Willkommen |
|
|
|
myGully |
|
|
Links |
|
|
|
Forum |
|
|
|
|
 |
19.08.23, 07:06
|
#1
|
|
das Muster ist das Muster
Registriert seit: Apr 2011
Ort: Schwarzwald
Beiträge: 2.964
Bedankt: 3.446
|
Rechteausweitung: Windows-Angriffstechnik bleibt oftmals unerkannt
Zitat:
Rechteausweitung: Windows-Angriffstechnik bleibt oftmals unerkannt
Ein Forscherteam hat auf der Defcon eine Angriffstechnik vorgestellt, mit der sich Hacker unter Windows Systemrechte verschaffen können.
Sicherheitsforscher von Deep Instinct haben auf der Hackerkonferenz Defcon 2023 eine Angriffstechnik demonstriert, die es böswilligen Akteuren erlaubt, ihre Rechte auf Windows-Systemen auszuweiten. Ebenso wie viele andere Techniken zur Privilegienerweiterung basiere die Nofilter genannte Methode demnach auf der Manipulation von Diensten sowie der Duplizierung von Token. Das Forscherteam nahm dafür die Windows Filtering Platform (WFP) ins Visier, über die das Betriebssystem den Netzwerkverkehr abwickelt.
Wie die Forscher in ihrem Bericht erklären, verfügt die WFP über eine eigene API, mit der der Datenverkehr auf jeder Ebene des Systems auf Basis verschiedener Parameter blockiert oder zugelassen werden kann. Ferner bestehe das Tool aus mehreren Komponenten wie einer Basic Filtering Engine, einem TCPIP-Treiber und dem IPSec-Protokoll, die das Team auf mögliche Schwachstellen analysiert habe.
Systemrechte durch duplizierte Token
Die Deep-Instinct-Forscher nutzten eine unternehmenseigene Software namens RPC Mapper, um RPC-Methoden (Remote Procedure Call) genauer zu untersuchen, die mit der Win-API in Verbindung standen. Sie stießen im Rahmen ihrer Untersuchungen auf verschiedene Möglichkeiten, Verweise auf bestimmte Zugriffstoken zu duplizieren und sich damit Systemrechte zu verschaffen. Dies sei etwa dadurch möglich, dass ein Angreifer diese Token mit einem eigenen Prozess verknüpfe.
Dabei sei es ihnen gelungen, den Aufruf einer Systemfunktion namens DuplicateHandle zu vermeiden, deren Verwendung üblicherweise verdächtig erscheine und daher "selbst von leistungsschwachen EDR-Lösungen erkannt werden" würde. Die Forscher konnten auch einen Drucker-Dienst missbrauchen, um durch "mehrere Geräte-IO-Anforderungen" an eine Methode namens WfpAleQueryTokenById die Rückgabe eines mit Systemrechten verbundenen Zugriffstokens zu erzwingen.
Angriffe an Ereignissen erkennbar
Die Forscher betonen in ihrem Bericht, ihre Angriffsmethode bewusst so entwickelt zu haben, dass diese "so unauffällig wie möglich" und daher von vielen gängigen Sicherheitslösungen unerkannt bleibe. Dennoch sei es möglich, einen Angriff zu erkennen, indem gezielt nach bestimmten Ereignissen gesucht werde – darunter beispielsweise solche, die auf Konfigurationsänderungen an IPSec-Richtlinien, RPC-Aufrufe an Spooler oder bestimmte Ein- und Ausgabeoperationen hinweisen.
Abschließend erklären die Sicherheitsforscher, ihre Entdeckungen bereits an das Microsoft Security Response Center gemeldet zu haben. Dem Redmonder Konzern zufolge sei das von den Forschern entdeckte Verhalten allerdings "beabsichtigt".
|
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
|
|
|
|
Folgendes Mitglied bedankte sich bei ziesell:
|
|
Forumregeln
|
Du kannst keine neue Themen eröffnen
Du kannst keine Antworten verfassen
Du kannst keine Anhänge posten
Du kannst nicht deine Beiträge editieren
HTML-Code ist Aus.
|
|
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 12:09 Uhr.
().
|
Linear-Darstellung
