Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais

Hackers usam novas técnicas para ganhar controle no Windows

Várias novas técnicas foram disponibilizadas recentemente e oferecem aos invasores uma maneira de abusar dos serviços legítimos do Windows e escalar com relativa facilidade os privilégios de baixo nível em um sistema para obter controle total sobre ele.  Os exploits mais recentes tiram proveito dos mesmos recursos de serviços do Windows ou semelhantes que os invasores usaram…
Emilia Bertolli
2 minuto de leitura
Publicado 27 de Outubro de 2020
Ultima atualização 27 de Outubro de 2021

Várias novas técnicas foram disponibilizadas recentemente e oferecem aos invasores uma maneira de abusar dos serviços legítimos do Windows e escalar com relativa facilidade os privilégios de baixo nível em um sistema para obter controle total sobre ele. 

Os exploits mais recentes tiram proveito dos mesmos recursos de serviços do Windows ou semelhantes que os invasores usaram anteriormente e funcionam até mesmo em algumas das versões mais recentes do sistema operacional. Para as organizações, o maior problema de lidar com esses ataques é que eles abusam de serviços que possuem privilégios de representação e existem por design em sistemas operacionais Windows. Os serviços estão habilitados, disponíveis por padrão e desempenham um papel essencial na implementação de servidores Web, servidores de banco de dados, servidores de e-mail e outros serviços. 

Um exploit conhecido como “Juicy Potato” continua a ser a forma mais comum de invasores escalarem privilégios em um sistema Windows usando um serviço legítimo. O código é um exploit que permite que um invasor com privilégios de serviço de baixo nível em um sistema Windows obtenha acesso de nível de sistema a ele.  

O ataque tira proveito de uma configuração de privilégio de representação no Windows chamada “SeImpersonatePrivilege.” A Microsoft introduziu o recurso pela primeira vez no Windows 2000 SP4, ironicamente como uma medida de segurança para evitar que ” servidores não autorizados representem clientes ” que se conectam a eles remotamente por meio de chamadas de procedimento remoto ou o que é conhecido como pipes nomeados. 

Em sistemas em que o serviço está habilitado, tudo o que um invasor precisa fazer é baixar a ferramenta JuicyPotato e usá-la para executar o código malicioso de sua escolha – como configurar uma carga de shell reversa. O exploit, em resumo, “engana” o serviço de ativação DCOM, fazendo-o executar uma chamada RPC com privilégios. Em seguida, o script executa etapas que permitem roubar um token que possibilita ao invasor realizar atividades maliciosas com privilégios de alto nível no sistema. 

A Microsoft corrigiu o exploit em versões mais recentes de seu software. Mas JuicyPotato ainda funciona em cada Windows Server atualizado até a versão 2016 e em cada máquina Windows Client atualizada até a versão 10, build 1803. E novas versões da chamada família de exploits Potato – como RoguePotato e Juicy 2 – estão agora disponíveis para contornar a correção da Microsoft que desligou JuicyPotato. 

Além disso, estão disponíveis várias outros tipos de ataques que permitem que os invasores explorem as configurações de privilégio, e outros serviços do Windows para obter acesso no nível do sistema em sistemas Microsoft. Os exemplos incluem RogueWinRM, PrintSpoofer e Network Service Impersonation. Cada uma dessas ferramentas explora diferentes serviços e mecanismos do Windows para dar aos invasores o acesso mais privilegiado em uma máquina Windows: a autoridade NT / privilégio de sistema. 

Mais avançados 

O RoguePotato e o PrintSpoofer são as duas técnicas mais potentes de escalonamento de privilégios do Windows atualmente disponíveis para invasores. Isso ocorre porque os exploits funcionam em todas as instalações de cliente e servidor do Windows e requerem muito poucas condições para funcionar corretamente. 

O PrintSpoofer explora um componente interno do Windows altamente privilegiado, denominado serviço de “spooler”. 

Já o RoguePotato explora “rpcss” outro serviço crítico – e altamente abusado – do Windows. A exploração oferece aos invasores uma maneira de enganar rpcss para autenticar um recurso sob o controle do invasor, de forma que o invasor possa roubar e usar a autenticação para executar remotamente o código com privilégios de nível de sistema. Ao contrário do PrintSpoofer, o exploit RoguePotato requer interação com a rede.  

Os aplicativos da Web executados em servidores Windows são um dos alvos favoritos. Um cenário comum é os invasores obterem alguma forma de acesso limitado ao servidor, comprometendo um aplicativo de servidor Web como IIS ou MSSQL e, em seguida, usando essa base para elevar os privilégios. 

A melhor maneira para as organizações mitigarem a ameaça representada por essas técnicas é aplicando o princípio do privilégio mínimo, diz o pesquisador de segurança. As organizações devem aproveitar as vantagens do mecanismo Windows Service Hardening (WSH) para segregar e restringir os privilégios do serviço – por exemplo, desabilitando os privilégios. 

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Try Varonis free.
Get a detailed data risk report based on your company’s data.
Deploys in minutes.
Keep reading
por-trás-do-rebranding-da-varonis
Por trás do rebranding da Varonis
Descubra a estratégia por trás do rebranding da Varonis, que envolveu uma transição completa para um arquétipo de herói e a introdução do Protector 22814.
o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
O que é uma avaliação de risco de dados e por que você deve fazer
A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
Ameaças internas: 3 maneiras pelas quais a Varonis ajuda você
Ameaças internas são difíceis de combater por que os insiders podem navegar em dados confidenciais sem serem detectados 
guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
Guia de migração de dados: sucesso estratégico e práticas recomendadas
A migração de dados precisa de um projeto robusto para evitar o impacto nos negócios e com o orçamento