Một phương pháp tấn công chưa từng được biết đến trước đây có tên “NoFilter” đã được phát hiện lợi dụng Windows Filtering Platform (WFP) để thực hiện leo thang đặc quyền trong hệ điều hành Windows. Ron Ben Yizhak – một nhà nghiên cứu bảo mật tại Deep Instinct cho biết, nếu kẻ tấn công có khả năng thực thi mã với quyền quản trị (admin) và mục tiêu là thực hiện LSASS Shtinkering, thì những đặc quyền này là không đủ mà bắt buộc phải chạy dưới quyền NT AUTHORITY\SYSTEM. Các kỹ thuật này hoàn toàn có thể leo thang từ đặc quyền quản trị lên quyền hệ thống (SYSTEM).
WFP là một tập hợp API và các dịch vụ hệ thống, được sử dụng để xử lý lưu lượng mạng và cấu hình các bộ lọc cho phép hoặc chặn các giao tiếp. Ben Yizhak cũng cho biết, việc gọi NtQueryInformationProcess có thể giúp truy xuất được bảng xử lý của một tiến trình khác. Bảng này liệt kê các token mà tiến trình đang lưu giữ và những xử lý đến các token đó có thể được nhân bản cho một tiến trình khác để leo lên quyền SYSTEM. Trong khi các token truy cập được sử dụng để xác định người dùng thực hiện một tác vụ có đặc quyền, một phần mã độc chạy trong chế độ người dùng có thể truy cập các token của các tiến trình khác bằng cách sử dụng các hàm cụ thể (ví dụ như DuplicateToken hoặc DuplicateHandle), sau đó sử dụng token đó để khởi chạy một tiến trình con với các đặc quyền hệ thống.
Tuy nhiên, kỹ thuật này có thể được điều chỉnh để thực hiện nhân bản trong nhân (kernel) thông qua WFP, khiến nó tự ẩn nấp một cách tinh vi bằng cách hầu như không để lại bất kỳ dấu vết hoặc nhật ký nào. Hay nói cách khác, NoFilter có thể khởi chạy một cửa sổ điều khiển (console) mới với tư cách là “NT AUTHORITY\SYSTEM” hoặc dưới dạng người dùng khác đã đăng nhập vào máy.
Nhìn chung, điểm quan trọng là ta có thể tìm ra các phương pháp tấn công mới bằng cách tiếp tục nghiên cứu xem xét các thành phần tích hợp sẵn trong hệ điều hành, chẳng hạn như Windows Filtering Platform. Ngoài ra, các phương pháp tấn công này cũng tránh sử dụng giao diện lập trình ứng dụng (WinAPI) mà các sản phẩm bảo mật giám sát, phát hiện các hoạt động bất thường.
Nguồn: https://thehackernews.com/