I ricercatori di Deep Instinct hanno rilasciato il tool NoFilter che consente di ottenere i privilegi SYSTEM su Windows, abusando della Windows Filtering Platform (WFP). Microsoft ha ricevuto i dettagli della scoperta, affermando che si tratta di una funzionalità prevista per design. Ciò significa che non è una vulnerabilità e quindi non verrà distribuita nessuna patch.
NoFilter: escalation di privilegi
La Windows Filtering Platform è un insieme di API e servizi che consentono di creare codice per filtrare o modificare i dati di rete prima di raggiungere la destinazione. Questa possibilità viene sfruttata ad esempio in software per il monitoraggio di rete, sistemi di intrusion detection e firewall.
I ricercatori hanno sviluppato tre attacchi che consentono di ottenere privilegi elevati con il tool NoFilter, senza lasciare tracce evidenti e senza essere bloccati dalle soluzioni di sicurezza. Il primo metodo permette di usare WFP per duplicare i token di accesso che identificano gli utenti e i loro permessi.
Il secondo metodo permette di ottenere privilegi SYSTEM tramite una connessione IPSec e il servizio Print Spooler. Il terzo metodo, infine, consente di ottenere un token SYSTEM di un altro utente collegato al sistema. Queste tre tecniche potrebbero essere utilizzate per l’esecuzione di codice arbitrario e per effettuare un movimento laterale nella rete locale.
I ricercatori forniscono alcuni suggerimenti per rilevare gli attacchi. Come detto, Microsoft non rilascerà nessuna patch in quanto il funzionamento della WFP è corretto per design.