Vinduer 10 er sårbar over for en bypass af PatchGuard kerne beskyttelse i operativsystemet. bypass, døbt GhostHook, gør OS sårbar over for rootkits. Selvom Windows 10 beskyttelse mod rootkit-angreb har været kendt for at være ganske effektive takket være PatchGuard og DeviceGuard, forskere på CyberArk etableret en måde at omgå vagten via en ny funktion i Intel-processorer kendt som Processor Trace (Intel PT).
Hvad er GhostHook: Tekniske Detaljer
GhostHook er en post-udnyttelse angreb. For at udnytte til at finde sted, angriberen burde allerede være til stede på den målrettede systemet, køre kode i kernen.
Som en kendsgerning, Microsoft er ikke planer om at lappe problemet, som afsløret af en erklæring selskabet forudsat at Threatpost. Årsagen til Microsofts manglende vilje til at beskæftige sig med, er det fordi den har brug for angriberen allerede at have kompromitteret systemet. Men, de kan håndtere det i en fremtidig version af Windows.
Relaterede: Hot Potato Exploit fare Seneste Windows-versioner
Ifølge CyberArk, GhostHook s rettelse er mest sandsynligt udfordrende for Microsoft. Den hurtigste måde at løse det på er gennem sikkerhed leverandører, hvis produkter er hooked ind PatchGuard. Når det er sagt, Intel PT, udgivet kort efter PatchGuard, tillader leverandører til at overvåge stakke af kommandoer udført i CPU'en, så angreb er identificeret, før de kommer tæt på OS.
Som forklaret af CyberArk s Kobi Ben Naim:
Vi er i stand til at udføre kode i kernen og gå ubemærket af enhver sikkerhedsfunktion Microsoft producerer. Mange andre sikkerhed leverandører er afhængige af PatchGuard og på DeviceGuard for at modtage pålidelige oplysninger og undersøge, om det er godartet eller et angreb. Denne bypass gør os i stand til at gå ubemærket hen versus sikkerhed leverandører vi kontrolleret (dette omfatter antimalware, firewalls, host-baserede intrusion detection og mere) der er afhængige af disse sikkerhedslag til at give pålidelige oplysninger.
Desuden, et sådant angreb er mest tilbøjelige til at blive udført af en nationalstat skuespiller kendt for målrettede indtrængen såsom Flame og Shamoon, baseret på 64-bit malware. Hvis GhostHook s exploit-kode gør det til offentligheden, og angriberne ansætte det i ransomware kampagner, resultaterne kunne være katastrofalt, Naim advarede. Den sikkerhedsekspert mener også, at Microsoft gør en stor fejl, forsinke rettelse til dette alvorlige problem.
Vi fik et svar fra Microsoft siger, at fordi du allerede er administrator på maskinen, det er allerede kompromitteret. Men i dette tilfælde, det er det forkerte svar. Alle disse nye sikkerhedsmæssige lag blev ikke designet til at bekæmpe administratorer eller kode, der kører med administratorrettigheder. Dette er en problematisk svar.
CyberArk forskere mener, at fejlen er bosat i Microsft implementering af Intel PT, på det punkt, hvor Intel PT kommunikerer med OS. Intel Funktionen er i virkeligheden en API, at kerne kode kan bede om at modtage og læse information fra CPU. Spørgsmålet er fundet i den måde, Microsoft implementeret API, forskeren forklarede. Dette problem ikke kun aktiveret CyberArk at læse information, men også at indtaste deres kode i et sikkert sted i kernen.
Relaterede: Eugene Kaspersky vs. Windows Defender: Antivirus krigen i 2017
Hvis en hacker interagerer på dette lag, han kunne køre kode roligt uden at blive opdaget.
Kaspersky Lab Tænker Spørgsmålet er ikke, at alvorlige
Kaspersky Lab også kommenterede spørgsmålet:
Kaspersky Lab er klar over krog teknikken beskrevet af CyberArk forskere, der gør det muligt at bruge Intel-processor s funktion til at omgå Windows’ sikkerhed. Som ledende et sådant angreb ville kræve, at en hacker allerede kører kode i kernen, denne krog teknik ikke signifikant udvide et angreb overflade.
Tværtimod, CyberArk mener, at denne type angreb er mest sandsynligt ansat af nation-state hackere, gør det ganske kritisk.