Το Windows MiniFilter μπορεί να καταχραστεί για παράκαμψη του EDR

secnews.gr

IT Security News, Gadgets, Tweaks for Geeks and More

Το Windows MiniFilter μπορεί να καταχραστεί για παράκαμψη του EDR
https://www.secnews.gr/619846/windows-minifilter-mporei-kataxrastei-parakampsi-edr/
Sep 18th 2024, 13:35

Το πρόγραμμα driver MiniFilter των Windows, όπως και το πρόγραμμα Sysmon, μπορεί να καταχραστεί για να αποτραπεί η φόρτωση προγραμμάτων driver EDR.



Δείτε επίσης: CISA: Προσθέτει ευπάθεια Windows στον Κατάλογο KEV






Οι διαδικασίες ανίχνευσης και απόκρισης τελικού σημείου (EDR) είναι δύσκολο να σταματήσουν από τους εισβολείς, ακόμη και με πρόσβαση τοπικού διαχειριστή ή σε επίπεδο συστήματος σε ένα τελικό σημείο, επειδή είναι φτιαγμένες να λειτουργούν αυτόνομα και επίμονα.



Ο Eito Tamura, Κύριος Σύμβουλος της Tier Zero Security, διαπίστωσε ότι ένα πρόγραμμα driver MiniFilter, όπως το πρόγραμμα driver Sysmon, μπορεί να γίνει κατάχρηση για να σταματήσει η φόρτωση προγραμμάτων driver EDR κατά τη δοκιμή του προγράμματος driver Sysmon.



Ο Eito Tamura ισχυρίζεται ότι εμποδίζει το πρόγραμμα driver EDR να εγγραφεί στο Filter Manager εκχωρώντας το ύψος του προγράμματος οδήγησης EDR σε ένα άλλο MiniFilter των Windows που φορτώνεται πριν από το φίλτρο στόχου.



Η Microsoft έχει θέσει σε εφαρμογή ορισμένους μετριασμούς. Εξέδωσε μια προειδοποίηση και η διαδικασία regedit τερματίστηκε ενώ ο ερευνητής προσπάθησε να αλλάξει το altitude του προγράμματος driver Sysmon ώστε να ταιριάζει με το altitude του προγράμματος driver MDE (WdFilter) για να σταματήσει τη φόρτωσή του.



Δείτε ακόμα: Ευπάθεια Windows καταχράστηκε από τη Void Banshee σε επιθέσεις zero-day



Αφού εμφανίστηκε μια ειδοποίηση στην επιφάνεια εργασίας, η καταχώριση altitude καταργήθηκε. Χωρίς μη αυτόματη επαναφορά του altitude, το Sysmon ουσιαστικά απενεργοποιείται.






Δήλωσε ότι πρόσθετα προγράμματα driver MiniFilter των Windows, συμπεριλαμβανομένων των προεπιλεγμένων προγραμμάτων driver που υπάρχουν ήδη στο σύστημα, όπως το FileInfo, μπορούν να χρησιμοποιηθούν όταν επιχειρείται η ίδια επίθεση για να ελέγξει εάν ένας παρόμοιος αμυντικός μηχανισμός θα ενεργοποιηθεί. Απροσδόκητα, η αλλαγή δεν μπλοκαρίστηκε, προσδιορίζοντας ουσιαστικά το altitude του οδηγού Sysmon ως MDE (328010).



Επιπλέον, το MiniFilter υποστηρίζει το altitude που χρησιμοποιούν τώρα, το οποίο είναι XXXXX.YYYYY, το οποίο αποτελείται από μια τελεία (".") ακολουθούμενη από πέντε αριθμούς.



Κάθε φορά που φορτώνεται, η ενότητα YYYYY εκχωρείται δυναμικά και αλλάζει. Με αυτόν τον τρόπο, οι εισβολείς εμποδίζονται να δώσουν σε άλλα προγράμματα driver MiniFilter το ίδιο altitude.



Επιπλέον, εξήγησε πώς να αλλάξετε τις ρυθμίσεις μητρώου για το πρόγραμμα driver Sysmon, έτσι ώστε το Sysmon να φορτώνει νωρίτερα και να σταματήσει με επιτυχία τη φόρτωση του WdFilter των Windows.



Δείτε επίσης: Η Citrix προειδοποιεί για ευπάθειες στο Workspace για Windows



Τα προγράμματα driver είναι βασικοί παράγοντες για την ανάπτυξη και λειτουργία ενός λογισμικού υπολογιστή. Αυτοί οι οδηγοί βοηθούν στο να διασφαλιστεί ότι το λογισμικό λειτουργεί σωστά και αποδοτικά σε διάφορες πλατφόρμες και συσκευές. Η ανάπτυξη ενός οδηγού περιλαμβάνει τη συγγραφή κώδικα που επιτρέπει την επικοινωνία με το υλικό του συστήματος, όπως κάρτες γραφικών, συσκευές ήχου και περιφερειακά. Ως εκ τούτου, οι οδηγοί προγράμματος πρέπει να είναι καλά βελτιστοποιημένοι και δοκιμασμένοι για να ελαχιστοποιούν σφάλματα και καθυστερήσεις στην απόδοση του συστήματος.



Πηγή: cybersecuritynews



You are receiving this email because you subscribed to this feed at https://blogtrottr.com

If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια