Найден способ обхода защиты LSASS в Windows

Специалист Orange Cyberdefense нашёл способ обхода защитных механизмов и выполнения произвольного кода в процессе LSASS. Он использовал службу CNG Key Isolation (KeyIso).

В июле 2022 года Microsoft внесла изменения в систему Protected Process Light, чтобы устранить уязвимости, позволяющие обходить защиту LSASS. Этот процесс отвечает за хранение и управление учётными данными пользователей в Windows.

Метод заключается в использовании уязвимых библиотек. Он известен как «Bring Your Own Vulnerable DLL» (BYOVDLL) и позволяет загрузить уязвимую версию DLL-библиотеки в процесс LSASS.

Специалист Orange Cyberdefense попробовал загрузить уязвимую версию библиотеки keyiso.dll в LSASS. Он изменил настройки реестра и указал путь к этой версии. При попытке запуска службы специалист столкнулся с ошибкой, так как система не смогла найти цифровую подпись DLL.

Тогда он обратился к каталогам файлов с криптографическими хэшами для проверки подлинности файлов в Windows. Исследователь установил нужный каталог и подтвердил, что система распознала подпись уязвимой библиотеки. В итоге он смог загрузить уязвимую версию keyiso.dll в LSASS.

После этого автор начал реализовывать полную цепочку эксплуатации уязвимостей. Он зарегистрировал новый провайдер ключей с уязвимой версией библиотеки ncryptprov.dll. Она была успешно загружена в процесс LSASS с помощью System Informer.

Наконец, исследователь смог запустить выполнение кода внутри защищённого процесса LSASS. Он использовал метод вывода сообщения через OutputDebugStringW, которое отобразилось в отладчике.

О том, как обнаружить хакера на этапе дампа учётных данных в Windows, можно прочитать здесь.

Источник: habr.com

0 0 голоса
Рейтинг новости
12563
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии