.exe để nâng từ quyền admin lên SYSTEM (hệ thống).
Nói cách khác, NoFilter có thể khởi chạy bảng điều khiển mới với tư cách là "NT AUTHORITY\SYSTEM" hoặc một người dùng khác khi đã truy cập được vào thiết bị.
Kỹ thuật nói ở trên có thể bị chỉnh sửa để thực hiện nhân bản trong nhân qua WFP, khiến nó vừa lẩn tránh, vừa tàng hình và hầu như không để lại bất kỳ bằng chứng hay nhật ký nào. Người dùng có thể tham khảo phân tích chi tiết về kỹ thuật này tại đây.
Cần lưu ý là kỹ thuật NoFilter có thể lạm dụng các thành phần được tích hợp sẵn trong hệ điều hành như WFP nhưng tránh WinAPI được giám sát bởi các sản phẩm an ninh.
Phát hiện này được các chuyên gia đến từ Công ty Deep Instinct trình bày tại Hội thảo an ninh DEFCON vừa kết thúc tại Mỹ.
WFP là một bộ các dịch vụ API và hệ thống được sử dụng để xử lý lưu lượng mạng và cho phép cấu hình các bộ lọc để cấp phép hoặc chặn các giao tiếp.
Với kỹ thuật tấn công mới này, tin tặc khi đã xâm nhập được vào máy nạn nhân sẽ tiến hành cài đặt một file độc hại có tên NoFilter.exe để nâng từ quyền admin lên SYSTEM (hệ thống).
Nói cách khác, NoFilter có thể khởi chạy bảng điều khiển mới với tư cách là "NT AUTHORITY\SYSTEM" hoặc một người dùng khác khi đã truy cập được vào thiết bị.
Kỹ thuật nói ở trên có thể bị chỉnh sửa để thực hiện nhân bản trong nhân qua WFP, khiến nó vừa lẩn tránh, vừa tàng hình và hầu như không để lại bất kỳ bằng chứng hay nhật ký nào. Người dùng có thể tham khảo phân tích chi tiết về kỹ thuật này tại đây.
Cần lưu ý là kỹ thuật NoFilter có thể lạm dụng các thành phần được tích hợp sẵn trong hệ điều hành như WFP nhưng tránh WinAPI được giám sát bởi các sản phẩm an ninh.
Theo The Hacker News