Специалист Orange Cyberdefense нашёл способ обхода защитных механизмов и выполнения произвольного кода в процессе LSASS. Он использовал службу CNG Key Isolation (KeyIso).
В июле 2022 года Microsoft внесла изменения в систему Protected Process Light, чтобы устранить уязвимости, позволяющие обходить защиту LSASS. Этот процесс отвечает за хранение и управление учётными данными пользователей в Windows.
Метод заключается в использовании уязвимых библиотек. Он известен как «Bring Your Own Vulnerable DLL» (BYOVDLL) и позволяет загрузить уязвимую версию DLL-библиотеки в процесс LSASS.
Специалист Orange Cyberdefense попробовал загрузить уязвимую версию библиотеки keyiso.dll в LSASS. Он изменил настройки реестра и указал путь к этой версии. При попытке запуска службы специалист столкнулся с ошибкой, так как система не смогла найти цифровую подпись DLL.
Тогда он обратился к каталогам файлов с криптографическими хэшами для проверки подлинности файлов в Windows. Исследователь установил нужный каталог и подтвердил, что система распознала подпись уязвимой библиотеки. В итоге он смог загрузить уязвимую версию keyiso.dll в LSASS.
После этого автор начал реализовывать полную цепочку эксплуатации уязвимостей. Он зарегистрировал новый провайдер ключей с уязвимой версией библиотеки ncryptprov.dll. Она была успешно загружена в процесс LSASS с помощью System Informer.
Наконец, исследователь смог запустить выполнение кода внутри защищённого процесса LSASS. Он использовал метод вывода сообщения через OutputDebugStringW, которое отобразилось в отладчике.
О том, как обнаружить хакера на этапе дампа учётных данных в Windows, можно прочитать здесь.
Источник: habr.com
Похожие новости:
Исследователь смог обойти защиту LSASS в Windows — это хранилище учётных данных пользователей
В суде США разваливается коллективный иск «разработчики против Microsoft, GitHub и OpenAI из-за работы GitHub Copilot»
Обновления Windows Server вызывают сбои контроллеров домена, Microsoft выпустила экстренный патч
Халява: сразу 10 игр и 4 программы отдают бесплатно и навсегда в Google Play и App Store