T1068: ЕКСПЛУАТАЦІЯ ВРАЗЛИВОСТЕЙ ДЛЯ ПІДВИЩЕННЯ ПРИВІЛЕЇВ
Зловмисники використовують помилки в програмуванні (баги) у службах, драйверах або самому ядрі операційної системи, щоб виконати свій код з вищими правами. Якщо хакер зайшов у систему як звичайний користувач, він шукає вразливість у компоненті, що працює від імені адміністратора (root/SYSTEM). Успішна експлуатація дозволяє обійти всі встановлені обмеження доступу та отримати повний контроль над машиною.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть експлуатувати вразливості програмного забезпечення у спробі підвищити привілеї. Експлуатація вразливості ПЗ відбувається, коли зловмисник скористається помилкою програмування в програмі, службі або в самому програмному забезпеченні операційної системи чи її ядрі для виконання підконтрольного коду. Конструкції безпеки, такі як рівні дозволів, часто перешкоджають доступу до інформації та використанню певних технік, тому зловмисникам, ймовірно, знадобиться виконати підвищення привілеїв, включаючи використання програмної експлуатації для обходу цих обмежень.
Під час первинного отримання доступу до системи зловмисник може діяти в рамках процесу з низькими привілеями, що заважатиме йому отримати доступ до певних ресурсів. Вразливості можуть існувати, як правило, у компонентах ОС та програмному забезпеченні, що зазвичай працює з вищими дозволами. Їх можна експлуатувати для отримання вищих рівнів доступу. Це може дозволити комусь перейти від непривілейованих дозволів або дозволів рівня користувача до дозволів SYSTEM або root, залежно від компонента, який є вразливим. Це також може дозволити зловмиснику перейти з віртуалізованого середовища (наприклад, з віртуальної машини або контейнера) на базовий хост. Це може бути необхідним кроком для зловмисника, який компрометує кінцеву систему, що була належним чином налаштована і обмежує інші методи підвищення прав.
Зловмисники можуть принести підписаний вразливий драйвер на скомпрометовану машину, щоб вони могли експлуатувати вразливість для виконання коду в режимі ядра. Цей процес іноді називають Bring Your Own Vulnerable Driver (BYOVD). Зловмисники можуть включити вразливий драйвер до файлів, доставлених під час початкового доступу, або завантажити його на скомпрометовану систему через передачу інструментів (Ingress Tool Transfer).
Як працює BYOVD (Bring Your Own Vulnerable Driver)? Це одна з найбільш витончених атак сучасності:
- Легітимність: Хакер не намагається зламати захист ядра “в лоб”. Він приносить офіційний драйвер (наприклад, стару версію драйвера Dell, MSI або античіта для гри), який має цифровий підпис.
- Довіра: Windows бачить дійсний підпис і дозволяє драйверу працювати на найнижчому, привілейованому рівні системи (Ring 0).
- Удар: Хакер надсилає драйверу спеціально сформований запит, який викликає помилку (наприклад, переповнення буфера). Оскільки помилка стається всередині драйвера ядра, код хакера виконується з абсолютними правами, дозволяючи вимикати EDR/антивіруси “знизу”.
Чому це критично?
- Обхід Patch Management: Навіть якщо ваша ОС повністю оновлена, зловмисник приносить вразливість із собою.
- Безкарність: Антивірусам важко заблокувати легітимно підписаний файл відомого виробника.
- VM Escape: Експлуатація драйверів віртуалізації — єдиний надійний шлях вирватися з контейнера на фізичний сервер.
Як захиститися?
- Driver Blocklist: Використовуйте списки блокування вразливих драйверів (Microsoft веде такий список для функції VBS / Hypervisor-protected Code Integrity).
- VBS/HVCI: Увімкніть функцію “Цілісність пам’яті” в ізоляції ядра Windows. Це значно ускладнює запуск шкідливого коду в ядрі.
- LPE Monitoring: Відстежуйте спроби експлуатації через специфічні системні події та помилки (BSOD часто є побічним ефектом невдалої експлуатації).
- Patching: Попри BYOVD, більшість атак все ще використовують відомі дірки в ОС (Local Privilege Escalation - LPE). Вчасне оновлення — ваш перший заслін.