Nuevas técnicas sigilosas permiten a los piratas informáticos obtener privilegios del SISTEMA Windows

Los investigadores de seguridad han lanzado NoFilter, una herramienta que abusa de la plataforma de filtrado de Windows para elevar los privilegios de un usuario a SISTEMA, el nivel de permiso más alto en Windows.

La utilidad es útil en escenarios posteriores a la explotación donde un atacante necesita ejecutar código malicioso con permisos más altos o moverse lateralmente en una red de la víctima mientras otro usuario ya inició sesión en el dispositivo infectado.

Microsoft define la Plataforma de filtrado de Windows (WFP) como "un conjunto de API y servicios de sistema que proporcionan una plataforma para crear aplicaciones de filtrado de red".

Los desarrolladores pueden utilizar la API de WFP para crear código que pueda filtrar o modificar datos de la red antes de que lleguen al destino, capacidades que se ven en herramientas de monitoreo de red, sistemas de detección de intrusiones o firewalls.

Los investigadores de la empresa de ciberseguridad Deep Instinct desarrollaron tres nuevos ataques para elevar los privilegios en una máquina con Windows sin dejar demasiadas pruebas y sin ser detectados por numerosos productos de seguridad.

El primer método permite el uso de WFP para duplicar tokens de acceso, las piezas de código que identifican a los usuarios y sus permisos en el contexto de seguridad de subprocesos y procesos.

Cuando un subproceso ejecuta una tarea privilegiada, los identificadores de seguridad verifican si el token asociado tiene el nivel de acceso requerido.

Ron Ben Yizhak, investigador de seguridad de Deep Instinct, explica que llamar a la función NtQueryInformationProcess permite obtener la tabla de identificadores con todos los tokens que contiene un proceso.

"Los identificadores de esos tokens se pueden duplicar para que otro proceso escale al SISTEMA", señala Yizhak en una publicación técnica del blog.

El investigador explica que un controlador importante en el sistema operativo Windows llamado tcpip.sys tiene varias funciones que podrían ser invocadas por solicitudes de E/S del dispositivo a capas de modo kernel WPF ALE (Application Layer Enforcement) para filtrado de estado.

“La solicitud de E/S del dispositivo se envía para llamar a WfpAleProcessTokenReference. Se adjuntará al espacio de direcciones del servicio, duplicará el token del servicio que pertenece al SISTEMA y lo almacenará en la tabla hash” - Ron Ben Yizhak

La herramienta NoFilter abusa de WPF de esta manera para duplicar un token y así lograr una escalada de privilegios.

Al evitar la llamada a DuplicateHandle, dice el investigador, se aumenta el sigilo y muchas soluciones de respuesta y detección de endpoints probablemente pasarán por alto la acción maliciosa.

Una segunda técnica implica activar una conexión IPSec y abusar del servicio Print Spooler para insertar un token de SISTEMA en la tabla.

El uso de la función RpcOpenPrinter recupera -handle para una impresora por nombre. Al cambiar el nombre a "\\127.0.0.1", el servicio se conecta al host local.

Después de la llamada RPC, se necesitan varias solicitudes de E/S del dispositivo a WfpAleQueryTokenById para recuperar un token del SISTEMA.

Yizhak dice que este método es más sigiloso que el primero porque la configuración de una política IPSec es una acción que normalmente realizan usuarios legítimos privilegiados, como administradores de red.

“Además, la política no altera la comunicación; ningún servicio debería verse afectado por esto y las soluciones EDR que monitorean la actividad de la red probablemente ignorarán las conexiones al host local”.

Una tercera técnica descrita en la publicación de Yizhak permite obtener el token de otro usuario que haya iniciado sesión en el sistema comprometido para fines de movimiento lateral.

El investigador dice que es posible iniciar un proceso con los permisos de un usuario que ha iniciado sesión si el token de acceso se puede agregar a la tabla hash.

Buscó servidores de llamadas a procedimientos remotos (RPC) que se ejecutaban como el usuario que había iniciado sesión y ejecutó un script para encontrar procesos que se ejecutaban como administrador del dominio y exponían una interfaz RPC.

Para obtener el token e iniciar un proceso arbitrario con los permisos de un usuario registrado, el investigador abusó del servicio OneSyncSvc y SyncController.dll, que son componentes nuevos en el mundo de las herramientas ofensivas.

Es probable que los piratas informáticos y los evaluadores de penetración adopten las tres técnicas, ya que al informarlas al Centro de respuesta de seguridad de Microsoft, la empresa dijo que el comportamiento fue el previsto. Por lo general, esto significa que no habrá una solución o mitigación.

Sin embargo, a pesar de ser más sigiloso que otros métodos, Deep Instinct proporciona algunas formas de detectar los tres ataques y recomienda buscar los siguientes eventos:

Yizhak presentó las tres nuevas técnicas en la conferencia de hackers DEF CON a principios de este mes. Los detalles técnicos completos están disponibles en la publicación de Deep Instinct.

El error de elevación del Super Admin pone en riesgo 900.000 dispositivos MikroTik

El error de Google Cloud Build permite a los piratas informáticos lanzar ataques a la cadena de suministro

MSI: Ola reciente de pantallas azules de Windows vinculadas a placas base MSI

Las nuevas actualizaciones de Windows provocan pantallas azules en UNSUPPORTED_PROCESSOR

Actualización de vista previa de Windows 11 KB5029351 lanzada con correcciones de búsqueda