CYBER NEWS

GhostHook Exploit Shunt di Windows 10 PatchGuard

Windows 10 è vulnerabile ad un bypass della protezione del kernel PatchGuard nel sistema operativo. il bypass, soprannominato GhostHook, rende il sistema operativo vulnerabile alle rootkit. Anche se la protezione di Windows 10 contro gli attacchi rootkit è stato conosciuto per essere molto efficiente grazie alla PatchGuard e DeviceGuard, i ricercatori della CyberArk stabilito un modo per aggirare la guardia attraverso una nuova funzionalità di processori Intel nota come processore Trace (Intel PT).

Che cosa è GhostHook: Dettagli tecnici

GhostHook è un attacco post-sfruttamento. Affinché l'exploit abbia luogo, l'attaccante deve essere già presente sul sistema mirato, esecuzione di codice nel kernel.

Infatti, Microsoft non ha intenzione di correggere il problema, come rivelato da un comunicato la società ha fornito al Threatpost. La ragione per la mancanza di volontà di Microsoft di trattare con esso è perché ha bisogno l'attaccante di aver già compromesso il sistema. Tuttavia, essi possono trattare con esso in una versione futura di Windows.

Correlata: Hot Potato Exploit versioni mette in pericolo recenti di Windows

Secondo CyberArk, correzione di GhostHook è più probabile impegnativo per Microsoft. Il modo più rapido per affrontare è attraverso fornitori di sicurezza i cui prodotti sono agganciati in PatchGuard. Detto, Intel PT, rilasciato poco dopo PatchGuard, consente ai fornitori di monitorare pile di comandi eseguiti nella CPU in modo che siano identificati gli attacchi prima che si avvicinino al sistema operativo.

Come ha spiegato di CyberArk Kobi Ben Naim:

Siamo in grado di eseguire codice nel kernel e passare inosservato da qualsiasi funzione di sicurezza di Microsoft produce. Molti altri vendor di sicurezza si basano su PatchGuard e DeviceGuard al fine di ricevere informazioni affidabili e analizzare se è benigno o un attacco. Questo by-pass ci permette di passare inosservato rispetto ai vendor di sicurezza abbiamo controllato (questo include antimalware, firewall, host-based intrusion detection e di più) che si basano su questi livelli di sicurezza per fornire informazioni affidabili.

In aggiunta, un attacco del genere è più probabile essere effettuata da un attore stato-nazione conosciuta per le intrusioni mirate, come Flame e Shamoon, in base a 64-bit di malware. Se di GhostHook codice di exploit rende al pubblico e attaccanti impiegano in campagne ransomware, i risultati potrebbero essere catastrofici, Naim ha avvertito. L'esperto di sicurezza ritiene inoltre che Microsoft sta facendo un errore enorme, ritardando la correzione di questo problema serio.

Abbiamo ottenuto una risposta da Microsoft dire che perché sei già un amministratore sulla macchina, è già compromessa. Ma in questo caso, è la risposta sbagliata. Tutti questi nuovi livelli di sicurezza non sono stati progettati per gli amministratori di combattimento o di codice che viene eseguito con i diritti di amministratore. Questa è una risposta problematica.

ricercatori CyberArk pensano che la falla risiede nella realizzazione di Microsft di Intel PT, nel punto in cui Intel PT comunica con il sistema operativo. La funzionalità di Intel è infatti un'API che il codice del kernel può chiedere di ricevere e leggere le informazioni dalla CPU. Il problema si trova nel modo in cui Microsoft ha implementato l'API, il ricercatore spiegato. Questo problema ha permesso non solo CyberArk per leggere le informazioni, ma anche di entrare nel loro codice in un luogo sicuro nel kernel.

Correlata: Eugene Kaspersky vs. Windows Defender: la guerra di Antivirus 2017

Se un utente malintenzionato interagisce a quel livello, potrebbe eseguire codice tranquillamente senza essere rilevata.

Kaspersky Lab ritiene che il problema non è così grave

Kaspersky Lab ha anche commentato sulla questione:

Kaspersky Lab è a conoscenza della tecnica di aggancio descritto dai ricercatori CyberArk, che permette di utilizzare funzionalità del processore Intel di aggirare la protezione di Windows’. Per lo svolgimento di un tale attacco richiederebbe che un hacker è già in esecuzione il codice nel kernel, questa tecnica di aggancio non si estende in modo significativo una superficie di attacco.

Anzi, CyberArk ritiene che questo tipo di attacco è molto probabilmente utilizzato da hacker stati-nazione, il che rende abbastanza critica.

Milena Dimitrova

Milena Dimitrova

Uno scrittore ispirato e gestore di contenuti che è stato con SensorsTechForum fin dall'inizio. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Rimanete sintonizzati
Iscriviti alla nostra newsletter per quanto riguarda le ultime sicurezza informatica e notizie di tecnologia legate.