Várias novas técnicas foram disponibilizadas recentemente e oferecem aos invasores uma maneira de abusar dos serviços legítimos do Windows e escalar com relativa facilidade os privilégios de baixo nível em um sistema para obter controle total sobre ele.
Os exploits mais recentes tiram proveito dos mesmos recursos de serviços do Windows ou semelhantes que os invasores usaram anteriormente e funcionam até mesmo em algumas das versões mais recentes do sistema operacional. Para as organizações, o maior problema de lidar com esses ataques é que eles abusam de serviços que possuem privilégios de representação e existem por design em sistemas operacionais Windows. Os serviços estão habilitados, disponíveis por padrão e desempenham um papel essencial na implementação de servidores Web, servidores de banco de dados, servidores de e-mail e outros serviços.
Um exploit conhecido como “Juicy Potato” continua a ser a forma mais comum de invasores escalarem privilégios em um sistema Windows usando um serviço legítimo. O código é um exploit que permite que um invasor com privilégios de serviço de baixo nível em um sistema Windows obtenha acesso de nível de sistema a ele.
O ataque tira proveito de uma configuração de privilégio de representação no Windows chamada “SeImpersonatePrivilege.” A Microsoft introduziu o recurso pela primeira vez no Windows 2000 SP4, ironicamente como uma medida de segurança para evitar que ” servidores não autorizados representem clientes ” que se conectam a eles remotamente por meio de chamadas de procedimento remoto ou o que é conhecido como pipes nomeados.
Em sistemas em que o serviço está habilitado, tudo o que um invasor precisa fazer é baixar a ferramenta JuicyPotato e usá-la para executar o código malicioso de sua escolha – como configurar uma carga de shell reversa. O exploit, em resumo, “engana” o serviço de ativação DCOM, fazendo-o executar uma chamada RPC com privilégios. Em seguida, o script executa etapas que permitem roubar um token que possibilita ao invasor realizar atividades maliciosas com privilégios de alto nível no sistema.
A Microsoft corrigiu o exploit em versões mais recentes de seu software. Mas JuicyPotato ainda funciona em cada Windows Server atualizado até a versão 2016 e em cada máquina Windows Client atualizada até a versão 10, build 1803. E novas versões da chamada família de exploits Potato – como RoguePotato e Juicy 2 – estão agora disponíveis para contornar a correção da Microsoft que desligou JuicyPotato.
Além disso, estão disponíveis várias outros tipos de ataques que permitem que os invasores explorem as configurações de privilégio, e outros serviços do Windows para obter acesso no nível do sistema em sistemas Microsoft. Os exemplos incluem RogueWinRM, PrintSpoofer e Network Service Impersonation. Cada uma dessas ferramentas explora diferentes serviços e mecanismos do Windows para dar aos invasores o acesso mais privilegiado em uma máquina Windows: a autoridade NT / privilégio de sistema.
O RoguePotato e o PrintSpoofer são as duas técnicas mais potentes de escalonamento de privilégios do Windows atualmente disponíveis para invasores. Isso ocorre porque os exploits funcionam em todas as instalações de cliente e servidor do Windows e requerem muito poucas condições para funcionar corretamente.
O PrintSpoofer explora um componente interno do Windows altamente privilegiado, denominado serviço de “spooler”.
Já o RoguePotato explora “rpcss” outro serviço crítico – e altamente abusado – do Windows. A exploração oferece aos invasores uma maneira de enganar rpcss para autenticar um recurso sob o controle do invasor, de forma que o invasor possa roubar e usar a autenticação para executar remotamente o código com privilégios de nível de sistema. Ao contrário do PrintSpoofer, o exploit RoguePotato requer interação com a rede.
Os aplicativos da Web executados em servidores Windows são um dos alvos favoritos. Um cenário comum é os invasores obterem alguma forma de acesso limitado ao servidor, comprometendo um aplicativo de servidor Web como IIS ou MSSQL e, em seguida, usando essa base para elevar os privilégios.
A melhor maneira para as organizações mitigarem a ameaça representada por essas técnicas é aplicando o princípio do privilégio mínimo, diz o pesquisador de segurança. As organizações devem aproveitar as vantagens do mecanismo Windows Service Hardening (WSH) para segregar e restringir os privilégios do serviço – por exemplo, desabilitando os privilégios.