安全研究人員近日研發了名為 NoFilter 的工具,通過濫用 Windows 篩選平台(WFP),可以將使用者權限提升到 SYSTEM 等級(Windows 上的最高權限等級)。
WFP API 允許開發人員編寫與在作業系統網路堆疊中的多個層發生的封包處理進行互動的程式碼,可以在網路資料到達目標之前對其進行篩選和修改。
網路安全公司 Deep Instinct 的研究人員開發了三種新的攻擊方法,在不留下太多痕跡、且不會被主流安全產品檢測到的情況下,提升使用者在 Windows 裝置上的權限。
第一種方式使用 WFP 來複製訪問令牌(用於識別使用者權限的程式碼),通過呼叫 NtQueryInformationProcess 函數獲取訪問令牌,然後再複製到要執行的任務中。
第二種技術涉及觸發 IPSec 連接並濫用 Print Spooler 服務,然後將 SYSTEM 令牌插入到表中。
該工具使用 RpcOpenPrinter 函數按名稱檢索印表機的-handle。通過將名稱更改為“\\127.0.0.1”,服務將連接到本地主機。
呼叫 RPC 之後,檢索 WfpAleQueryTokenById 的多個裝置 IO 請求,從而獲取 SYSTEM 令牌。
第三種技術獲得登錄到受損系統的另一個使用者的令牌,操縱使用者服務。
研究人員表示,如果可以將訪問令牌新增到雜湊表中,則可以使用登錄使用者的權限啟動處理程序。
他尋找以登錄使用者身份運行的遠端過程呼叫(RPC)伺服器,並運行一個指令碼來尋找以域管理員身份運行的處理程序,並公開一個 RPC 介面。
研究人員濫用了 OneSyncSvc 服務和 SyncController.dll,從而使用登錄使用者的權限啟動任意處理程序。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!