A Falha nos Ligamentos de Bind: Uma Novo Meio de Evadir Sensores de ED
Como atacantes podem usar bind links para blindar os sensores de ED e evadir defesas de segurança do Windows
O que são Bind Links?
Os bind links são uma característica de virtualização do sistema de arquivos do Windows que pode redirecionar um caminho de arquivo local para outro sem modificar o arquivo original ou deixar um artefato de sistema de arquivos persistente. Eles são implementados pelo driver de minifiltro bindflt.sys e são usados legitimamente por aplicações do Store, Sandbox do Windows e contêineres do Windows.
As Novas Técnicas de Bind links
A pesquisa de laboratório da Bitdefender documentou e nomeou três novas técnicas que um atacante com acesso administrativo local pode usar para blindar sensores de ED e bypassar defesas integradas do Windows, como AMSI e AppLocker.
Ao Querer Usar Tudo Isso...
Os atacantes podem usar bind links como uma peça fundamental para construir ataques mais complexos. Por exemplo, se o atacante apontar para um DLL, ele pode criar uma ligação de arquivo que carrega um arquivo controlado pelo atacante de um caminho que o processo confia. Se o atacante apontar para um executável, ele pode criar uma ligação de processo que faz com que o sistema operacional relata um caminho de imagem que ele não é, enquanto a código corre de outro arquivo. Se o atacante limitar tudo a um silo do Windows, ele pode criar uma ligação silos que faz com que uma visão do sistema de arquivos dentro do silo seja diferente da visão do sistema de arquivos fora do silo. Isso pode levar a um processo dentro do silo executar código controlado pelo atacante enquanto todas os instrumentos fora do silo re-abrem os mesmos caminhos e vejam arquivos limpos.
A Falha nos Ligamentos de Bind
Essas técnicas quebram suposições de muitos sensores de ED, AppLocker, regras de firewall baseadas em caminho, telemetria baseada em hash, scanners assíncronos e ferramentas de forense.
A Importância do Desenvolvimento de Segurança
A pesquisa de laboratório da Bitdefender pediu a Microsoft para que avaliassem a gravidade da falha e consideraram-na de baixa gravidade porque exigia acesso administrativo. A Bitdefender concorda que admin não é o final do jogo e que o ataque de bind link agora é parte do modelo de ameaças da Bitdefender e que essa publicação fornece orientações de detecção para a comunidade de segurança em geral.