2023-08-20 17:02:40
Атака NoFilter помогает повысить привилегии в Windows
Специалист компании Deep Instinct Рон Бен Ицхак
(Ron Ben Yizhak) представил на конференции
Defcon новую атаку
NoFilter, которая опирается на Windows Filtering Platform (WFP) для повышения привилегий в Windows.
Как объясняет эксперт, если у злоумышленника уже есть возможность выполнять код с правами администратора, но его целью является выполнение, например,
LSASS Shtinkering, таких привилегий будет недостаточно, потребуется запуск как NT AUTHORITY\SYSTEM. В таком случае атака
NoFilter позволит перейти от прав администратора к SYSTEM.
Отправной точкой для этого исследования послужил собственный инструмент компании под названием
RPC Mapper, который используется для сопоставления методов удаленного вызова процедур (
remote procedure call, RPC), особенно тех, которые вызывают
WinAPI. Он привел к обнаружению метода
BfeRpcOpenToken, который является частью
WFP.
Напомним, что
WFP представляет собой набор
API и системных сервисов, которые используются для обработки сетевого трафика и позволяют настраивать фильтры, разрешающие или блокирующие
коммуникации.
12.8K views14:02