Fenster 10 wird auf einen Bypass von kernel Schutz Patchguard im Betriebssystem anfällig. der Bypass, genannt GhostHook, macht das OS Rootkits schutzlos ausgeliefert. Obwohl Schutz Windows 10 gegen Rootkit-Angriffe wurde bekannt, dass sie sehr effizient dank Patchguard und Device, Forscher an CyberArk wurde ein Weg, um die Wächter über eine neue Funktion in Intel-Prozessoren wie Prozessor Trace bekannt zu umgehen (Intel PT).
Was ist GhostHook: Technische Daten
GhostHook ist ein post-Ausbeutung Angriff. die Sicherheitsanfälligkeit ausgenutzt zu ergreifen, um, der Angreifer soll bereits auf dem Zielsystem sein, Ausführen von Code im Kernel.
In der Tat, Microsoft plant nicht, das Problem zu patchen, wie durch eine Erklärung offenbart das Unternehmen Threatpost bereitgestellt. Der Grund für die Microsoft nicht bereit, damit umzugehen, weil es die Angreifer muss das System bereits kompromittiert haben. Jedoch, sie können in einer zukünftigen Version von Windows mit ihr umgehen.
verbunden: Hot Potato Exploit gefährdet Aktuelle Windows-Versionen
Nach CyberArk, GhostHook der Fix schwierigsten wahrscheinlich für Microsoft. Der schnellste Weg, um es zu lösen, ist durch Security-Anbieter, deren Produkte eingehakt Patchguard. Davon abgesehen,, Intel PT, veröffentlicht kurz nach der Patchguard, Anbieter ermöglichen in der CPU ausgeführt Stapel von Befehlen zu überwachen, so dass Angriffe identifiziert werden, bevor sie in die OS nah.
Wie von CyberArk des Kobi Ben Naim:
Wir sind in der Lage Code im Kernel auszuführen und unbemerkt durch eine Sicherheitsfunktion von Microsoft produziert. Viele andere Sicherheitsanbieter verlassen sich auf Patchguard und auf Device, um zuverlässige Informationen zu empfangen und zu analysieren, ob es gutartig oder einen Angriff. Dieser Bypass ermöglicht es uns, im Vergleich zu den Security-Anbietern unbemerkt gehen wir überprüft (Dazu gehören Anti-Malware, Firewalls, Host-basierte Intrusion Detection und) die verlassen sich auf diese Sicherheitsschichten zuverlässige Informationen liefern.
Außerdem, ein solcher Angriff ist höchstwahrscheinlich von einem Nationalstaat Schauspieler durchgeführt werden für gezielte Eingriffe bekannt sind, wie Flamm- und Shamoon, basierend auf 64-Bit-Malware. Wenn GhostHook des Exploit-Code an die Öffentlichkeit macht und Angreifer verwendet es in Ransomware-Kampagnen, die Ergebnisse könnten katastrophal sein, Naim gewarnt. Der Sicherheitsexperte glaubt auch, dass Microsoft macht einen großen Fehler, Verzögerung der Fehlerbehebung für dieses ernste Angelegenheit.
Wir haben eine Antwort von Microsoft sagte, dass, weil Sie bereits ein Administrator auf der Maschine, es ist bereits kompromittiert. Aber in diesem Fall, es ist die falsche Antwort. Alle diese neuen Sicherheits Schichten wurden nicht zu bekämpfen Administratoren oder Code entwickelt, die mit Administratorrechten ausgeführt wird. Dies ist eine problematische Antwort.
CyberArk Forscher glauben, dass sich der Fehler befindet sich in Microsft Implementierung von Intel PT, an dem Punkt, wo Intel PT mit dem Betriebssystem kommuniziert. Die Intel-Funktion ist in der Tat eine API, dass die Code-Kernel fragen können Informationen von der CPU zu empfangen und lesen. Das Problem liegt in der Art und Weise gefunden Microsoft die API implementiert, Der Forscher erklärt. Dieses Problem nicht aktiviert nur CyberArk Informationen zu lesen, sondern auch ihren Code in einer sicheren Stelle im Kernel eingeben.
verbunden: Eugene Kaspersky vs. Windows Defender: der Antivirus Krieg 2017
Wenn ein Angreifer in Wechselwirkung tritt an dieser Schicht, er kann Code leise laufen, ohne entdeckt.
Kaspersky Lab denkt, dass das Problem ist nicht so ernst
Kaspersky Lab kommentiert auch die Frage:
Kaspersky Lab ist sich der Haken Technik, die von CyberArk Forscher, dass ermöglicht Intel Prozessor-Funktion von Windows Sicherheit zu umgehen. Als leitende würde einen solchen Angriff erfordern, dass ein Hacker bereits Code im Kernel ausgeführt wird, Diese Haken Technik erstreckt sich nicht signifikant eine Angriffsfläche.
Im Gegenteil, CyberArk glaubt, dass diese Art des Angriffs wird höchstwahrscheinlich durch Nationalstaat Hacker beschäftigt, so dass es ziemlich kritisch.