Haberler

Hackerlar, Yeni Tekniklerle Windows Sistem İzinlerini Ele Geçiriyor

Güvenlik araştırmacıları, NoFilter adlı bir araçla Windows Filtreleme Platformu’nu (WFP) kötüye kullanarak saldırganların kullanıcı izinlerini Windows’ta en yüksek düzey olan “SYSTEM” seviyesine yükseltebildiği yeni yöntemler keşfettiler.

Microsoft, WFP” Ağ verilerini hedefe ulaşmadan önce filtrelemek veya değiştirmek için bir platform sağlayan API ve sistem hizmetleri kümesi” olarak tanımlıyor. Deep Instinct güvenlik şirketi araştırmacıları, bu yöntemi kullanarak izinleri yükseltmek için üç yeni saldırı geliştirdi. İlk yöntem, WFP’i access token kopyalamak için kullanıyor.

Access token kopyalamak için WFP Kullanımı

NoFilter, WFP’yi kullanarak acess token kopyalayarak ayrıcalık yükseltme sağlıyor.

SYSTEM ve Admin Erişim Belgesi Elde Etme

İkinci yöntem, IPSec bağlantısı oluşturarak ve Print Spooler hizmetini kullanarak bir SYSTEM tokeni elde etmeyi içeriyor.

Üçüncü yöntem, kompromize edilmiş bir sistemde oturum açmış başka bir kullanıcının token’i alarak yatay hareket için kullanılabilir.

Tespit ve Önlem Tavsiyeleri

Bu yeni yöntemlerin raporlanmasına rağmen, Microsoft Güvenlik Yanıt Merkezi, davranışın istendiği gibi olduğunu söyledi. Ancak Deep Instinct, bu saldırıları tespit etmek için birkaç yol öneriyor ve belirli olayları izlemeyi tavsiye ediyor:

  • Ağ yapılandırmalarına uymayan yeni IPSec politikalarını izleme.
  • IPSec politikası etkinken Spooler / OneSyncSvc’ye yapılan RPC izleme.
  • BFE hizmeti dışındaki süreçlerin WfpAle cihazına cihaz G/Ç isteği göndermelerini izleme.

Kaynak: bleepingcomputer.com

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu