Huis > Cyber ​​Nieuws > GhostHook Exploit omzeilt Windows 10 PatchGuard
CYBER NEWS

GhostHook Exploit Bypasses Windows 10 PatchGuard

Windows 10 is kwetsbaar voor een bypass van PatchGuard kernel bescherming in het besturingssysteem. de bypass, nagesynchroniseerde GhostHook, maakt het besturingssysteem kwetsbaar voor rootkits. Hoewel de bescherming van Windows 10 tegen rootkit-aanvallen is bekend dat zeer efficiënt dankzij PatchGuard en DeviceGuard zijn, onderzoekers van CyberArk vestigde een manier om de wacht te omzeilen door middel van een nieuwe functie in Intel-processors bekend als Processor Trace (Intel PT).

Wat is GhostHook: Technische Details

GhostHook is een post-exploitatie aanval. Om de exploit te laten plaatsvinden, de aanvaller moet al aanwezig zijn op het beoogde systeem, het uitvoeren van code in de kernel.

In feite, Microsoft is niet van plan om de kwestie patch, zoals blijkt uit een verklaring van de onderneming verstrekt aan Threatpost. De reden voor Microsoft's onwil om te gaan met het is omdat het moet de aanvaller te hebben het systeem al gecompromitteerd. Echter, ze kunnen omgaan met het in een toekomstige versie van Windows.

Verwant: Hot Potato Exploit bedreigt recente Windows-versies

Volgens CyberArk, GhostHook De fix is ​​het meest waarschijnlijk een uitdaging voor Microsoft. De snelste manier om het aan te pakken is door middel van beveiligingsbedrijven waarvan de producten worden ingehaakt in PatchGuard. Dat gezegd zijnde, Intel PT, kort na PatchGuard, maakt het mogelijk leveranciers om stapels opdrachten uitgevoerd in de CPU te bewaken, zodat aanvallen worden geïdentificeerd voordat ze in de buurt van het OS te krijgen.

Zoals uitgelegd door CyberArk's Kobi Ben Naim:

We zijn in staat om code uit te voeren in de kernel en onopgemerkt door een beveiligingsfunctie Microsoft produceert. Veel andere beveiligingsbedrijven rekenen op PatchGuard en DeviceGuard om betrouwbare informatie te ontvangen en te analyseren of het nu goedaardig of een aanval. Deze bypass stelt ons ongemerkt ten opzichte van de beveiligingsbedrijven we gecontroleerd om te gaan (dit omvat antimalware, firewalls, -Host-based intrusion detection en) die afhankelijk zijn van de veiligheid lagen om betrouwbare informatie te verstrekken.

Bovendien, dergelijke aanval is waarschijnlijk door een nationale overheidsactor bekend voor gerichte inbraken zoals Flame en te vervoeren Shamoon, gebaseerd op 64-bit malware. Als GhostHook's exploit code maakt het voor het publiek en aanvallers gebruiken in ransomware campagnes, de resultaten kunnen worden katastrofisch, Naim gewaarschuwd. De beveiligingsexpert is ook van mening dat Microsoft is het maken van een grote fout, uitstellen van de oplossing voor dit ernstige probleem.

We kregen een antwoord van Microsoft te zeggen dat omdat je al een beheerder op de machine, het is al gecompromitteerd. Maar in dit geval, het is het verkeerde antwoord. Al die nieuwe security lagen werden niet bedoeld ter bestrijding van de beheerders of code die wordt uitgevoerd met beheerdersrechten. Dit is een problematische antwoord.

CyberArk onderzoekers denken dat de fout ligt in de uitvoering van Intel PT Microsft's, op het punt waar Intel PT communiceert met de OS. De Intel-functie is in feite een API die de code kan vragen om informatie te ontvangen en te lezen van de CPU. De kwestie is te vinden in de manier waarop Microsoft geïmplementeerd de API, de onderzoeker uitgelegd. Dit probleem niet alleen ingeschakeld CyberArk om informatie te lezen, maar ook om hun code in een veilige locatie in te voeren in de kernel.

Verwant: Eugene Kaspersky vs. Windows Defender: de Antivirus War of 2017

Als een aanvaller wisselwerking op die laag, hij kon code rustig lopen zonder te worden ontdekt.

Kaspersky Lab denkt het probleem is niet zo ernstig

Kaspersky Lab ook commentaar op de kwestie:

Kaspersky Lab is zich bewust van de hakende techniek beschreven door CyberArk onderzoekers, die het mogelijk maakt met behulp van functie Intel-processor om de veiligheid van Windows te omzeilen. Als geleidende dergelijke aanval vereist dat een hacker reeds loopt code in de kernel, Deze haken techniek geen aanzienlijk te verlengen aanval oppervlak.

Integendeel, CyberArk van mening dat dit type aanval het meest waarschijnlijk is in dienst van natiestaat hackers, waardoor het nogal kritisch.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens