攻击者可能利用 Microsoft 的 Windows 容器隔离框架,该架构用于将文件系统与容器分离,从而绕过 恶意软件 检测控制,逃避端点安全系统。The Hacker News 报道称,根据在 DEF CON 安全会议上发布的 Deep Instinct 报告,恶意活动在文件系统上可能会保持不被检测,攻击者可通过使用伪造的容器来运行当前进程,同时利用 minifilter 驱动程序进行输入/输出操作。研究员丹尼尔阿维诺姆表示:“因为我们可以使用 IOREPARSETAGWCI1 重解析标签重写文件,而不被杀毒驱动程序检测到,他们的检测算法将无法获取全貌,因此不会触发。”他指出,进行该攻击需要管理员权限。
这些发现紧随另一份由 Deep Instinct 提供的报告,该报告详细说明了利用 Windows 过滤平台进行攻击的情况,借此实现权限提升,从而使攻击者获得重复访问令牌、IPSec 连接以及 SYSTEM 令牌插入,甚至进行令牌外泄。
相关链接 Deep Instinct 报告 DEF CON 安全会议
这种漏洞表明,尽管 Windows 容器提供了一定的安全隔离,但如果不加以保护,仍然可能成为攻击者的目标。因此,建议企业加强安全措施,定期审查系统权限,并关注使用独立容器的最佳实践,以降低潜在的安全风险。
白鲸加速器下载白鲸加速器最新版1.45上线,优化节点调度与连接速度,提升日常使用流畅度。
