Fenêtres 10 est vulnérable à un contournement de la protection du noyau PatchGuard dans le système d'exploitation. le by-pass, surnommé GhostHook, rend le système d'exploitation vulnérable aux rootkits. Même si la protection Windows 10 contre les attaques de rootkit a été connu pour être très efficace grâce à PatchGuard et DeviceGuard, des chercheurs de CyberArk mis en place un moyen de contourner la garde par une nouvelle fonctionnalité dans les processeurs Intel connu sous le nom du processeur Trace (Intel PT).
Qu'est-ce que GhostHook: Détails techniques
GhostHook est une attaque post-exploitation. Pour l'exploit de lieu, l'attaquant devrait déjà être présent sur le système cible, l'exécution de code dans le noyau.
En réalité, Microsoft ne prévoit pas de patcher la question, comme l'a révélé une déclaration la société a fourni à Threatpost. La raison de la réticence de Microsoft pour y faire face est parce qu'il a besoin de l'attaquant d'avoir déjà compromis le système. Cependant, ils peuvent y faire face dans une future version de Windows.
en relation: Hot Potato Exploit Versions récentes de Windows met en danger
Selon CyberArk, La solution de GhostHook est très probablement difficile pour Microsoft. La meilleure façon de l'aborder est par les fournisseurs de sécurité dont les produits sont accrochés dans PatchGuard. Cela étant dit, Intel PT, publié peu après PatchGuard, permet aux fournisseurs de surveiller les piles de commandes exécutées dans la CPU afin que les attaques sont identifiées avant qu'elles ne se rapprochent du système d'exploitation.
Comme l'explique Kobi Ben Naim de CyberArk:
Nous sommes en mesure d'exécuter du code dans le noyau et passer inaperçu par une fonction de sécurité Microsoft produit. De nombreux autres fournisseurs de sécurité reposent sur PatchGuard et sur DeviceGuard afin de recevoir des informations fiables et analyser si elle est bénigne ou une attaque. Cette dérivation permet de passer inaperçu par rapport aux fournisseurs de sécurité, nous avons vérifié (cela comprend antimalware, pare-feu, basé sur l'hôte détection d'intrusion et plus) qui se fondent sur ces couches de sécurité pour fournir des informations fiables.
En outre, une telle attaque est plus susceptible d'être réalisée par un acteur national état connu pour des intrusions ciblées telles que la flamme et Shamoon, sur la base de logiciels malveillants 64 bits. Si le code d'exploitation de GhostHook rend au public et les attaquants emploient dans des campagnes ransomware, les résultats pourraient être catastrophiques, Naim a mis en garde. L'expert en sécurité estime également que Microsoft fait une énorme erreur, retarder le correctif de ce problème grave.
Nous avons obtenu une réponse de Microsoft en disant que parce que vous êtes déjà un administrateur sur la machine, il est déjà compromise. Mais dans ce cas, c'est la mauvaise réponse. Toutes ces nouvelles couches de sécurité ne sont pas conçus administrateurs de combat ou code qui fonctionne avec des droits d'administrateur. Ceci est une réponse problématique.
les chercheurs CyberArk pensent que la faille réside dans la mise en œuvre de Microsft d'Intel PT, au point où Intel PT communique avec le système d'exploitation. La fonction Intel est en fait une API que le code du noyau peut demander de recevoir et de lire les informations de la CPU. La question se trouve dans la façon dont Microsoft a mis en œuvre l'API, le chercheur a expliqué. Cette question a non seulement permis CyberArk de lire des informations, mais aussi d'entrer dans leur code dans un endroit sûr dans le noyau.
en relation: Eugene Kaspersky vs. Windows Defender: la guerre Antivirus de 2017
Si un attaquant interagit à cette couche, il pouvait courir tranquillement le code sans être détecté.
Kaspersky Lab pense que le problème est-ce pas grave
Kaspersky Lab a également commenté la question:
Kaspersky Lab est au courant de la technique d'accrochage décrite par les chercheurs CyberArk, qui permet d'utiliser la fonction de processeur Intel pour contourner la sécurité Windows. Comme la réalisation d'une telle attaque, il faudrait qu'un pirate code déjà en cours d'exécution dans le noyau, cette technique d'accrochage ne se prolonge pas de manière significative une surface d'attaque.
Au contraire, CyberArk estime que ce type d'attaque est très probablement utilisé par des pirates d'Etat-nation, ce qui rend tout à fait critique.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: