Güvenlik araştırmacıları, NoFilter adlı bir araçla Windows Filtreleme Platformu’nu (WFP) kötüye kullanarak saldırganların kullanıcı izinlerini Windows’ta en yüksek düzey olan “SYSTEM” seviyesine yükseltebildiği yeni yöntemler keşfettiler.
Microsoft, WFP” Ağ verilerini hedefe ulaşmadan önce filtrelemek veya değiştirmek için bir platform sağlayan API ve sistem hizmetleri kümesi” olarak tanımlıyor. Deep Instinct güvenlik şirketi araştırmacıları, bu yöntemi kullanarak izinleri yükseltmek için üç yeni saldırı geliştirdi. İlk yöntem, WFP’i access token kopyalamak için kullanıyor.
Access token kopyalamak için WFP Kullanımı
NoFilter, WFP’yi kullanarak acess token kopyalayarak ayrıcalık yükseltme sağlıyor.
SYSTEM ve Admin Erişim Belgesi Elde Etme
İkinci yöntem, IPSec bağlantısı oluşturarak ve Print Spooler hizmetini kullanarak bir SYSTEM tokeni elde etmeyi içeriyor.
Üçüncü yöntem, kompromize edilmiş bir sistemde oturum açmış başka bir kullanıcının token’i alarak yatay hareket için kullanılabilir.
Tespit ve Önlem Tavsiyeleri
Bu yeni yöntemlerin raporlanmasına rağmen, Microsoft Güvenlik Yanıt Merkezi, davranışın istendiği gibi olduğunu söyledi. Ancak Deep Instinct, bu saldırıları tespit etmek için birkaç yol öneriyor ve belirli olayları izlemeyi tavsiye ediyor:
- Ağ yapılandırmalarına uymayan yeni IPSec politikalarını izleme.
- IPSec politikası etkinken Spooler / OneSyncSvc’ye yapılan RPC izleme.
- BFE hizmeti dışındaki süreçlerin WfpAle cihazına cihaz G/Ç isteği göndermelerini izleme.
Kaynak: bleepingcomputer.com