Ventanas 10 es vulnerable a un by-pass de la protección del núcleo PatchGuard en el sistema operativo. el bypass, apodado GhostHook, hace que el sistema operativo vulnerable a los rootkits. A pesar de que la protección de Windows 10 contra los ataques de rootkit ha sido conocido por ser muy eficiente gracias a PatchGuard y DeviceGuard, los investigadores de CyberArk establecieron una forma de eludir la guardia a través de una nueva característica de los procesadores de Intel conocida como traza del procesador (Intel PT).
¿Qué es GhostHook: Detalles Técnicos
GhostHook es un ataque posterior a la explotación. Para que el ataque tenga éxito, el atacante ya debería estar presente en el sistema de destino, la ejecución de código en el kernel.
Como una cuestión de hecho, Microsoft no tiene la intención de arreglar el problema, como lo revela un comunicado que la empresa proporcionó a Threatpost. La razón de la falta de voluntad de Microsoft para tratar con él es porque necesita que el atacante ya se han puesto en peligro el sistema. Sin embargo, se pueden tratar con él en una versión futura de Windows.
Relacionado: Hot Potato Exploit versiones recientes de Windows pone en peligro la
De acuerdo a CyberArk, solución de GhostHook es más probable que un reto para Microsoft. La forma más rápida para hacer frente es a través de los proveedores de seguridad cuyos productos están enganchados en PatchGuard. Dicho esto, Intel PT, lanzado poco después de PatchGuard, permite a los proveedores para monitorear pilas de comandos ejecutados en la CPU de manera que se identifican los ataques antes de que lleguen cerca del OS.
Según lo explicado por CyberArk de Kobi Ben Naim:
Somos capaces de ejecutar código en el kernel y pasar desapercibido para cualquier característica de seguridad de Microsoft produce. Muchos otros proveedores de seguridad se basan en PatchGuard y en DeviceGuard con el fin de recibir información fiable y analizar si es benigno o un ataque. Esta derivación nos permite pasar desapercibido frente a los proveedores de seguridad que nos registramos (esto incluye antimalware, cortafuegos, basado en host de detección de intrusos y más) que se basan en esas capas de seguridad para proporcionar información fiable.
Adicionalmente, tal ataque es más probable que se lleva a cabo por un agente del Estado-nación conocida por intrusiones dirigidas, como la llama y Shamoon, basado en el malware de 64 bits. Si código de explotación de GhostHook lo hace para el público y los atacantes lo emplean en las campañas de ransomware, los resultados podrían ser catastróficos, Naim advirtió. El experto en seguridad también cree que Microsoft está haciendo un gran error, retrasando la solución para este problema grave.
Conseguimos una respuesta de Microsoft diciendo que debido a que ya es un administrador en la máquina, que ya está comprometida. Pero en este caso, es la respuesta incorrecta. Todas esas nuevas capas de seguridad no fueron diseñados para administradores de combate o código que se ejecuta con derechos de administrador. Esta es una respuesta problemática.
CyberArk investigadores piensan que la falla reside en la aplicación de Intel PT de Microsft, en el punto en Intel PT se comunica con el sistema operativo. La función Intel es, de hecho, una API que el código del núcleo puede solicitar recibir y leer la información de la CPU. El problema se encuentra en la forma en que Microsoft implementa la API, el investigador explicó. Este problema no sólo permitió CyberArk para leer la información, sino también para introducir su código en un lugar seguro en el núcleo.
Relacionado: Eugene Kaspersky vs. Windows Defender: la Guerra de Antivirus 2017
Si un atacante interactúa en esa capa, él podría ejecutar código en silencio sin ser detectado.
Kaspersky Lab cree que el problema no es tan grave
Kaspersky Lab también comentó la cuestión:
Kaspersky Lab es consciente de la técnica de enganche descrito por investigadores CyberArk, que permite el uso de función de procesador Intel para burlar la seguridad de Windows’. Como la realización de un ataque de ese tipo requeriría que un hacker ya se está ejecutando el código en el kernel, esta técnica de enganche no se extiende significativamente la superficie de ataque.
De lo contrario, CyberArk cree que este tipo de ataque es más probable empleado por los hackers del Estado-nación, por lo que es bastante crítica.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: