滥用Windows系统WFP的NoFilter攻击方法可用于系统提权

最新的网络安全观察中，一种以前未被检测到的名为 NoFilter 的攻击方法被发现滥用 Windows 过滤平台 ( WFP ) 以在 Windows 操作系统中实现权限升级。

如果攻击者能够以管理员权限执行代码，并且目标是执行LSASS Shtinkering，那么这些权限是不够的。需要以 “NT AUTHORITY\SYSTEM” 身份运行。本研究中描述的攻击技术可以从管理员提权到系统级。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，这项安全研究的起点是一个名为 RPC Mapper 的内部工具，该网络安全公司用于映射远程过程调用 ( RPC ) 方法，特别是那些调用WinAPI 的方法，从而发现了名为“BfeRpcOpenToken”的方法。

WFP 是一组 API 和系统服务，用于处理网络流量并允许配置允许或阻止通信的过滤器。

可以通过调用NtQueryInformationProcess来检索另一个进程的句柄表，该表列出了该进程持有的令牌，这些令牌的句柄可以复制，以便另一个进程升级到 SYSTEM。

虽然访问令牌用于识别执行特权任务时涉及的用户，但在用户模式下运行的恶意软件可以使用特定函数（例如 DuplicateToken 或 DuplicateHandle）访问其他进程的令牌，然后使用该令牌启动子进程具有系统权限。

换句话说，NoFilter 可以作为 “NT AUTHORITY\SYSTEM” 或作为登录到计算机的其他用户启动新控制台。

极牛攻防实验室表示，可以通过研究操作系统的内置组件（例如 Windows 过滤平台）来发现新​​的攻击媒介。

此次披露之际，SafeBreach 披露了一些新颖的方法，威胁行为者可能会滥用这些方法来加密文件，而无需使用基于云的勒索软件 ( DoubleDrive ) 在目标端点上执行代码，中和 Windows Defender 端点检测和响应 (EDR) 代理并允许任何恶意代码都可以在完全未被检测到的情况下运行（Defender-Pretender），并从完全修补的服务器上远程删除整个数据库（远程擦除数据）。