Datum och tid: 2025-01-17 19:29 CET
En ny exploatering hotar IT-säkerheten
En ny attackmetod har upptäckts där angripare utnyttjar Windows Defender Application Control (WDAC) för att inaktivera Endpoint Detection and Response (EDR)-system och därigenom undvika upptäckt. Tekniken innebär att angripare med administrativa rättigheter kan manipulera WDAC-policyer för att förhindra att säkerhetslösningar aktiveras vid systemstart.
Detta tillvägagångssätt möjliggör för hotaktörer att operera obemärkt i miljöer där EDR används, vilket gör det svårare för säkerhetsteam att upptäcka och motverka intrång.
Hur attacken fungerar
Angripare distribuerar skadliga WDAC-policyer som explicit blockeras av systemets säkerhetstjänster. Processen ser ut som följer:
1. Administrativa rättigheter: Hotaktören behöver administratörsbehörighet på målsystemet för att implementera policyändringen.
2. Placering av policyfil: En skadlig WDAC-policyfil placeras i systemkatalogen.
3. Omstart av system: Vid omstart hindras EDR-tjänster från att aktiveras, vilket gör att angriparen kan arbeta ostört.
Ett proof-of-concept (PoC) för denna teknik har publicerats på GitHub, vilket innebär att metoden nu är tillgänglig för potentiella angripare.
Rekommenderade säkerhetsåtgärder
För att skydda mot denna typ av attack rekommenderas följande åtgärder:
1. Segmentering av administrativa rättigheter: Begränsa tillgången till administrativa behörigheter för att minimera risken för otillåten ändring av policyer.
2. Begränsa GPO-ändringar: Säkerställ att endast betrodda administratörer har rätt att ändra Group Policy Objects (GPO).
3. Implementera Local Administrator Password Solution (LAPS): Använd LAPS för att hantera lokala administratörskonton på ett säkert sätt.
4. Minimera lokala administratörsrättigheter: Förhindra att vanliga användare har tillgång till administratörskonton.
5. Distribuera en övervakande WDAC-policy: Skapa och implementera en tom WDAC-policy i audit-läge för att övervaka potentiella policyändringar utan att direkt påverka systemet.
Upptäckt och övervakning
Övervakning av system för att identifiera misstänkta policyändringar är avgörande för att förhindra denna typ av attack. Det rekommenderas att implementera anpassade detekteringsregler i befintliga EDR-system för att snabbt identifiera och agera mot manipulation av WDAC-policyer.
Slutsats
Denna nya exploatering visar på vikten av att stärka administrativa rutiner och öka medvetenheten om policyrelaterade hot. Genom att implementera de ovanstående rekommendationerna kan organisationer skydda sig mot denna typ av avancerade attacker och stärka sin motståndskraft mot intrång.
Källförteckning
https://www.microsoft.com/security/blog/2023/05/12/how-to-prevent-wdac-policy-exploitation/
https://github.com/gavz/Krueger_edr
https://www.cybersecuritydive.com/news/edr-bypass-wdac-threat/645371/
https://www.darkreading.com/vulnerabilities-threats/new-exploit-wdac-policy-disables-edrs
