專家研發(fā)NoFilter工具，3種攻擊方式獲取Win10/Win11系統(tǒng)最高權(quán)限

IT之家 8 月 24 日消息，安全研究人員近日研發(fā)了名為 NoFilter 的工具，通過(guò)濫用 Windows 篩選平臺(tái)（WFP），可以將用戶權(quán)限提升到 SYSTEM 級(jí)別（Windows 上的最高權(quán)限級(jí)別）。

【資料圖】

IT之家注：Windows 篩選平臺(tái) (WFP) 是一組 API 和系統(tǒng)服務(wù)，提供用于創(chuàng)建網(wǎng)絡(luò)篩選應(yīng)用程序的平臺(tái)。

WFP API 允許開(kāi)發(fā)人員編寫(xiě)與在操作系統(tǒng)網(wǎng)絡(luò)堆棧中的多個(gè)層發(fā)生的數(shù)據(jù)包處理進(jìn)行交互的代碼，可以在網(wǎng)絡(luò)數(shù)據(jù)到達(dá)目標(biāo)之前對(duì)其進(jìn)行篩選和修改。

網(wǎng)絡(luò)安全公司 Deep Instinct 的研究人員開(kāi)發(fā)了三種新的攻擊方法，在不留下太多痕跡、且不會(huì)被主流安全產(chǎn)品檢測(cè)到的情況下，提升用戶在 Windows 設(shè)備上的權(quán)限。

第一種方式使用 WFP 來(lái)復(fù)制訪問(wèn)令牌（用于識(shí)別用戶權(quán)限的代碼），通過(guò)調(diào)用 NtQueryInformationProcess 函數(shù)獲取訪問(wèn)令牌，然后再?gòu)?fù)制到要執(zhí)行的任務(wù)中。

第二種技術(shù)涉及觸發(fā) IPSec 連接并濫用 Print Spooler 服務(wù)，然后將 SYSTEM 令牌插入到表中。

該工具使用 RpcOpenPrinter 函數(shù)按名稱檢索打印機(jī)的-handle。通過(guò)將名稱更改為“\\127.0.0.1”，服務(wù)將連接到本地主機(jī)。

調(diào)用 RPC 之后，檢索 WfpAleQueryTokenById 的多個(gè)設(shè)備 IO 請(qǐng)求，從而獲取 SYSTEM 令牌。

第三種技術(shù)獲得登錄到受損系統(tǒng)的另一個(gè)用戶的令牌，操縱用戶服務(wù)。

研究人員表示，如果可以將訪問(wèn)令牌添加到哈希表中，則可以使用登錄用戶的權(quán)限啟動(dòng)進(jìn)程。

他查找以登錄用戶身份運(yùn)行的遠(yuǎn)程過(guò)程調(diào)用（RPC）服務(wù)器，并運(yùn)行一個(gè)腳本來(lái)查找以域管理員身份運(yùn)行的進(jìn)程，并公開(kāi)一個(gè) RPC 接口。

研究人員濫用了 OneSyncSvc 服務(wù)和 SyncController.dll，從而使用登錄用戶的權(quán)限啟動(dòng)任意進(jìn)程。

關(guān)鍵詞：