Специалист Orange Cyberdefense нашёл способ обхода защитных механизмов и выполнения произвольного кода в процессе LSASS. Он использовал службу CNG Key Isolation (KeyIso).В июле 2022 года Microsoft внесла изменения в систему Protected Process Light, чтобы устранить уязвимости, позволяющие обходить защиту LSASS.
Этот процесс отвечает за хранение и управление учётными данными пользователей в Windows.Метод заключается в использовании уязвимых библиотек.
Он известен как «Bring Your Own Vulnerable DLL» (BYOVDLL) и позволяет загрузить уязвимую версию DLL-библиотеки в процесс LSASS.Специалист Orange Cyberdefense попробовал загрузить уязвимую версию библиотеки keyiso.dll в LSASS.
Читать на habr.com