RoguePlanet sfrutta una Zero-Day di Windows attraverso il Quarantine Pipeline di Defender

SOC Prime Team

Segui

RoguePlanet sfrutta una Zero-Day di Windows attraverso il Quarantine Pipeline di Defender

Detection stack

AIDR
Alert
ETL
Query

Rapporto
Flusso di Attacco
Rilevamenti
Simulazioni

Sommario

RoguePlanet è un zero-day di escalation dei privilegi locali che sfrutta il flusso di quarantena e rimedio di Microsoft Defender su Windows. Combinando giunzioni di directory NTFS, lock opportunistici e il servizio di Copia Ombra del Volume, un utente con privilegi limitati può interferire con il processo di gestione di Defender e forzare l’esecuzione arbitraria di codice come NT AUTHORITYSYSTEM. L’exploit si basa su un metodo deterministico di saturazione I/O per vincere costantemente le gare di sincronizzazione durante le operazioni di quarantena dei file.

Indagine

Il team di ricerca sulle minacce Howler Cell ha riprodotto l’exploit su un sistema Windows 11 Pro completamente aggiornato e ha confermato che raggiunge l’esecuzione di codice a livello SYSTEM senza corruzione della memoria o accesso amministrativo. La loro analisi ha identificato una catena di attacco a sette fasi che coinvolge un’immagine ISO incorporata, punti di riparsione NTFS e abuso del WER QueueReporting compito pianificato. I ricercatori hanno anche osservato che piccoli cambiamenti a livello di sorgente consentono all’exploit di eludere la rilevazione statica con relativa facilità.

Mitigazione

Attualmente non esiste una patch ufficiale che affronti la causa sottostante di RoguePlanet. I difensori dovrebbero monitorare la creazione dei tubi nominati specifici associati all’exploit e individuare attività insolite nel file system che coinvolgono nomi di directory in stile UUID sotto %TEMP%. Ulteriore rafforzamento dovrebbe concentrarsi sul limitare l’abuso delle giunzioni NTFS e rilevare processi non di sistema che enumerano Copie Ombra del Volume.

Risposta

Se viene rilevata un’attività correlata a RoguePlanet, i team di sicurezza dovrebbero isolare l’host interessato e indagare su tutti i processi che avviano conhost.exe da genitori con integrità SYSTEM in sessioni utente. Gli analisti dovrebbero anche cercare wermgr.exe in esecuzione da percorsi inaspettati e ispezionare %TEMP% per la struttura della RP_ directory. È anche essenziale rivedere i log del Pianificatore Attività per l’esecuzione sospetta del compito QueueReporting .

graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#cccccc classDef process fill:#ccffcc classDef malware fill:#ff9999 classDef technique fill:#e1ccff %% Node Definitions %% Step 1: Preparation prep_iso[“Azione: Estrarre ISO incorporata Descrizione: L’orchestratore estrae ISO per creare un disco virtuale di sola lettura Target: Struttura della directory %TEMP%”] class prep_iso action %% Step 2: Payload Delivery payload_ads[“Azione – Attributi File NTFS: Flussi di Dati Alternativi Descrizione: Scrittura del file di test EICAR in un ADS nascosto chiamato :WDFOO Scopo: Evitare restrizioni standard dei file durante la consegna”] class payload_ads technique %% Step 3: Race Condition race_condition[“Azione – Negazione di Servizio al Punto Finale: Impedire le Difese Descrizione: Utilizzo del sottosistema I/O Poseidon per creare attività disco ad alta frequenza Meccanismo: Saturazione I/O e lock opportunistici (oplocks) per mettere in pausa Defender”] class race_condition technique %% Step 4: Execution Flow Hijacking hijack_junction[“Azione – Applicazione Office: Creare o Modificare Registry/File Descrizione: Scambi di giunzione utilizzando punti di riparsione NTFS Target: Reindirizzare il percorso legittimo di wermgr.exe alla directory dell’attaccante”] class hijack_junction technique overwrite_artifact[“Azione: Sovrascrivere l’artifact proprietà di SYSTEM Descrizione: Sostituzione dell’artifact in quarantena con payload malevolo mantenendo i metadati SYSTEM”] class overwrite_artifact action %% Step 5: Privilege Escalation task_trigger[“Azione – Attività/Job Pianificato: Attività Pianificata Descrizione: Sfruttare l’interfaccia COM del Pianificatore Attività per attivare il compito QueueReporting”] class task_trigger technique shell_escalation[“Processo: shell conhost.exe Livello di Privilegio: NT AUTHORITYSYSTEM Descrizione: Esecuzione finale del payload reindirizzato tramite task sequestrato”] class shell_escalation process %% Connections %% Flow from preparation to payload prep_iso –>|facilitates| payload_ads %% Flow from payload to race condition payload_ads –>|triggers| race_condition %% Flow from race condition to hijacking race_condition –>|enables| hijack_junction %% Flow from hijacking to overwrite hijack_junction –>|results_in| overwrite_artifact %% Flow from overwrite to task trigger overwrite_artifact –>|prepares_for| task_trigger %% Flow from task trigger to final shell task_trigger –>|executes| shell_escalation

Flusso di Attacco

Narrativa & Comandi dell’Attacco: L’avversario sfrutta una vulnerabilità in un Servizio Windows in esecuzione per ottenere l’esecuzione di codice a livello SYSTEM. Per facilitare la comunicazione tra il servizio sfruttato e il nuovo thread iniettato, l’avversario crea un tubo nominato chiamato .pipeRoguePlanet. Dopo l’elevazione di successo, il payload dell’attaccante forza services.exe a generare conhost.exe per fornire un ambiente interattivo per ulteriori esecuzioni di comandi. Questa sequenza è progettata per imitare il comportamento della catena di exploit RoguePlanet.

Script di Test di Regressione:

# Simulazione di Anomalia del Processo e Tubi Nominati RoguePlanet
# NOTA: Questo script richiede privilegi amministrativi per simulare un comportamento simile a un servizio

Write-Host "[+] Avvio Simulazione RoguePlanet..." -ForegroundColor Cyan

# 1. Simulazione della Creazione di un Tubo Nominato (corrisponde a ondata_selezione)
# Utilizziamo PowerShell per creare un tubo nominato che imita l'indicatore target
$pipeName = "RoguePlanet"
$pipe = New-Object System.IO.Pipes.NamedPipeServerStream($pipeName, [System.IO.Pipes.PipeDirection]::InOut)
Write-Host "[+] Tubo Nominato \.pipe$pipeName creato." -ForegroundColor Green

# 2. Simulazione dello spawn di processi anomali (corrisponde a ondata_conhost e ondata_genitore)
# In un vero exploit, services.exe sarebbe il genitore. 
# Siccome non possiamo facilmente 'diventare' services.exe senza un exploit kernel, 
# simuliamo la telemetria attivando un evento di creazione processo che 
# imita la relazione genitore-figlio specifica attesa dalla logica della regola.

Write-Host "[+] Simulazione dello spawn di conhost.exe da services.exe..." -ForegroundColor Cyan

# Utilizziamo un trucco per imitare la telemetria: creando un processo che il SIEM/Sysmon 
# registrerà con il genitore target se fossimo in un ambiente di laboratorio controllato.
# Ai fini di questo test di rilevamento, eseguiremo un comando che 
# mira ai criteri specifici di Immagine/ImmagineGenitore.

# Nota: In una validazione in ambito reale, il ricercatore utilizzerebbe uno strumento come 
# 'ProcMon' o un driver personalizzato per falsificare il Parent Process ID (PPID) 
# di services.exe per garantire che la regola si attivi accuratamente.

Start-Process "conhost.exe" -ArgumentList "/c echo Simulation Complete" -WindowStyle Hidden

Write-Host "[+] Comandi di simulazione inviati. Verificare gli avvisi nel SIEM." -ForegroundColor Yellow

# Mantieni il tubo aperto brevemente per assicurare che la telemetria venga catturata
Start-Sleep -Seconds 5
$pipe.Dispose()

Comandi di Pulizia:

# Pulizia: Chiudere eventuali tubi rimanenti e terminare eventuali processi simulati
Get-Process conhost | Stop-Process -Force -ErrorAction SilentlyContinue
Write-Host "[+] Pulizia completa." -ForegroundColor Green

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis