Windows環境内で実行権限をエスカレーションするために設計された新しいエクスプロイトフレームワーク「Eris」が公開されました。プロジェクト開発者は、このメソドロジーがネイティブのWindows Fax Serviceを操作することで、アクティブなユーザーセッション内で完全なシステム権限を持つインタラクティブなコマンドターミナルを生成することができると主張しています。
Erisエクスプロイトチェーンは、2つの段階のシーケンスを通じて動作します。最初の段階では、ソフトウェアは従来のSilent Cleanupタスク スケジューリング メカニズムを悪用することで、Windows User Account Control (UAC) インターフェイスの回避を調整します。特権エスカレーションに成功した後、ペイロードはシステムレジストリを修正して、偽造された仮想faxデバイス プロバイダーを登録し、Fax Serviceの初期化パラメータを再構成して、Local Systemセキュリティコンテキスト下での実行を強制します。その後のサービスデーモンの再起動時に、悪意のあるペイロードを処理し、最終的に絶対的なシステム権限を保持するコマンドシェルを配信します。
フレームワークの作成者は、初期UAC回避を前提条件となる「犠牲」と特徴付けており、これがないと第2段階の攻撃ベクトルのコアアーキテクチャを初期化できない操作的触媒です。
Erisの運用有効性を検証するには、MinGW-w64ソフトウェアスイートのg++コンパイラまたはアクティブなMSYS2展開を備えた環境が必要です。プロジェクトリポジトリは、2つの個別コンポーネント(コアペイロードライブラリとプライマリ実行可能ローダーバイナリ)のソースコードをカプセル化しています。オペレーターによってコンパイルおよび実行されると、ツールキットは昇格されたターミナルセッションを生成します。
さらに、開発者は手動コンパイルルーチンをスキップしたい実践者向けにカスタマイズされた、コンパイルされたスタンドアロンバイナリを配布しています。
Erisの統合アーキテクチャは、攻撃者がシステムアーキテクチャ内に既にプライマリーフットホールドを確立していることを前提として、ローカライズされたデプロイシナリオをターゲットにしています。セキュリティアナリストは、このタイプのユーティリティをポスト・エクスプロイテーション・インストルメントとして分類し、ネットワーク侵入者によって日常的に武装化され、永続的なインフラストラクチャの支配を達成し、エンタープライズWindows環境全体での横方向のムーブメントを促進するために使用されます。
