，安全研究人員近日研發了名為 NoFilter 的工具，通過濫用 Windows 篩選平臺，可以將用戶權限提升到 SYSTEM 級別(Windows 上的最高權限級別)。

IT之家注:Windows 篩選平臺 是一組 API 和系統服務，提供用于創建網絡篩選應用程序的平臺。

WFP API 允許開發人員編寫與在操作系統網絡堆棧中的多個層發生的數據包處理進行交互的代碼，可以在網絡數據到達目標之前對其進行篩選和修改。

網絡安全公司 Deep Instinct 的研究人員開發了三種新的攻擊方法，在不留下太多痕跡、且不會被主流安全產品檢測到的情況下，提升用戶在 Windows 設備上的權限。

第一種方式使用 WFP 來復制訪問令牌，通過調用 NtQueryInformationProcess 函數獲取訪問令牌，然后再復制到要執行的任務中。

第二種技術涉及觸發 IPSec 連接并濫用 Print Spooler 服務，然后將 SYSTEM 令牌插入到表中。

該工具使用 RpcOpenPrinter 函數按名稱檢索打印機的-handle。通過將名稱更改為“\\127.0.0.1”，服務將連接到本地主機。

調用 RPC 之后，檢索 WfpAleQueryTokenById 的多個設備 IO 請求，從而獲取 SYSTEM 令牌。

第三種技術獲得登錄到受損系統的另一個用戶的令牌，操縱用戶服務。

研究人員表示，如果可以將訪問令牌添加到哈希表中，則可以使用登錄用戶的權限啟動進程。

他查找以登錄用戶身份運行的遠程過程調用服務器，并運行一個腳本來查找以域管理員身份運行的進程，并公開一個 RPC 接口。

研究人員濫用了 OneSyncSvc 服務和 SyncController.dll，從而使用登錄用戶的權限啟動任意進程。

廣告聲明:文內含有的對外跳轉鏈接，用于傳遞更多信息，節省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。

鄭重聲明：此文內容為本網站轉載企業宣傳資訊，目的在于傳播更多信息，與本站立場無關。僅供讀者參考，并請自行核實相關內容。