janelas 10 é vulnerável a um desvio de proteção do kernel PatchGuard no sistema operacional. o bypass, apelidado GhostHook, faz com que o sistema operacional vulnerável a rootkits. Mesmo que a proteção do Windows 10 contra ataques de rootkit foi conhecido por ser bastante eficientes graças ao PatchGuard e DeviceGuard, pesquisadores da CyberArk estabeleceu uma maneira de contornar o guarda através de um novo recurso no processadores Intel conhecido como processador de rastreamento (Intel PT).
O que é GhostHook: Detalhes técnicos
GhostHook é um ataque de pós-exploração. Para que o exploram a ter lugar, o atacante já deve estar presente no sistema-alvo, executar código no kernel.
De fato, Microsoft não está planejando para corrigir o problema, como revelado por uma declaração a empresa forneceu a Threatpost. A razão para a relutância da Microsoft para lidar com isso é porque ele precisa que o atacante já comprometeu o sistema. Contudo, eles podem lidar com isso em uma versão futura do Windows.
relacionado: Hot Potato Exploit põe em perigo as versões recentes do Windows
De acordo com CyberArk, correção de GhostHook é provavelmente um desafio para Microsoft. A maneira mais rápida de endereço é através de fornecedores de segurança, cujos produtos são viciado em PatchGuard. Dito, Intel PT, lançado logo após PatchGuard, permite que fornecedores para monitorar pilhas de comandos executados na CPU para que os ataques são identificados antes de chegar perto do OS.
Como explicado por do CyberArk Kobi Ben Naim:
Somos capazes de executar código no kernel e passar despercebido por qualquer recurso de segurança Microsoft produz. Muitas outras empresas de segurança dependem de PatchGuard e sobre DeviceGuard a fim de receber informações confiáveis e analisar se é benigno ou um ataque. Este desvio nos permite passar despercebida contra a segurança vendedores, vamos checar (isto inclui antimalware, firewalls, detecção e mais de intrusão baseados hospedeiro) que contam com essas camadas de segurança para fornecer informações confiáveis.
além do que, além do mais, um tal ataque é mais provável de ser levada a cabo por um ator-nação estado conhecido por intrusões-alvo, como e Chama Shamoon, com base em 64-bit de malwares. Se de GhostHook código de exploração torna para o público e os atacantes empregá-lo em campanhas ransomware, os resultados podem ser catastróficos, Naim alertou. O especialista em segurança também acredita que a Microsoft está cometendo um grande erro, atrasando a correção para esse problema sério.
Temos uma resposta da Microsoft dizendo isso porque você já é um administrador na máquina, ele já está comprometido. Mas neste caso, é a resposta errada. Todas essas novas camadas de segurança não foram projetadas para administradores de combate ou código que é executado com direitos de administrador. Esta é uma resposta problemática.
pesquisadores CyberArk acho que a falha reside na implementação da Intel PT da Microsft, no ponto onde Intel PT comunica com o sistema operacional. O recurso Intel é na verdade uma API que o código do kernel pode pedir para receber e ler informações do CPU. A questão é encontrada na forma como a Microsoft implementou a API, explica a pesquisadora. Esta questão não só permitiu CyberArk à informação leitura, mas também para introduzir o seu código em um local seguro no kernel.
relacionado: Eugene Kaspersky vs. Windows Defender: a Guerra do Antivírus de 2017
Se um invasor interage em que a camada, ele poderia executar código silenciosamente sem ser detectado.
Kaspersky Lab acredita que o problema não for tão grave
Kaspersky Lab também comentou sobre a questão:
Kaspersky Lab está ciente da técnica hooking descrito por pesquisadores CyberArk, que permite usar o recurso do processador Intel para contornar a segurança do Windows’. Como a realização de um tal ataque seria necessário que um hacker já está em execução de código no kernel, esta técnica de engate não se estende significativamente uma superfície de ataque.
Pelo contrário, CyberArk acredita que este tipo de ataque é provavelmente utilizada por hackers Estado-nação, tornando-se bastante crítico.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: