RoguePlanet Explora Um Dia Zero do Windows Através do Pipeline de Quarentena do Defender

Resumo

RoguePlanet é uma escalada de privilégio local de zero-day que abusa do fluxo de trabalho de quarentena e remediação do Microsoft Defender no Windows. Ao combinar junções de diretório NTFS, locks oportunísticos e o serviço Volume Shadow Copy, um usuário com poucos privilégios pode interferir no processo de manuseio do Defender e forçar a execução arbitrária de código como NT AUTHORITYSYSTEM. O exploit depende de um método de saturação de I/O determinístico para vencer consistentemente disputas de tempo durante as operações de quarentena de arquivos.

Investigação

A Equipe de Pesquisa de Ameaças Howler Cell reproduziu o exploit em um sistema Windows 11 Pro totalmente atualizado e confirmou que ele alcança a execução de código no nível SYSTEM sem corrupção de memória ou acesso administrativo. Sua análise identificou uma cadeia de ataque de sete passos envolvendo uma imagem ISO embutida, pontos de reanálise NTFS e abuso do tarefa agendada WER QueueReporting . Os pesquisadores também notaram que pequenas alterações no nível do código-fonte permitem que o exploit evite a detecção estática com relativa facilidade.

Mitigação

Atualmente, não há correção oficial para a causa subjacente do RoguePlanet. Os defensores devem monitorar a criação dos pipes nomeados específicos associados ao exploit e a atividade incomum do sistema de arquivos envolvendo nomes de diretórios parecido com UUID sob %TEMP%. O endurecimento adicional deve se concentrar em limitar o abuso de junções NTFS e detectar processos não-sistema que enumeram Cópias de Sombra de Volume.

Resposta

Se atividade relacionada ao RoguePlanet for detectada, as equipes de segurança devem isolar o host afetado e investigar quaisquer processos que gerem conhost.exe de pais com integridade SYSTEM em sessões de usuário. Os analistas também devem procurar por wermgr.exe executando de caminhos inesperados e inspecionar %TEMP% para a estrutura de diretórios. Revisar os registros do Agendador de Tarefas para execuções suspeitas da tarefa RP_ é também essencial. é também essencial. Fluxo de Ataque

Pré-requisito: O Check de Pré-vôo de Telemetria & Base deve ter passado.

Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

Narrativa do Ataque & Comandos:

• O adversário explora uma vulnerabilidade em um serviço Windows em execução para alcançar a execução de código no nível SYSTEM. Para facilitar a comunicação entre o serviço explorado e o novo thread injetado, o adversário cria um pipe nomeado chamado .pipeRoguePlanet . Após a elevação bem-sucedida, o payload do invasor forçaa gerar a gerar para fornecer um ambiente interativo para execução de comandos adicionais. Esta sequência é projetada para imitar o comportamento da cadeia de exploração do RoguePlanet. conhost.exe Script de Teste de Regressão:

• # Simulação de Anomalia de Pipe Nomeado e Processo do RoguePlanet # NOTA: Este script requer privilégios administrativos para simular comportamento de serviço Write-Host “[+] Iniciando Simulação RoguePlanet…” -ForegroundColor Cyan # 1. Simula a Criação de Pipe Nomeado (corresponde a seleção_pipe) # Usamos PowerShell para criar um pipe nomeado que imita o indicador de destino $pipeName = “RoguePlanet” $pipe = New-Object System.IO.Pipes.NamedPipeServerStream($pipeName, [System.IO.Pipes.PipeDirection]::InOut) Write-Host “[+] Pipe Nomeado \.pipe$pipeName criado.” -ForegroundColor Green # 2. Simula o surgimento anômalo de processos (corresponde a seleção_conhost e seleção_parent) # Em um exploit real, services.exe seria o pai. # Como não podemos facilmente ‘nos tornar’ services.exe sem um exploit de kernel, # simulamos a telemetria disparando um evento de criação de processo que # imita o relacionamento específico pai-filho esperado pela lógica da regra. Write-Host “[+] Simulando conhost.exe surgindo de services.exe…” -ForegroundColor Cyan # Usamos um truque para imitar a telemetria: criando um processo que o SIEM/Sysmon # registrará com o pai alvo se estivéssemos rodando em um ambiente controlado de laboratório. # Para fins deste teste de detecção, executaremos um comando que # tem como alvo os critérios específicos de Imagem/ImagemPai. # Nota: Em uma validação do mundo real, o pesquisador usaria uma ferramenta como # ‘ProcMon’ ou um driver personalizado para falsificar o ID de Processo Pai (PPID) # de services.exe para garantir que a regra dispare com precisão. Start-Process “conhost.exe” -ArgumentList “/c echo Simulação Completa” -WindowStyle Hidden Write-Host “[+] Comandos de simulação enviados. Verifique o SIEM para alertas.” -ForegroundColor Yellow # Mantenha o pipe aberto brevemente para garantir que a telemetria seja capturada Start-Sleep -Seconds 5 $pipe.Dispose()

  Comandos de Limpeza:

• # Limpeza: Feche quaisquer pipes persistentes e termine quaisquer processos simulados Get-Process conhost | Stop-Process -Force -ErrorAction SilentlyContinue Write-Host “[+] Limpeza completa.” -ForegroundColor Green

  Fluxo de Ataque