Esta es la segunda de una serie de dos partes que discute una escalada de privilegios de Windows para el usuario aún sin parchear. El exploit permite a los atacantes realizar acciones con muchos privilegios que normalmente requieren un controlador de kernel.

La parte 1 de esta serie de blogs mostró cómo bloquear estos ataques mediante el endurecimiento de ACL. Si aún no lo ha hecho, lea la primera parte de esta serie, ya que sienta una base importante para este artículo. Los lectores interesados ​​también pueden consultar las excelentes DLL conocidas desconocidas ... y otras infracciones de confianza en la integridad del código para una comprensión más profunda de la integridad del código y los procesos protegidos.

En la parte 2 de esta serie, se mostrara cómo detectar estos ataques en tiempo real, obteniendo una mayor visibilidad de su entorno.

Nota completa desde el blog de Elastic.