ウィンドウズ 10 オペレーティングシステムでのPatchGuardカーネル保護のバイパスに対して脆弱です. バイパス, 吹き替えGhostHook, OSをルートキットに対して脆弱にします. ルートキット攻撃に対するWindows10の保護は、PatchGuardとDeviceGuardのおかげで非常に効率的であることが知られていますが, CyberArkの研究者は、プロセッサトレースと呼ばれるIntelプロセッサの新機能を介してガードをバイパスする方法を確立しました (インテルPT).
GhostHookとは: 技術的な詳細
GhostHookは悪用後の攻撃です. エクスプロイトが発生するために, 攻撃者はすでに標的のシステムに存在しているはずです, カーネルでコードを実行する.
実際のところ, Microsoftはこの問題にパッチを適用する予定はありません, 会社がThreatpostに提供した声明によって明らかにされたように. マイクロソフトがこれに対処することを望まない理由は、攻撃者がすでにシステムを侵害している必要があるためです。. でも, 彼らはWindowsの将来のバージョンでそれを扱うかもしれません.
関連している: ホットポテトエクスプロイトは最近のWindowsバージョンを危険にさらします
によると CyberArk, GhostHookの修正は、Microsoftにとっておそらく困難です. これに対処する最も簡単な方法は、製品がPatchGuardに接続されているセキュリティベンダーを使用することです。. そうは言っても, インテルPT, PatchGuardの直後にリリース, ベンダーがCPUで実行されたコマンドのスタックを監視できるため、攻撃がOSに近づく前に識別されます。.
CyberArkのKobiBenNaimが説明したように:
カーネルでコードを実行し、Microsoftが作成するセキュリティ機能に気付かれないようにすることができます. 他の多くのセキュリティベンダーは、信頼できる情報を受け取り、それが良性か攻撃かを分析するために、PatchGuardとDeviceGuardに依存しています。. このバイパスにより、チェックしたセキュリティベンダーと比べて気付かれることはありません。 (これにはウイルス対策が含まれます, ファイアウォール, ホストベースの侵入検知など) 信頼できる情報を提供するためにこれらのセキュリティレイヤーに依存している.
加えて, このような攻撃は、FlameやFlameなどの標的型侵入で知られる国民国家の攻撃者によって実行される可能性が最も高いです。 シャムーン, 64ビットマルウェアに基づく. GhostHookのエクスプロイトコードが一般に公開され、攻撃者がランサムウェアキャンペーンでそれを使用する場合, 結果は壊滅的なものになる可能性があります, ナイムは警告した. セキュリティの専門家はまた、マイクロソフトが大きな間違いを犯していると信じています, この深刻な問題の修正を遅らせる.
あなたはすでにマシンの管理者であるため、マイクロソフトから回答がありました, すでに危険にさらされています. しかし、この場合, それは間違った答えです. これらの新しいセキュリティレイヤーはすべて、管理者や管理者権限で実行されるコードと戦うようには設計されていません。. これは問題のある答えです.
CyberArkの研究者は、この欠陥はMicrosftによるIntelPTの実装にあると考えています。, IntelPTがOSと通信する時点で. Intelの機能は、実際には、カーネルコードがCPUから情報を受信して読み取るように要求できるAPIです。. この問題は、MicrosoftがAPIを実装した方法にあります, 研究者は説明した. この問題により、CyberArkは情報を読み取るだけでなく、カーネル内の安全な場所にコードを入力できるようになりました。.
関連している: ユージン・カスペルスキーvs. Windows Defender: のアンチウイルス戦争 2017
攻撃者がそのレイヤーで対話した場合, 彼は検出されることなく静かにコードを実行することができました.
Kaspersky Labは、この問題はそれほど深刻ではないと考えています
KasperskyLabもこの問題についてコメントしました:
Kaspersky Labは、CyberArkの研究者によって記述されたフック技術を認識しています, これにより、Intelプロセッサの機能を使用してWindowsのセキュリティを回避できます. このような攻撃を行うには、ハッカーがすでにカーネルでコードを実行している必要があるためです。, このフックテクニックは、攻撃対象領域を大幅に拡張しません.
それどころか, CyberArkは、このタイプの攻撃は国家のハッカーによって採用されている可能性が高いと考えています, それを非常に重要にします.